Compliance · ENS

Wer muss das ENS erfüllen? Pflicht für Unternehmen 2026

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Das Spanische Nationale Sicherheitsgrundgesetz (ENS) ist verpflichtend für spanische öffentliche Verwaltungen und für private Unternehmen, die ihnen IKT-Dienstleistungen erbringen, gemäß RD 311/2022.

Eine der häufigsten Fragen lautet: Muss mein Unternehmen das Spanische Nationale Sicherheitsgrundgesetz (ENS) erfüllen? Die Antwort hängt von seiner Beziehung zum öffentlichen Sektor und der Art der erbrachten Leistungen ab. Dieser Leitfaden analysiert detailliert, wer verpflichtet ist und welche Konsequenzen Nichterfüllung hat.

Direkte Pflicht: der öffentliche Sektor

Artikel 2 des Königlichen Dekrets 311/2022 legt fest, dass das ENS auf den gesamten öffentlichen Sektor im Sinne des Gesetzes 40/2015 anwendbar ist. Das umfasst die allgemeine Staatsverwaltung (Ministerien, autonome Organismen, staatliche Agenturen), die Autonomen Gemeinschaften und ihre abhängigen Organe, Lokale Körperschaften (Gemeinden, Provinzdeputationen, Inselräte), öffentliche Universitäten und jede öffentlich-rechtliche Einheit.

Es gibt keine Ausnahmen aufgrund der Größe. Eine Gemeinde mit 500 Einwohnern hat dieselbe gesetzliche Verpflichtung wie ein Ministerium.

Indirekte Pflicht: der private Sektor

Hier entdecken viele Unternehmen eine Verpflichtung, die sie nicht kannten. Derselbe Artikel 2 erweitert die Anwendung des ENS auf Informationssysteme privatwirtschaftlicher Einheiten, sofern sie Leistungen oder Lösungen für den öffentlichen Sektor erbringen.

De-facto verpflichtete Unternehmen

Verpflichtet sind alle Unternehmen, die Software entwickeln, warten oder weiterentwickeln, die von öffentlichen Verwaltungen genutzt wird. Ebenso die Anbieter von Hosting, Cloud Computing oder IT-Infrastruktur für den öffentlichen Sektor. Unternehmen, die als geheim eingestufte Informationen der Verwaltung verarbeiten oder speichern. Outsourcing-Anbieter von IKT-Services. Systemintegratoren, die Lösungen in Verwaltungsumgebungen ausrollen. Sowie Telekommunikationsunternehmen, die dem öffentlichen Sektor Kommunikationsdienste bereitstellen.

Die digitale Lieferkette

Die Verpflichtung erstreckt sich auf die gesamte Lieferkette. Ist Ihr Unternehmen Subunternehmer eines direkten Lieferanten der Verwaltung und werden in dieser Kette Informationen des öffentlichen Sektors verarbeitet, gilt das ENS für Sie. Das wissen viele Unternehmen auf zweiter und dritter Ebene erst, wenn der Hauptauftragnehmer Compliance-Nachweise verlangt.

Was bei rein privaten Unternehmen gilt

Operiert Ihr Unternehmen ausschließlich privat und hat keinerlei direkte oder indirekte Vertragsbeziehung zum öffentlichen Sektor, ist das ENS rechtlich nicht verpflichtend. Dennoch übernehmen immer mehr Privatunternehmen das ENS freiwillig – aus strategischen, wettbewerblichen und operativen Gründen.

Das ENS in öffentlichen Ausschreibungen

Die Tendenz ist eindeutig. Immer mehr Ausschreibungsunterlagen führen die ENS-Zertifizierung als technisches Solvenzkriterium oder als Bewertungskriterium ein. In Sektoren wie IKT, Cybersicherheit, technologischer Beratung und digitalen Dienstleistungen wird die ENS-Zertifizierung de facto zur Zugangsvoraussetzung für den öffentlichen Markt.

Selbstdiagnose-Checkliste

Ist Ihre Organisation ein öffentliches Organ? Verpflichtet. Entwickeln oder warten Sie Software für öffentliche Verwaltungen? Verpflichtet. Erbringen Sie Hosting-, Cloud- oder IT-Infrastrukturleistungen für öffentliche Organisationen? Verpflichtet. Verarbeiten Sie als geheim eingestufte Informationen? Verpflichtet. Sind Sie Subunternehmer eines direkten Verwaltungslieferanten im IKT-Bereich? Wahrscheinlich verpflichtet. Bieten Sie auf öffentliche IKT-Aufträge oder planen es? Sehr empfohlen.

Konsequenzen der Nichterfüllung

Ausschluss aus Ausschreibungen, die die ENS-Zertifizierung verlangen, ist die unmittelbare und greifbarste Folge. Auflösung laufender Verträge mit der Verwaltung ist möglich. Verwaltungsrechtliche Verantwortlichkeiten können bei Sicherheitsvorfällen entstehen, die öffentliche Daten oder Dienste betreffen. Und der Reputationsschaden kann verheerend sein.

Die Frist zur Anpassung ist jetzt

Das RD 311/2022 sieht keine Übergangsfrist vor. Die Verpflichtung gilt unmittelbar. Subventionen wie Kit Consulting können bis zu 24.000 € des Anpassungsprojekts finanzieren.

Weiterlesen zu Compliance ENS

Brauchen Sie Unterstützung?

Arbeiten Sie mit mir an der ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erstgespräch kostenfrei.

Termin vereinbaren →

Häufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es über Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro