Lexipedia

Decision

RRB Nr. 908/2025

Rahmenverträge für den Expertenpool strategische Informationssicherheit, Vergabe

September 10, 2025German6 min

Source zh.ch

Rahmenverträge für den Expertenpool strategische Informationssicherheit, Vergabe

Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 10. September 2025

908. Rahmenverträge für den Expertenpool Strategische

Erwägungen

Informationssicherheit (Vergabe)

I. Ausgangslage Die Allgemeine Informationssicherheitsrichtlinie (AISR) dient der Umsetzung der rechtlichen Vorgaben zur Informationssicherheit. Ziel der AISR ist es, die Informationssicherheit in der gesamten kantonalen Verwaltung nachhaltig und wirtschaftlich zu verbessern und ein durch­ gehend risikoadäquates Sicherheitsniveau zu erreichen. Zur Konkretisierung wurden Besondere Informationssicherheits­ richtlinien (BISR) erarbeitet, die sich an der international anerkannten Norm ISO/IEC 27002 und deren 93 Massnahmen orientieren. Diese decken organisatorische, personelle, physische und technologische As­ pekte ab. Die Umsetzung der BISR erfolgt in den Direktionen und der Staatskanzlei durch intern verantwortete Projekte. Für die konzeptionelle und übergeordnete Begleitung dieser Arbei­ ten wird ein Expertenpool mit Fokus auf strategische Informations­ sicherheit aufgebaut. Mit diesem Pool sollen geeignete Unternehmen beauftragt werden können, die Direktionen und die Staatskanzlei in Fragen der strategischen Ausrichtung und Steuerung der Informations­ sicherheit zu unterstützen.

II. Submission Die Ausschreibung erfolgte im offenen Verfahren im Staatsvertrags­ bereich und wurde am 3. Februar 2025 auf simap.ch publiziert. Das Ver­ gabeverfahren wurde als Losausschreibung durchgeführt und umfasste fünf Lose: Los 1 Riskmanagement Das Los «Risikomanagement» umfasst die Anforderungen an die Expertise im Themengebiet des Risikomanagements im Zusammen­ hang des Enterprise Risk Managements und des Risikomanagements Informationssicherheit. Es umfasst Projektmitarbeit, Beratung und Schulung. Los 2 Third-party Risk Management Das Los «Third-party Risk Management» umfasst die Anforderun­ gen an die Expertise im Themengebiet der Lieferantensicherheit und der Supply-Chain-Risiken. Es umfasst sowohl Projektmitarbeit, Bera­ tung und Schulung als auch Durchführung von Lieferantenbewertungen.

Los 3 Security Consulting Das Los «Security Consulting» umfasst die Anforderungen an die Ex­ pertise im Themengebiet Informationssicherheit, um bei der Weiterent­ wicklung sowie der Umsetzung der AISR und der BISR unterstützen zu können. Es umfasst sowohl Projektleitung, Projektmitarbeit, Beratung und Schulung als auch das Erstellen von Sicherheitsdokumenten. Los 4 Cloud Sicherheit Das Los «Cloud Sicherheit» umfasst die Anforderungen an die Ex­ pertise im entsprechenden Themengebiet. Es umfasst sowohl Projekt­ leitung, Projektmitarbeit und Beratung als auch Schulungen. Los 5 Assurance Informationssicherheit – Audit & Advisory Das Los «Assurance Informationssicherheit – Audit & Advisory» um­ fasst die Anforderungen an die Expertise im Themengebiet der IT- Audit- und internal Audit-Dienstleistungen sowie Beratungs- und Schu­ lungsleistungen in Bezug auf Informationssicherheit und Compliance. Bis zur Eingabefrist am 17. März 2025 sind insgesamt 122 Angebote von 44 verschiedenen Unternehmen eingegangen. Je nach Los sind drei oder fünf Zuschlagsempfängerinnen und -emp­ fänger vorgesehen, damit die Abhängigkeit von einer oder einem An­ bietenden ausgeschlossen werden kann. Ferner ist den Anbietenden frei­ gestellt, für wie viele Lose sie sich bewerben. Die Evaluation der eingereichten Angebote ergab, dass die folgenden Unternehmen die Zuschlagskriterien in den einzelnen Losen am besten erfüllen und ihnen somit der Zuschlag zu erteilen ist: Los Schätzung Vergabewert Personentage über fünf Jahre in Franken 1 Risikomanagement 944 1 736 960 Deloitte AG, Zürich 1 736 960 Angebot vom 14. März 2025 Eraneos Switzerland AG, Zürich 1 510400 Angebot vom 17. März 2025 Ernst & Young AG, Basel 1 653 888 Angebot vom 17. März 2025 2 Third-party Risk Management 1122 1 965 584 BaXian AG, Küsnacht 1 705 280 Angebot vom 17. März 2025 Ernst & Young AG, Basel 1 965 584 Angebot vom 17. März 2025 Redguard AG, Bern 1 716 640 Angebot vom 17. März 2025

Los Schätzung Vergabewert Personentage über fünf Jahre in Franken 3 Security Consulting 2375 4 450 148 Eraneos Switzerland AG, Zürich 3 831 720 Angebot vom 17. März 2025 InfoGuard AG, Baar 3 926 680 Angebot vom 14. März 2025 KPMG AG, Zürich 4 370 080 Angebot vom 17. März 2025 Redguard AG, Bern 3 641 680 Angebot vom 17. März 2025 Zühlke Engineering AG, Schlieren 4 450 148 Angebot vom 11. März 2025 4 Cloud Sicherheit 848 1 436 000 Detecon (Schweiz) AG, Zürich 1 417 936 Angebot vom 14. März 2025 Eraneos Switzerland AG, Zürich 1 436 000 Angebot vom 17. März 2025 InfoGuard AG, Baar 1 402 040 Angebot vom 14. März 2025 5 Assurance Informationssicherheit – 1620 3 090 895 Audit & Advisory BearingPoint AG, Zürich 3 090 895 Angebot vom 17. März 2025 Deloitte AG, Zürich 2 980 800 Angebot vom 14. März 2025 Ernst & Young AG, Basel 2 967 840 Angebot vom 17. März 2025 Swiss Infosec AG, Sursee 2 332 800 Angebot vom 13. März 2025 Wavestone Germany AG, München 2 890 080 Angebot vom 13. März 2025 Total über alle Lose 12 679 587 Mit den insgesamt 19 Zuschlagsempfängerinnen (zwölf Unternehmen) wird je ein Rahmenvertrag mit einer Laufzeit von 24 Monaten abgeschlos­ sen. Der Auftraggeber kann den Vertrag optional dreimal um jeweils zwölf Monate verlängern. Die Vertragsdauer beträgt somit längstens 60 Monate.

Die konkreten Leistungen können gemäss dem in den Ausschreibungs­ dokumenten definierten Verfahren bei einem oder mehreren Rahmen­ vertragspartnerinnen bezogen werden. Mit dem Abschluss der Rahmen­ verträge entsteht weder eine Abnahmepflicht für den Kanton Zürich noch eine Leistungspflicht für die Vertragspartnerinnen.

III. Finanzierung und Bezug Aus den eingereichten Angebotspreisen ergibt sich über die nächsten fünf Jahre ein Gesamtvolumen von Fr. 12 679 587 (Vertragslaufzeit von 24 Monaten mit optionaler dreimaliger Verlängerung um jeweils zwölf Monate, was eine Vertragsdauer von längstens 60 Monaten ergibt). Der Betrag entspricht dem Höchstbetrag der Vergabe über alle Lose hinweg. Die Bewilligung der Ausgaben erfolgt im Einzelfall und im Hinblick auf einen konkreten Leistungsbezug entsprechend den internen Aus­ gabenkompetenzen der jeweiligen Direktion und der Staatskanzlei.

Dispositiv

Auf Antrag der Finanzdirektion beschliesst der Regierungsrat:

I. Die Zuschläge im Expertenpool Strategische Informationssicher­ heit werden im Sinne der Erwägungen wie folgt vergeben: Los 1 – Risikomanagement zu Fr. 1 736 960 an: – Deloitte AG, Zürich – Eraneos Switzerland AG, Zürich – Ernst & Young AG, Basel Los 2 – Third-party Risk Management zu Fr. 1 965 584 an: – BaXian AG, Küsnacht – Ernst & Young AG, Basel – Redguard AG, Bern Los 3 – Security Consulting zu Fr. 4 450 148 an: – Eraneos Switzerland AG, Zürich – InfoGuard AG, Baar – KPMG AG, Zürich – Redguard AG, Bern – Zühlke Engineering AG, Schlieren Los 4 – Cloud Sicherheit zu Fr. 1 436 000 an: – Detecon (Schweiz) AG, Zürich – Eraneos Switzerland AG, Zürich – InfoGuard AG, Baar

Los 5 – Assurance Informationssicherheit – Audit & Advisory zu Fr. 3 090 895 an: – BearingPoint AG, Zürich – Deloitte AG, Zürich – Ernst & Young AG, Basel – Swiss Infosec AG, Sursee – Wavestone Germany AG, München

II. Dieser Beschluss ist bis zur Veröffentlichung des Zuschlags auf simap.ch nicht öffentlich.

III. Mitteilung an die Finanzdirektion.

Vor dem Regierungsrat Die Staatsschreiberin:

Kathrin Arioli