Umstellung Unternehmenssoftware auf Cloud-Lösung für Stadtwerke Esslingen

Die Stadtwerke Esslingen am Neckar GmbH & Co. KG (SWE) planen die Umstellung ihrer aktuellen Unternehmenssoftware, die derzeit als Lizenzmodell betrieben wird, auf eine zukunftsfähige Software-as-a-Service (SaaS)-Lösung. Diese Umstellung betrifft sämtliche kaufmännischen, technischen und administrativen Funktionen sowie energiewirtschaftliche Prozesse im Netz und Vertrieb. Die neue Lösung soll ab 2027 als Standardlösung implementiert werden und beinhaltet die Cloud-Migration aller relevanten Unternehmensprozesse. Nach der Migration sind Wartung, Pflege, kontinuierliche Verbesserungen und Optimierungen der SaaS-Lösung mit einer sehr hohen Verfügbarkeit und der Gewährleistung des 24-Stunden-Lieferantenwechsels durch den Auftragnehmer erforderlich. Die SWE erwarten ein tragfähiges, zukunftsweisendes Konzept bzw. einen Implementierungsplan für die Einführung und den Übergang der Softwareapplikationen, inklusive der Unterstützung durch KI-Services in die bestehenden Business-Workflows. Die Applikations-, Projekt-, Dokumentations- und Supportsprache muss vollständig Deutsch sein. Der Funktionsumfang der SaaS-Lösung muss unter anderem Rechnungswesen, Auftragsabwicklung, BI, Finanzbuchhaltung, Anlagenbuchhaltung, Reporting, Controlling, Bestellwesen, Material- und Lagerverwaltung, Auftragsmanagement, Billing, Vertrieb und Marktprozesse (Rolle Lieferant und Netzbetreiber) abdecken. Dies schließt Customer Self Service, Neukundenmanagement, Marketing, Produktentwicklung, Vertragsmanagement, Berichtswesen, Netznutzungsmanagement, Debitorenmanagement, Kundenmanagement, Datenaustausch, Geräteverwaltung, GPKE/GeLi_WiM-Prozesse, Ableseorganisation, NN-Abrechnung, MeMi-Abrechnung, EDM, Statistik, EEG/KWK/EnFG/LFW24 und Netzberechnungen ein. Des Weiteren sind Querschnittsthemen wie Überleitung, Schnittstellen (z.B. zu externer FIBU, SAP-HR, Inplast), Marktschnittstelle, EDI-Prozesse, OutPutManagement und Prozessunterstützung (z.B. EDM, Netznutzungsmanagement, Kundenservice) gefordert. Die SWE benötigen eine Lösung, die eine nahezu 24/7-Verfügbarkeit bietet und die Digitalisierung der Unternehmen unterstützt. Bestehende und neue Umsysteme, auch vor Ort installierte, müssen an die SaaS-Lösung angebunden oder durch Eigenlösungen des Auftragnehmers ersetzt werden können, um eine hybride Technologie zu gewährleisten. Die Übertragbarkeit des Betriebs der SaaS-Lösung auf einen anderen Anbieter nach Vertragsablauf muss möglich sein. Die Lösung muss Kosten- und Prozessexzellenz in konventionellen und regulierten Prozessen sicherstellen, hohe Flexibilität bei der Anpassung von Geschäftsprozessen bieten und KI-gestützte Unterstützung ermöglichen. Die Umsetzung digitaler Technologien wie Analytics, Social Media, Mobile und M2M-Kommunikation ist gefordert. Flexibilisierung im Energiesystem, Rollout intelligenter Messsysteme, Automatisierung der Netzsteuerung, Entwicklung neuer Geschäftsmodelle und Digitalisierung der Marktbearbeitung sind weitere Anforderungen. Datenschutz (EU-DSGVO), Datensicherheit, Compliance und IT-Sicherheitsanforderungen für kritische Infrastrukturen (ISMS/NIS 2) müssen gewährleistet sein, ebenso die Fortführung des 24-Stunden-Lieferantenwechsels. Eine partnerschaftliche Zusammenarbeit mit aktiver Mitgestaltung des Einführungsprozesses wird erwartet, ebenso wie die prozessuale Integration von Incident Management bis zur IT-Roadmap-Entwicklung. Anwenderforen, Mitwirkungsgremien zur Priorisierung von Weiterentwicklungen und Schulungsangebote sind ebenfalls gewünscht. Der Auftragnehmer muss eine nahtlose Cloud-Integration gewährleisten, die SaaS-Lösung aktualisieren und warten, wobei Wartungskosten in den Abonnementgebühren enthalten sein sollen. Sämtliche Anforderungen der Marktkommunikation sowie gesetzliche und regulatorische Anforderungen müssen fristgerecht umgesetzt werden, inklusive Weiterentwicklungen und Formatwechsel. Die Applikationen müssen jederzeit gesetzliche Anforderungen, BNetzA-Anforderungen und GoBD erfüllen. Leistungsfähige Tools für Prozessüberwachung und -automatisierung sind bereitzustellen, die bei Fehlfunktionen automatismen aktivieren und Benachrichtigungs-/Alarmierungsprozesse individuell anpassbar machen. Eine Managementoberfläche zur Ursachenermittlung und Störungsbeseitigung wird benötigt. Zertifikate und Testate von Wirtschaftsprüfern sind auf Anforderung vorzulegen. Änderungen gesetzlicher Regelungen oder BNetzA-Anforderungen müssen termingerecht berücksichtigt werden. E-Mail-, Web-, Daten- und Cybersicherheit sind essenziell, und der Auftragnehmer muss dies durch ein ISO 27001-Zertifikat nachweisen. Schutz vor Phishing, Schadsoftware und Spam, Web Application Firewalls (WAF), Secure Coding Practices, regelmäßige Updates, Verschlüsselung, Zugriffskontrollen, Datensicherung und -wiederherstellung sind gefordert. Systemtechnische Anforderungen umfassen das „minimale-Rechte-Prinzip“ für Benutzerrechte, Kompatibilität mit Microsoft Office 365, Edge/Firefox und Acrobat Reader. Lokale Schnittstellen (insbesondere USB) dürfen nicht genutzt werden. Die Unterstützung gängiger Druckerprotokolle und Ports ist erforderlich. Zeitsynchronisation muss über interne NTP-Server erfolgen, und Namensauflösung über interne DNS-Server. Automatisches Deployment mittels MSI oder Parameteraufruf wird erwartet. Die SaaS-Lösung muss mit Microsoft Exchange Server kompatibel sein. Frei konfigurierbare E-Mail-Verwaltung und -Zustellung sind notwendig, inklusive der Möglichkeit, Gruppen-E-Mails zu leiten. Das Blacklisting aufgrund von Massenmailaktionen muss ausgeschlossen sein. Schnittstellen zur Betrachtung/Drucken und erweiterten Bearbeitung von Dokumenten sind erforderlich, ebenso wie Lesezugriff auf die Datenbank mit Download als Excel und PDF. Ein Benutzer-/Berechtigungskonzept für Netz/Liefer/FI-Daten ist notwendig. Datensicherung erfolgt auf SMB-Freigabe, mindestens einmal täglich, mit Wiederherstellung durch den Auftragnehmer. Mindestens ein Test- und ein Produktivsystem sind erforderlich, wobei Testsystem-Spiegelungen keine Zusatzkosten verursachen dürfen. Logging von User-Aktivitäten zur Fehlerermittlung muss möglich sein. Die Jobablaufsteuerung muss ereignisgesteuert oder zeitgesteuert funktionieren. Die SaaS-Lösung muss unter IP Version 6 lauffähig sein. Verschlüsselung des internen Datenverkehrs darf die Lauffähigkeit nicht einschränken. Plattformunabhängige mobile Apps und Offline-Datenhaltung werden vorausgesetzt. Computer Telefonie Integration (CTI) mittels standardisierter Schnittstellen (z.B. TAPI) zur bestehenden Telefonanlage (Mitel) ist erforderlich. Ein Ticketsystem als zentrale Anlaufstelle mit SWE-spezifischen SLAs, transparentem Bearbeitungsstand und verlässlichen Reaktionszeiten wird erwartet. Eine revisionssichere, vollintegrierte Archivierung aller geschäftsrelevanten Belege ist notwendig. Anwender werden während der Vertragslaufzeit geschult, mit einem mehrstufigen Konzept (Grund- und Aufbauschulung). Mindestanforderungen an die Servicequalität (SLA) umfassen Onlinezeiten, bediente Betriebszeiten (Supportzeit) von Montag bis Freitag 06:30 - 17:30 Uhr (außer Feiertage BaWü) und definierte Reaktionszeiten für verschiedene Prioritätsstufen (15 Min. für Prio 1, 2 Std. für Prio 2, 1 Tag für Prio 3, 5 Tage für Prio 4). Rufbereitschaft ist verpflichtend. Ein effizientes Change-Request-Verfahren ist zu gewährleisten. Die Unterstützung der Anwender in der Stabilisierungsphase durch Schulungen ist erforderlich. Vollständige, fortlaufend aktualisierte Dokumentationen in deutscher Sprache sind gefordert. Datenschutz und Datensicherheit gemäß EU-DSGVO und BSI-Grundschutz sind essenziell. Funktionen zur automatisierten und manuellen Umsetzung des Rechts auf Löschung, Sperrfunktion bei Aufbewahrungsfristen, klassifizierter Datenzugriff mit mitarbeiterscharfer Zugriffskontrolle und ein differenziertes Rollenkonzept mit minimaler Rechtevergabe sind erforderlich. Datenkategorisierung, -klassifizierung und Gewährleistung der Datenintegrität (revisionssichere Unveränderbarkeit) sind notwendig. Ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO ist abzuschließen, und Subunternehmer dürfen nur mit Zustimmung eingebunden werden. Technisch-organisatorische Maßnahmen müssen dem Stand der Technik entsprechen (Art. 32 DSGVO, BSI IT-Grundschutz, ISO/IEC 27001), inklusive Verschlüsselung, rollenbasierter Zugriffskontrolle, Protokollierung, Zwei-Faktor-Authentifizierung, regelmäßiger Sicherheitsupdates und Notfall-/Backup-Konzept. Die Datenverarbeitung muss ausschließlich innerhalb der EU oder des EWR erfolgen. Nach Vertragsende sind Daten vollständig und revisionssicher zu löschen oder dem Auftraggeber in einem maschinenlesbaren Format zur Verfügung zu stellen. Eine Datenschutz-Folgenabschätzung (DSFA) ist bei Bedarf durchzuführen. Die Lösung muss die Umsetzung von Betroffenenrechten (Auskunft, Berichtigung, Löschung etc.) ermöglichen. Mitarbeiter des Auftragnehmers müssen geschult und zur Vertraulichkeit verpflichtet sein. Die Software muss die Umsetzung von Datenschutzanforderungen technisch unterstützen (Protokollierung, Kontrolle, Überwachung, Lösch-/Sperrprozesse). Bei Vertragsbeendigung ist eine Unterstützung bei der Datenherausgabe und ein lückenloser Übergang zum neuen Dienstleister zu gewährleisten.