Ersteller Okan Dogan

Bundesnetzagentur veröffentlicht den Katalog von Sicherheitsanforderungen für Telekommunikationsnetze

Die Bundesnetzagentur (BNetzA) hat kürzlich den aktuellen Entwurf des Kataloges von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten veröffentlicht (Link). Der Katalog von Sicherheitsanforderungen für Telekommunikationsnetze wurde in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.

An wen richtet sich der Katalog?

Der Katalog von Sicherheitsanforderungen gilt für Betreiber von Telekommunikations- und Datenverarbeitungssystemen und umfasst auch die Verarbeitung personenbezogener Daten. Die Inhalte des Katalogs bilden im Übrigen die Grundlage für das Sicherheitskonzept und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen zur Erreichung der Schutzziele i.S.d. § 109 TKG.

Wesentliche Inhalte des Kataloges

Der Entwurf des Kataloges sieht in seiner Anlage 1 im Wesentlichen vor, dass

• kritische Komponenten nur dann eingesetzt werden dürfen, wenn diese zertifiziert worden sind (Abschnitt 2),
• zusätzlich zur Zertifizierung kritischer Komponenten Vertrauenswürdigkeitserklärungen von Herstellern und Systemlieferanten eingeholt werden müssen (Abschnitt 3),
• die Produktintegrität jederzeit – d.h. beginnend mit der Abnahme – sichergestellt sein muss (Abschnitt 4),
• ein Sicherheitsmonitoring (MI: Monitoring-Infrastruktur) eingeführt ist, um einen dauerhaft sicheren Betrieb zu gewährleisten (Abschnitt 5),
• in sicherheitsrelevanten Bereichen nur eingewiesenes Fachpersonal eingesetzt wird (Abschnitt 6),
• zum Schutz gegen Störungen und zur Beherrschung der Risiken genügend Redundanzen vorhanden sind (Abschnitt 7) und
• durch den Einsatz von kritischen Netz- und Systemkomponenten unterschiedlicher Hersteller „Monokulturen“ zu vermeiden sind (Abschnitt 8).

BNetzA startet Konsultation zum Entwurf kritischer Funktionen

Im Zusammenhang mit dem Katalog von Sicherheitsanforderungen hat die Bundesnetzagentur (BNetzA) gleichzeitig eine Konsultation zum Entwurf einer „Liste kritischer Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial“ gestartet (Link).

Die Liste kritischer Funktionen soll in Zukunft kontinuierlich aktualisiert werden, so dass neu gewonnene Erkenntnisse einfließen können. So werden etwa Ergebnisse internationaler Analysen, wie zum Beispiel seitens der Agentur der Europäischen Union für Cybersicherheit oder des Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation berücksichtigt.

Als „kritisch“ werden derzeit die folgenden Funktionen angesehen:

• Teilnehmerverwaltung und kryptographische Mechanismen (sofern Bestandteil des Netzes)
• Netzwerkübergreifende Schnittstellen
• Netzwerkdienste
• Network Functions Virtualization (NFV) Management und Netzwerk-Orchestrierung (MANO) sowie Virtualisierung
• Management- und andere Unterstützungssysteme
• Transport und Informationsflussteuerung
• Lawful Interception

Stellungnahmen zur Konsultation der Liste kritischer Funktionen können bis zum 30. September 2020 abgegeben werden.

Gerne unterstützen wir Sie z.B. bei der Auswahl vertrauenswürdiger Anbieter, der Einschätzung bzw. Verringerung datenschutzrechtlicher Risiken und weiteren relevanten telekommunikations- sowie datenschutzrechtlichen Fragestellungen.

Bildnachweis: chaitawat, pixabay.com

CPV-Codes: Seit dem 15.01.2020 sind neue Vorgaben zu beachten

Die EU-Kommission hat neue Vorgaben für die Zuordnung der CPV-Codes in EU-Bekanntmachungen eingeführt. Auftragsbekanntmachungen, in denen die Regel (RULE=”388″) nicht eingehalten wird, werden künftig nicht zur Veröffentlichung auf TED angenommen. Die Neuerungen greifen schrittweise seit dem 15. Januar 2020.

Wie die EU-Kommission mitgeteilt hat, wurde bei den meisten EU-weiten Ausschreibungen in den zurückliegenden Jahren nicht zutreffende “CPV-Codes” angegeben. Da CPV-Codes in erster Linie dazu dienen, Unternehmen in den Mitgliedstaaten der EU das Auffinden eines Vergabeverfahrens zu erleichtern, will die Kommission den Falschangaben künftig Einhalt gebieten. Um die korrekte Anwendung der CPV-Codes sicherzustellen, hat die EU-Kommission für die Übermittlung von EU-Bekanntmachungen eine neue Regel (RULE=”R388″) eingeführt. Diese sieht eine strikte Zuordnung der ausgeschriebenen Art der Leistung zum Haupt-CPV-Code vor.

Mit anderen Worten: Der beim Anlegen der Auftragsbekanntmachung gewählte Haupt-CPV-Code muss zwingend mit der zuvor eingegebenen Art des Auftrags (Lieferleistung, Dienstleistung, Bauleistung) zusammenhängen.

Was müssen Auftraggeber beachten?

Damit der bei der Erfassung der Auftragsbekanntmachung gewählte Haupt-CPV-Code unbedingt zur zuvor eingegebenen Art des Auftrags passt, sind bei Bekanntmachungen künftig die folgenden Zusammenhänge zu beachten:

• Bei Lieferleistungen als “Art des Auftrags” muss der Haupt-CPV-Code mit den Ziffern 0 bis 44 oder 48 beginnen.
• Im Fall von Bauleistungen als “Art des Auftrags” muss der Haupt-CPV-Code mit den Ziffern 45 beginnen.
• Und bei Dienstleistungen als “Art des Auftrags” muss der Haupt-CPV-Code mit den Ziffern 49 bis 98 beginnen.

Vorsicht: Falsche Zuordnung = keine Veröffentlichung

Die falsche Zuordnung zur ausgeschriebenen Leistungsart wird dazu führen, dass die Schnittstelle zum Amtsblatt der EU die betreffende Bekanntmachung ablehnt.

Seit dem 15. Januar 2020 ist diese neue Regel zunächst nur im Hinblick auf Vorinformationen gültig. Ab dem 15. April 2020 wird diese Regel schließlich für die praktisch relevanteren Auftragsbekanntmachungen greifen. Alle anderen Bekanntmachungen werden ab dem 15. Juli 2020 betroffen sein.

Öffentliche Auftraggeber sind daher gut beraten, ihren jeweiligen eVergabe-Anbieter auf diese Neuerung anzusprechen und sich über eine korrekte Umsetzung zu vergewissern.

Wie ist ein CPV-Code aufgebaut?

Die CPV-Nomenklatur besteht aus einem Hauptteil und einem Zusatzteil. Der Hauptteil definiert den Auftragsgegenstand und beruht auf einer Baumstruktur, die Codes von bis zu 9 Ziffern (d.h. einen Code bestehend aus 8 Ziffern sowie eine Prüfziffer) umfasst. Diesen ist eine Bezeichnung zugeordnet, die die Art der Lieferungen, Bauarbeiten oder Dienstleistungen beschreibt, die den Auftragsgegenstand darstellen:

• Die beiden ersten Ziffern betreffen die Abteilungen (XX000000-Y);
• Die drei ersten Ziffern betreffen die Gruppen (XXX00000-Y);
• Die vier ersten Ziffern betreffen die Klassen (XXXX0000-Y);
• Die fünf ersten Ziffern betreffen die Kategorien (XXXXX000-Y);

Jede der letzten drei Ziffern entspricht einer weiteren Präzisierung innerhalb der einzelnen Kategorie. Eine neunte Ziffer dient der Überprüfung der vorstehenden Ziffern.

Der Zusatzteil kann genutzt werden, um die Beschreibung des Auftragsgegenstands zu ergänzen. Dieser besteht wiederum aus einem alphanumerischen Code, der die Eigenschaften oder die Zweckbestimmung des zu erwerbenden Gutes weiter präzisiert.

Weitere Informationen zur CPV-Nomenklatur finden Sie hier.

Bildnachweis (Titelbild): Capri23auto, pixabay.com / Quelle: ABZ Bayern

Vergaberecht: Neue EU-Schwellenwerte zum 01.01.2020

Öffentliche Auftraggeber und Bieter müssen ab dem 01. Januar 2020 neue EU-Schwellenwerte zu Grunde legen.

Wie der Städte- und Gemeindebund Nordrhein-Westfalen berichtet, habe die EU-Kommission – turnusmäßig – eine Anpassung der EU-Schwellenwerte im Vergaberecht angekündigt. Die Anpassung betreffe die „klassische“ Vergaberichtlinie (2014/24/EU), die Sektorenvergaberichtlinie (2014/25/EU), die Konzessionsvergaberichtlinie (2014/23/EU) sowie die Richtlinie Verteidigung und Sicherheit (2009/81/EG).

Hintergrund zur Anpassung der Schwellenwerte

Die EU-Schwellenwerte beruhen auf den Schwellenwerten des Agreement on Government Procurement (GPA), die in sogenannten Sonderziehungsrechten (SZR) angegeben werden. Diese, vom IWF künstlich geschaffene, Währung kommt beispielsweise auch im Transportrecht zum Einsatz. Der Kurs der Sonderziehungsrechte verändert sich zum Euro laufend, so dass alle zwei Jahre eine Anpassung der EU-Schwellenwerte an die Sonderziehungsrechte erfolgt (zuletzt mit Wirkung zum 01.01.2018). Bisher erfolgten Anpassungen zumeist nach oben. Diesmal soll eine Anpassung nach unten erfolgen.

Die aktuellen und neuen Schwellenwerte werden aus der folgenden Übersicht ersichtlich:

Wir gehen zwar von der Richtigkeit der Angaben des Städte- und Gemeindebunds aus, die entsprechenden delegierten Verordnungen der EU-Kommission zur Änderung der Vergaberichtlinien im Hinblick auf die Schwellenwerte für Auftragsvergabeverfahren wurden aber noch nicht im Amtsblatt der Europäischen Union bekanntgemacht. Erfahrungsgemäß sollte dies aber spätestens im November / Dezember dieses Jahres geschehen.

Neue EU-Schwellenwerte gelten unmittelbar

Nachdem die neuen Schwellenwerte auf EU-Ebene entsprechend umgesetzt worden sind, bedarf es aufgrund der in § 106 Absatz 1 GWB vorgesehenen dynamischen Verweisung keines Umsetzungsakts durch den deutschen Gesetzgeber. Die neuen Schwellenwerte gelten somit ab dem Jahreswechsel unmittelbar für öffentliche Auftraggeber und Sektorenauftraggeber in Deutschland.

Update: EU-Schwellenwerte 2020/2021 veröffentlicht

Die jeweils neuen EU-Schwellenwerte wurden nunmehr in den Delegierten Verordnungen (EU) 2019/1827, 2019/1828, 2019/1829 und 2019/1830 der Kommission vom 30. Oktober 2019 veröffentlicht. Sie erreichen diese über die folgende Übersicht:

• Vergaberichtlinie 2014/24/EU,
• Sektorenrichtlinie 2014/25/EU,
• VS-Richtlinie 2009/81/EG und
• Konzessionsrichtlinie 2014/23/EU.

Quelle: Städte- und Gemeindebund NRW

Bildnachweis: Jai79, pixabay.com

EuGH: HOAI Mindest- und Höchstsätze sind europarechtswidrig

Der Europäische Gerichtshof (EuGH) hat am 4. Juli 2019 sein Urteil im HOAI-Vertragsverletzungsverfahren verkündet. Nach Auffassung des Gerichts sind die verbindlichen Mindest- und Höchstsätze der HOAI mit dem EU-Recht nicht vereinbar.