Compliance · ENS · Spanische öffentliche Verwaltung
Das Spanische Nationale Sicherheitsgrundgesetz (ENS), reguliert durch Real Decreto 311/2022, ist der nationale Pflichtrahmen für Informationssicherheit in der spanischen öffentlichen Verwaltung und ihren Lieferanten.
Wenn Ihr Unternehmen Verträge mit der spanischen öffentlichen Verwaltung sucht, ist ENS-Konformität nicht optional, sondern Zugangsvoraussetzung. Real Decreto 311/2022 modernisierte das ENS, richtete es auf die EU-Cybersicherheitsverordnung aus und integrierte Anforderungen, die mit NIS2 und DORA harmonieren. Dieser Leitfaden zeigt vollständig: Anwendung, Kategorisierung, Kontrollen, Zertifizierung und reale Kosten.
Was ist das ENS und worauf basiert es?
Das Spanische Nationale Sicherheitsgrundgesetz (ENS) ist die nationale Regulierung, die Mindestsicherheitsanforderungen für Informationssysteme der spanischen öffentlichen Verwaltung festlegt. Real Decreto 311/2022 (BOE 04/05/2022) aktualisierte die ursprüngliche Version von 2010 und integrierte Anpassungen an die Strategie nationaler Cybersicherheit, NIS2-Richtlinie und EU-Datenschutzregeln.
Wer ist verpflichtet?
- Gesamtes spanische öffentliche Verwaltung (Staat, Autonome Gemeinschaften, Kommunen, öffentliche Unternehmen).
- Lieferanten, die Informationssysteme für die spanische öffentliche Verwaltung bereitstellen.
- Subunternehmer, die Daten der spanischen öffentlichen Verwaltung verarbeiten.
Kategorisierung: Basic, Mittel und Hoch
| Kategorie | Anwendbar wenn | Anzahl Kontrollen | Beispiele |
|---|---|---|---|
| Basic | Begrenzte Auswirkung von Vorfällen | 41 | Interne Webportale ohne sensible Daten |
| Mittel | Signifikante Auswirkung | 67 | Online-Verwaltungsservices, Bürgerregister |
| Hoch | Sehr signifikante Auswirkung auf essentielle Services oder hochsensible Daten | 73 | Kritische Infrastrukturen, Gesundheitsdaten, nationale Sicherheit |
Die Kategorisierung erfolgt über Bewertung von Auswirkungen in fünf Dimensionen: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Rückverfolgbarkeit. Jede Dimension wird als Niedrig, Mittel oder Hoch eingestuft; die höchste bestimmt die Gesamtkategorie.
Die 73 Kontrollen organisiert
ENS-Kontrollen sind in drei Themenfeldern organisiert:
- Organisatorischer Rahmen (org): Sicherheitspolitik, Rollen, Lieferanten, Bewusstsein.
- Operativer Rahmen (op): Planung, Zugangskontrolle, Betrieb, Incident-Management, Business Continuity, Überwachung.
- Schutzmaßnahmen (mp): Schutz von Einrichtungen, Personal, Ausrüstung, Kommunikation, Informationen, Services.
Pflichtrollen nach ENS
- Sicherheitsverantwortlicher: Strategie und Governance der Sicherheit; bei mittlerer und hoher Kategorie funktional unabhängig vom Systemverantwortlichen.
- Systemverantwortlicher: Betrieb der Informationssysteme.
- Informationsverantwortlicher: Definiert die Sicherheitsanforderungen der Information aus Geschäftssicht.
- Datenverantwortlicher: bei personenbezogenen Daten, harmonisiert mit DSGVO-Rolle.
Zertifizierungsprozess
- Anwendungsbereich und Kategorisierung definieren.
- Anwendbarkeitserklärung (DA, Declaración de Aplicabilidad) erstellen.
- Kontrollen nach Kategorie implementieren.
- Internes Audit und Managementbewertung durchführen.
- Externes Audit durch akkreditierten Zertifizierer (ENAC).
- Eintrag in das aktuelle Konformitätsverzeichnis CCN.
- Jährliche Überwachung und Rezertifizierung alle 2 Jahre.
CPSTIC und qualifizierte Produkte
Das CPSTIC (Catálogo de Productos y Servicios STIC) ist das CCN-Verzeichnis von Produkten und Services, die für ENS-Umgebungen geeignet zertifiziert sind. Für mittlere und hohe Kategorie ist die Verwendung qualifizierter Produkte vorzuziehen oder pflichtweise vorgeschrieben (Firewalls, Verschlüsselung, sichere E-Mail-Server, SIEM).
Realistische Kosten
| Kategorie | Beratung | Audit | Dauer |
|---|---|---|---|
| Basic | 8.000-15.000 € | 2.500-4.000 € | 4-6 Monate |
| Mittel | 15.000-30.000 € | 4.000-7.500 € | 6-9 Monate |
| Hoch | 35.000-70.000 € | 8.000-15.000 € | 9-14 Monate |
Praxisbeispiel: Cloud-Provider mit 25 Mitarbeitenden
Ein Cloud-Provider, der Plattform für Kommunen liefert, implementierte ENS mittlere Kategorie. Investition: 22.500 € Beratung, 5.800 € Audit, 14.000 € Tools (SIEM, EDR, qualifizierte CPSTIC-Verschlüsselung). Dauer 7 Monate. Ergebnis: Zugang zu öffentlichen Ausschreibungen eröffnet; im ersten Jahr nach Zertifizierung wurden 6 Verträge mit Kommunen für insgesamt 380.000 € gewonnen.
Verbindung mit anderen Regulierungen
- ISO 27001: deckt ca. 75 % der ENS-mittel-Kontrollen ab. Integrierte Implementierung empfohlen.
- DSGVO: überschneidet sich bei Datenschutz und Incident-Management.
- NIS2: ENS-Hochkategorie deckt einen guten Teil der NIS2-Pflichten für öffentliche Verwaltungen ab.
- DORA: Finanzsektor, nicht direkt anwendbar auf spanische öffentliche Verwaltung, teilt aber Operational-Resilience-Logik.
Mini-Glossar
- ENS: Spanisches Nationales Sicherheitsgrundgesetz.
- CCN-CERT: spanisches Reaktionszentrum für Cybersicherheitsvorfälle (Centro Criptológico Nacional).
- CPSTIC: Catálogo de Productos y Servicios STIC.
- DA: Declaración de Aplicabilidad / Anwendbarkeitserklärung.
- MAGERIT: Methodik für Analyse und Management von Informationssystem-Risiken.
Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.
Brauchen Sie Unterstützung?
Arbeiten Sie mit mir an Ihrem ENS
Beratung zur Implementierung und Zertifizierung des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS). Erstgespräch kostenfrei.
Termin vereinbaren →Häufig gestellte Fragen
Wie wirkt sich das auf mein KMU aus?
Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.
Wie hoch sind die Kosten 2026?
Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.
Welche spanische Regelung gilt?
Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.
Wie lange dauert die Implementierung?
Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.
Kann es über Kit Digital oder Kit Consulting kofinanziert werden?
Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro