Compliance · Spanisches Nationales Sicherheitsgrundgesetz

ENS-Kategorien: NIEDRIG, MITTEL und HOCH erklärt

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Wie die ENS-Kategorisierung funktioniert: DICAT-Dimensionen, Bewertungskriterien, Kontrollen je Kategorie und häufige Fehler.

TL;DR · Zusammenfassung

Die Kategorisierung ist eine der wichtigsten Entscheidungen im Anpassungsprozess an das Spanische Nationale Sicherheitsgrundgesetz (ENS), da sie bestimmt, wie viele Kontrollen Sie umsetzen müssen, mit welchem Anforderungsniveau und ob eine formelle Zertifizierung erforderlich ist oder eine Konformitätserklärung ausreicht. Ein Kategorisierungsfehler — durch Über- oder Unterbewertung — hat direkte Folgen für Kosten, Fristen und Erfüllungsgrad. Diese Anleitung erklärt, wie das Kategorisierungssystem funktioniert und wie Sie es korrekt anwenden.

Wie wird die Systemkategorie bestimmt?

Die Kategorisierung ist keine willkürliche Entscheidung. Sie folgt einem geregelten, in Anhang I des Königlichen Dekrets 311/2022 definierten Prozess auf Basis der Bewertung der Auswirkung, die ein Sicherheitsvorfall auf die Organisation und die betroffenen Personen hätte.

Der Prozess beginnt mit der Identifikation der vom System verarbeiteten Information und der erbrachten Dienste. Für jeden Posten wird die Auswirkung in den fünf Sicherheitsdimensionen DICAT (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Nachvollziehbarkeit) bewertet. Die Auswirkung wird in drei Stufen klassifiziert: NIEDRIG, MITTEL oder HOCH.

Die Systemkategorie wird durch die höchste in einer der fünf Dimensionen erreichte Stufe bestimmt. Wird beispielsweise die Vertraulichkeit als HOCH bewertet, ist das gesamte System als HOCH zu kategorisieren — auch wenn die anderen vier Dimensionen MITTEL sind.

Welche Kriterien gelten für die Auswirkungsbewertung?

Eine Auswirkung gilt als NIEDRIG, wenn ein Vorfall in dieser Dimension begrenzte Nachteile verursacht. Sie gilt als MITTEL, wenn der Nachteil schwerwiegend ist, und als HOCH, wenn er sehr schwerwiegend oder katastrophal ist.

Bewertet werden: Schadensumfang (Anzahl betroffener Personen oder Dienste), Fähigkeit der Organisation, weiter zu funktionieren, wirtschaftliche Auswirkung, Reputationsschaden, Nachteile für die Rechte der Bürger und Nichterfüllung gesetzlicher Pflichten.

Kategorie NIEDRIG: Anforderungen und Anwendbarkeit

Die Kategorie NIEDRIG wird Systemen zugewiesen, in denen ein Vorfall begrenzte Auswirkungen hätte. Sie ist die häufigste Kategorie für untergeordnete Informationssysteme, Unternehmensintranets ohne sensible Daten, informative Websites öffentlicher Einrichtungen und Systeme kleiner Gemeinden mit Basisfunktionalität.

Anforderungen der Kategorie NIEDRIG

Systeme der Kategorie NIEDRIG müssen einen reduzierten Teilumfang der 73 ENS-Kontrollen implementieren — etwa 36 Kontrollen, viele davon auf Basisniveau.

Die Akkreditierung erfolgt durch eine vom Systemverantwortlichen unterzeichnete Konformitätserklärung ohne externes Audit. Dies senkt die Compliance-Kosten erheblich, befreit aber nicht von der Strenge der realen Umsetzung.

Häufige Fehler bei Kategorie NIEDRIG

Der häufigste Fehler ist die Unterbewertung, um die externe Zertifizierung zu vermeiden. Wenn sich herausstellt, dass ein System eigentlich MITTEL sein müsste (z. B. weil es Gesundheits- oder Steuerdaten von Bürgern verarbeitet), sind die Folgen gravierend.

Kategorie MITTEL: das häufigste Szenario

Die Kategorie MITTEL entspricht Systemen, bei denen ein Vorfall einen schwerwiegenden Schaden hätte. Sie ist die vorherrschende Kategorie für die meisten Systeme der Verwaltung: Dokumentenmanager, Plattformen für elektronische Vorgangsbearbeitung, elektronische Geschäftsstellen, Finanzmanagement, Vergabeplattformen und die Systeme der IKT-Dienstleister, die diese Dienste unterstützen.

Anforderungen der Kategorie MITTEL

Etwa 57 Kontrollen sind in Kategorie MITTEL anwendbar, mit gegenüber NIEDRIG verstärkten Anforderungen. Die wichtigsten Verstärkungen betreffen die Zugriffskontrolle (Zwei-Faktor-Authentifizierung in bestimmten Kontexten), die Überwachung (verpflichtende regelmäßige Log-Prüfung), das Incident Management (formelle Verfahren und Meldung an CCN-CERT) und die Service-Kontinuität (getestete Pläne).

Die Zertifizierung muss durch eine von ENAC akkreditierte Stelle erfolgen, mit allen damit verbundenen Kosten und Fristen.

Kategorie HOCH: maximale Anforderung

Die Kategorie HOCH ist Systemen vorbehalten, bei denen ein Vorfall sehr schwerwiegende oder katastrophale Folgen hätte: Systeme, die nationale Verschlusssachen verarbeiten, kritische Infrastrukturen, wesentliche Dienste mit hoher Auswirkung (Gesundheit, Justiz, Sicherheitskräfte), elektronische Wahlsysteme und Systeme mit massiven Bürgerdaten, deren Leak schwerwiegende Nachteile verursachen würde.

Anforderungen der Kategorie HOCH

Alle 73 ENS-Kontrollen gelten vollständig auf maximaler Anforderungsstufe. Verlangt werden Verschlüsselung der Kommunikation und der Speicherung, strikte Netzwerksegmentierung, Echtzeitüberwachung mit Intrusion Detection, Incident Response innerhalb definierter Zeiten und Redundanz kritischer Systeme.

Die Zertifizierung ist verpflichtend; Überwachungsaudits können häufiger sein. Die Implementierungs- und Wartungskosten sind deutlich höher als in Kategorie MITTEL.

Vergleichstabelle: Kontrollen je Kategorie

Zusammenfassend: Der organisatorische Rahmen wendet die vier Kontrollen in allen Kategorien an. Im operativen Rahmen wendet NIEDRIG etwa 16, MITTEL etwa 25 und HOCH die vollen 31 Kontrollen an. Bei den Schutzmaßnahmen sind es ungefähr 16, 28 bzw. 38. Insgesamt: ca. 36 Kontrollen für NIEDRIG, 57 für MITTEL und 73 für HOCH.

Zusätzlich variiert das Anforderungsniveau jeder Kontrolle. Beispielsweise akzeptiert die Zugriffskontrolle in NIEDRIG robuste Passwörter, in MITTEL wird Zwei-Faktor verlangt, in HOCH Zwei-Faktor mit kryptografischen Geräten.

So führen Sie die Kategorisierung durch: Schritt für Schritt

Erstens: alle Systeme im ENS-Geltungsbereich identifizieren. Zweitens: für jedes System verarbeitete Information und erbrachte Dienste identifizieren. Drittens: für jede Information und jeden Dienst die Auswirkung in den fünf DICAT-Dimensionen bewerten. Viertens: die Systemkategorie als höchste in einer beliebigen Dimension erreichte Stufe festlegen. Fünftens: die Bewertungen mit Begründung dokumentieren. Sechstens: die Kategorisierung dem Sicherheitsverantwortlichen zur Genehmigung vorlegen.

Empfehlenswert ist eine kollegiale Kategorisierung durch den Informationsverantwortlichen, den Dienstverantwortlichen und den Sicherheitsverantwortlichen, unterstützt durch einen ENS-Berater.

Die Rekategorisierung: wann sie notwendig ist

Die Kategorisierung ist nicht statisch. Sie ist zu überprüfen bei wesentlichen Systemänderungen (neue Dienste, neue Informationstypen, neue Integrationen), bei geänderten gesetzlichen oder vertraglichen Anforderungen, bei der regelmäßigen Überprüfung der Sicherheitsleitlinie und stets vor der Zertifikatserneuerung. Eine Höherstufung verlangt zusätzliche Kontrollen und kann ein ergänzendes Anpassungsprojekt erfordern.

Weiterlesen zu ENS-Compliance

Benötigen Sie Unterstützung?

Beratung zur ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erste Sitzung ohne Kosten.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro