Compliance · Spanisches Nationales Sicherheitsgrundgesetz

Sensibilisierung Cybersicherheit ENS: Schulung des Teams

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

95 % der Cybersicherheitsvorfälle haben eine menschliche Komponente. So gestalten Sie ein wirksames Sensibilisierungsprogramm, das den ENS-Anforderungen entspricht.

TL;DR · Zusammenfassung

95 % der Cybersicherheitsvorfälle haben eine menschliche Komponente. Ein Mitarbeiter, der auf einen Phishing-Link klickt, ein schwaches Passwort in mehreren Diensten verwendet oder einen nicht autorisierten USB-Stick einsteckt, kann die gesamte Sicherheit Ihrer Organisation kompromittieren — so ausgeklügelt die technischen Systeme auch sein mögen. Deshalb widmet das Spanische Nationale Sicherheitsgrundgesetz (ENS) der Schulung und Sensibilisierung des Personals spezifische Kontrollen, und Auditoren prüfen mit Strenge, ob diese Kontrollen wirksam umgesetzt werden.

ENS-Anforderungen an Schulung und Sensibilisierung

Die Kontrolle mp.per.3 des ENS legt die Sensibilisierungsanforderungen fest. In Kategorie NIEDRIG wird verlangt, dass das gesamte Personal die geltenden Sicherheitsnormen, die Folgen ihres Nichtbeachtens und das Verhalten bei einem Vorfall kennt. In Kategorie MITTEL wird zusätzlich spezifische Schulung für Sicherheitsverantwortliche und technisches Personal gefordert. In Kategorie HOCH ist zusätzlich regelmäßig aktualisierte Schulung mit Wirksamkeitsbewertung erforderlich.

Zudem fordert die Kontrolle mp.per.2 (Pflichten und Verpflichtungen), dass jede Person ihre spezifischen Sicherheitsverantwortlichkeiten kennt und ihre formale Annahme dokumentiert ist.

Gestaltung eines wirksamen Sensibilisierungsprogramms

Ein wirksames Programm geht über die typische jährliche Pflichtschulung hinaus, an die sich einen Monat später niemand erinnert.

Definition messbarer Ziele

Definieren Sie konkret, was Sie erreichen möchten: die Klickrate in Phishing-Simulationen unter 5 % senken, sicherstellen, dass 100 % des Personals das Verfahren zur Meldung von Vorfällen kennt, oder 90 % des Personals befähigen, mindestens drei Arten von Social-Engineering-Angriffen zu erkennen.

Erstschulung für neue Mitarbeitende

Jeder neue Mitarbeiter erhält vor dem Systemzugang eine Sicherheitssitzung: Sicherheitsleitlinie und geltende Normen, akzeptable Nutzung, Passwort- und Zwei-Faktor-Verwaltung, Phishing-Identifikation, Meldeverfahren und Konsequenzen von Verstößen.

Periodische Lerneinheiten

Statt einer einzelnen ausführlichen Jahressitzung verteilen Sie Schulungen in kurze Einheiten über das Jahr. Eine monatliche Lerneinheit von 10 bis 15 Minuten zu einem spezifischen Thema ist deutlich wirksamer.

Themen können rotieren: Phishing und Schadmails, Passwortsicherheit und Anmeldedaten, Schutz vertraulicher Informationen, Sicherheit im Homeoffice, mobile Sicherheit, telefonisches Social Engineering, sicheres Surfen, physische Sicherheit und Clean-Desk-Politik, sichere E-Mail-Nutzung und Reaktion auf Vorfälle.

Phishing-Simulationen

Phishing-Simulationen sind das wirksamste Werkzeug zur Messung und Verbesserung der Sensibilisierung. Sie senden simulierte Phishing-Mails an Mitarbeiter und messen Klicks, Zugangsdateneingabe, Meldungen und Ignoranz.

Simulationen sollten realistisch, aber nicht aggressiv sein (Ziel: Bildung, keine Demütigung), progressive Schwierigkeit aufweisen, mit sofortiger Nachschulung verbunden sein und mit zeitlicher Evolution dokumentiert werden. Eine vierteljährliche Frequenz mit wechselnden Szenarien ist empfehlenswert: Imitation eines bekannten Lieferanten, falsche IT-Nachricht, fiktiver Preis oder Verlosung, scheinbar offene Rechnung.

Werkzeuge des CCN für die Sensibilisierung

Das Centro Criptológico Nacional stellt dem öffentlichen Sektor die Plattform ANGELES zur Verfügung — Schulungen für verschiedene Profile (Führungskräfte, Techniker, Endnutzer), einsatzbereite Sensibilisierungsmaterialien und Wissensbewertungen.

INCIBE bietet ebenfalls kostenfrei Material auf seiner Website, einschließlich des Sensibilisierungskits für Unternehmen mit Grafiken, Videos und vorgefertigten Präsentationen.

Metriken eines wirksamen Programms

Erfassen Sie: Klickrate in Phishing-Simulationen (unter 5 % zeigt Reife), Meldequote (wichtiger als die Klickrate), Anteil des Personals mit abgeschlossener Pflichtschulung (sollte 100 % betragen) und Ergebnisse der Wissensbewertungen.

Sicherheitskultur: jenseits der Schulung

Ziel ist, dass Sicherheit Teil der Unternehmenskultur wird: durch das Vorbild der Führung, durch konstruktiven Umgang mit Fehlern, durch Anerkennung guter Praktiken und durch laufende Kommunikation.

Weiterlesen zu ENS-Compliance

Benötigen Sie Unterstützung?

Beratung zur ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erste Sitzung ohne Kosten.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro