Compliance · Spanisches Nationales Sicherheitsgrundgesetz

Risikoanalyse mit MAGERIT für das ENS: Praktische Anleitung

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Beherrschen Sie MAGERIT v3 für Ihre ENS-Risikoanalyse. Asset-Inventar, Bedrohungen, Auswirkungen, Schutzmaßnahmen und das PILAR-Werkzeug des CCN Schritt für Schritt.

TL;DR · Zusammenfassung

Die Risikoanalyse ist das Herzstück des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS). Ohne eine rigorose Risikoanalyse lässt sich nicht bestimmen, welche Kontrollen Ihre Organisation benötigt, mit welchem Anforderungsniveau und wo die Sicherheitsressourcen konzentriert werden sollen. MAGERIT (Methodik zur Analyse und Steuerung von Risiken in Informationssystemen) ist in Spanien die Referenzmethode für diesen Prozess, und diese Anleitung erklärt Ihnen, wie Sie sie in Ihrem ENS-Anpassungsprojekt praktisch anwenden.

Was MAGERIT ist und warum es relevant ist

MAGERIT ist die vom Obersten Rat für elektronische Verwaltung entwickelte Methodik, derzeit in Version 3. Sie besteht aus drei Büchern. Buch I beschreibt die Methode, die Phasen der Analyse und die grundlegenden Konzepte. Buch II ist der Katalog der Elemente: Asset-Typen, Bewertungsdimensionen, Bewertungskriterien, Bedrohungskatalog und Schutzmaßnahmenkatalog. Buch III ist die Technikleitlinie, die anwendbare quantitative und qualitative Verfahren beschreibt.

Obwohl das ENS MAGERIT nicht als einzige Methodik vorschreibt, ist sie in der Praxis der Standardrahmen, den ENS-Auditoren erwarten. Eine andere Methodik zu verwenden ist möglich, erfordert aber den Nachweis, dass sie die Anforderungen des Anhangs II des ENS erfüllt — was unnötige Komplexität schafft.

Das PILAR-Werkzeug des CCN

PILAR ist das vom Centro Criptológico Nacional entwickelte Software-Werkzeug, das die MAGERIT-Methodik automatisiert umsetzt. Es existiert in mehreren Versionen: PILAR vollständig für fortgeschrittene Risikoanalysen, μPILAR (Mikro-PILAR) als vereinfachte Version für kleine Organisationen und PILAR Cloud als Cloud-Version.

PILAR enthält die vollständigen MAGERIT-Kataloge, berechnet automatisch Auswirkungen und Risiko aus den eingegebenen Bewertungen, liefert Standardberichte, die von ENS-Auditoren akzeptiert werden, und wird regelmäßig mit neuen Bedrohungen und Schutzmaßnahmen aktualisiert.

Der Zugang zu PILAR setzt eine Registrierung auf dem CCN-Portal voraus. Das Werkzeug ist für den öffentlichen Sektor und dessen Dienstleister kostenfrei.

Schritt 1: Asset-Inventar

Der erste Schritt besteht darin, alle Informations-Assets des Systems innerhalb des ENS-Geltungsbereichs zu identifizieren. MAGERIT klassifiziert Assets in Schichten: Informationen und Daten (was geschützt werden soll), Dienste (was angeboten wird), Anwendungen und Software, Geräte und Hardware-Infrastruktur, Kommunikation und Netzwerke, Informationsträger (physisch und elektronisch), Einrichtungen und Personal.

Für jedes Asset werden Bezeichnung, Typ gemäß MAGERIT-Katalog, Eigentümer oder Verantwortlicher, Standort und Abhängigkeitsbeziehungen zu anderen Assets dokumentiert.

Schritt 2: Bewertung der Assets in DICAT-Dimensionen

Jedes Asset wird in fünf Sicherheitsdimensionen bewertet: Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Nachvollziehbarkeit. Die Bewertung kann qualitativ (NIEDRIG, MITTEL, HOCH) oder quantitativ erfolgen, wobei für das ENS die qualitative Bewertung ausreicht.

Schritt 3: Identifikation der Bedrohungen

Für jedes Asset werden die Bedrohungen identifiziert, die sich materialisieren und negative Auswirkungen verursachen könnten. Der Bedrohungskatalog von MAGERIT (Buch II) bietet eine erschöpfende Liste, organisiert nach Kategorien: Naturkatastrophen, industriellen Ursprungs, unbeabsichtigte Fehler sowie absichtliche Angriffe.

Schritt 4: Schätzung von Auswirkung und Eintrittswahrscheinlichkeit

Für jedes Paar Asset-Bedrohung werden die Eintrittswahrscheinlichkeit und die Auswirkung in jeder Sicherheitsdimension geschätzt. PILAR erleichtert diesen Prozess durch vordefinierte Schätzungen, die der Analyst an den spezifischen Kontext anpassen kann.

Schritt 5: Berechnung des Risikos

Das Risiko wird als Kombination aus Auswirkung und Wahrscheinlichkeit berechnet. PILAR führt diese Berechnung automatisch durch und stellt die Ergebnisse in Risikomatrizen dar, die in drei Zonen ausgedrückt werden: akzeptables Risiko (grün), tolerierbares Risiko mit Maßnahmen (gelb) und inakzeptables Risiko mit Sofortmaßnahmen (rot).

Schritt 6: Auswahl der Schutzmaßnahmen

Die Schutzmaßnahmen sind die Sicherheitsmaßnahmen, die zur Reduktion des Risikos auf ein akzeptables Niveau implementiert werden. Der MAGERIT-Schutzmaßnahmenkatalog bietet eine umfangreiche Liste, die direkt auf die ENS-Kontrollen abgebildet wird.

Schritt 7: Bestimmung des Restrisikos

Das Restrisiko ist jenes, das nach Anwendung aller ausgewählten Schutzmaßnahmen verbleibt. Es muss formell durch den Sicherheitsverantwortlichen oder die Geschäftsleitung akzeptiert werden. Bleibt es inakzeptabel, sind die Maßnahmen zu verstärken.

Häufige Fehler bei der ENS-Risikoanalyse

Der erste typische Fehler ist die Unvollständigkeit des Asset-Inventars: kritische Assets wie Datenbanken, Backup-Systeme oder Drittverbindungen werden vergessen. Der zweite ist mangelnde Konsistenz bei Bewertungen. Der dritte ist Veralterung: die Analyse wird einmal erstellt und nicht regelmäßig überprüft. Der vierte ist fehlende Einbindung der Fachverantwortlichen.

Wie präsentiert man die Risikoanalyse der Geschäftsleitung?

Die Geschäftsleitung benötigt keine PILAR-Tabellen. Sie muss drei Dinge verstehen: welche Risiken am gravierendsten sind, welche Maßnahmen vorgeschlagen werden und was sie kosten, sowie welches Restrisiko übernommen wird und warum es akzeptabel ist. Bereiten Sie einen Executive-Bericht von zwei bis drei Seiten vor, gestützt auf den vollständigen technischen PILAR-Bericht als Anhang.

Weiterlesen zu ENS-Compliance

Benötigen Sie Unterstützung?

Beratung zur ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erste Sitzung ohne Kosten.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro