Compliance · Spanisches Nationales Sicherheitsgrundgesetz

ENS-Zertifizierung: Prozess, Anforderungen und Kosten 2026

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Vollständige Anleitung zur ENS-Zertifizierung: Phasen, Anforderungen, akkreditierte Stellen, Kosten und Fristen für ein erfolgreiches Projekt.

TL;DR · Zusammenfassung

Die Zertifizierung nach dem Spanischen Nationalen Sicherheitsgrundgesetz (ENS) ist ein Prozess, der Planung, Ressourcen und ein präzises Verständnis dessen erfordert, was Auditoren bewerten werden. Es ist kein einfacher Verwaltungsakt, aber mit der passenden Vorbereitung und klarem Fahrplan kann jede Organisation ihn erfolgreich abschließen. Dieser Leitfaden beschreibt jede Phase des Prozesses, die Anforderungen nach Kategorie, die realen Kosten und die üblichen Fristen.

Konformitätserklärung vs. formelle Zertifizierung

Das ENS sieht zwei Akkreditierungsmechanismen je nach Systemkategorie vor.

Konformitätserklärung (Kategorie NIEDRIG)

Systeme der Kategorie NIEDRIG benötigen kein externes Audit. Der Systemverantwortliche kann eine Konformitätserklärung ausstellen, die die Erfüllung der anwendbaren Anforderungen bescheinigt. Sie ist vom Sicherheitsverantwortlichen zu unterzeichnen, zu datieren und auf Anfrage verfügbar zu halten. Erneuerung alle zwei Jahre. Sie ist kein bloßer Formalismus: Der unterzeichnende Verantwortliche übernimmt reale Verantwortung.

Formelle Zertifizierung (Kategorien MITTEL und HOCH)

Systeme der Kategorien MITTEL und HOCH müssen eine Zertifizierung erhalten, die von einer durch ENAC nach dem Zertifizierungsschema des CCN akkreditierten Stelle ausgestellt wird. Dies bedeutet ein Vor-Ort-Audit durch qualifizierte Auditoren.

Phase 0: interne Vorbereitung

Vor der Beauftragung des Zertifizierungsaudits muss die Anpassung an das ENS abgeschlossen sein: Kategorisierung, Sicherheitsleitlinie, Risikoanalyse mit MAGERIT oder einer anderen anerkannten Methodik, Umsetzung der anwendbaren Kontrollen, Erstellung der Anwendbarkeitserklärung und mindestens ein internes Audit. Die interne Vorbereitung ist der wichtigste Erfolgsfaktor.

Phase 1: Dokumentenaudit

Das Auditteam prüft vor dem Vor-Ort-Termin die gesamte Dokumentation des Sicherheitsmanagementsystems. Bei schwerwiegenden dokumentarischen Mängeln kann das Audit verschoben werden.

Phase 2: Vor-Ort-Audit

Die Auditoren prüfen vor Ort die tatsächliche Implementierung und Wirksamkeit der Kontrollen: Interviews, Belege (Logs, Aufzeichnungen, Incident-Berichte), technische Überprüfungen, Verifizierung der Verfahrenseinhaltung.

Phase 3: Auditbericht

Das Auditteam erstellt einen detaillierten Bericht, der Befunde in drei Kategorien einteilt. Schwere Abweichungen verhindern die Zertifizierung und müssen vorab gelöst werden. Geringe Abweichungen verhindern sie nicht, sind aber innerhalb einer Frist zu beheben. Bemerkungen sind Verbesserungsempfehlungen.

Phase 4: Lösung der Abweichungen

Bei festgestellten Abweichungen hat die Organisation eine Frist (üblicherweise 90 Tage für schwere und 6 Monate für geringe), um Korrekturen zu belegen.

Phase 5: Ausstellung des Zertifikats

Das ENS-Zertifikat ist zwei Jahre gültig. Während dieses Zeitraums führt die Zertifizierungsstelle mindestens ein Überwachungsaudit durch (üblicherweise nach einem Jahr). Bei Ablauf ist ein vollständiges Erneuerungsaudit erforderlich.

Welche Zertifizierungsstellen gibt es?

Nur von ENAC für das ENS-Schema akkreditierte Stellen können gültige Zertifikate ausstellen. Zu den wichtigsten akkreditierten Stellen zählen AENOR, Bureau Veritas, SGS und BSI sowie weitere, die sich progressiv anschließen. Auswahlkriterien sind Branchenerfahrung, Verfügbarkeit von ENS-erfahrenen Auditoren, geografische Abdeckung sowie Preis und Konditionen.

Kosten der Anpassung (Beratung)

Die Beratungskosten hängen stark von Größe, Komplexität und Ausgangslage ab. Als Richtwert kann ein kleines oder mittelständisches Unternehmen mit einem System der Kategorie MITTEL Beratungskosten zwischen 12.000 und 35.000 € erwarten. Für größere Organisationen oder Kategorie HOCH können die Kosten 50.000 € übersteigen.

Kosten der Zertifizierung (externes Audit)

Das Zertifizierungsaudit kostet zwischen 4.000 und 15.000 € für Kategorie MITTEL und 8.000 bis 25.000 € für Kategorie HOCH. Jährliche Überwachungsaudits liegen typischerweise bei 50–60 % des Erstaudits.

Welche Förderungen gibt es?

Das Programm Kit Consulting der spanischen Regierung kann die Beratungskosten im Bereich Cybersicherheit ganz oder teilweise abdecken — einschließlich der ENS-Anpassung — für Unternehmen mit 10 bis 249 Beschäftigten, mit Gutscheinen bis zu 24.000 €.

Wie lange dauert ein Zertifizierungsprojekt?

Diagnose und Kategorisierung: 2 bis 4 Wochen. Risikoanalyse mit MAGERIT: 4 bis 8 Wochen. Implementierung der Kontrollen: 8 bis 24 Wochen. Internes Audit: 2 bis 4 Wochen. Bearbeitung interner Befunde: 2 bis 6 Wochen. Externes Audit: 2 bis 4 Wochen. Insgesamt 6 bis 12 Monate für Kategorie MITTEL und 9 bis 18 Monate für Kategorie HOCH.

Die 10 häufigsten Abweichungen in ENS-Audits

Erste: unvollständige oder nicht aktualisierte Risikoanalyse. Zweite: Sicherheitsleitlinie, die nicht alle Anforderungen des Anhangs II erfüllt. Dritte: fehlende Funktionstrennung. Vierte: Incident Management ohne formales Verfahren. Fünfte: unzureichende Schulung und Sensibilisierung. Sechste: mangelhafte Zugriffskontrolle. Siebte: kein erprobter Kontinuitätsplan. Achte: unzureichende Sicherheitsüberwachung. Neunte: fehlendes Change Management. Zehnte: unzureichender kryptografischer Schutz oder veraltete Algorithmen.

Fazit

Die ENS-Zertifizierung ist anspruchsvoll, aber mit Planung und Beratung gut beherrschbar. Der ROI ist klar: Zugang zu öffentlichen Ausschreibungen, normative Erfüllung, reale Sicherheitssteigerung und Vertrauen gegenüber Kunden des öffentlichen Sektors. Warten Sie nicht, bis ein Ausschreibungsdokument die Zertifizierung verlangt.

Weiterlesen zu ENS-Compliance

Benötigen Sie Unterstützung?

Beratung zur ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erste Sitzung ohne Kosten.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro