Cybersicherheitsrecht in Spanien: DSGVO, ENS, NIS2, DORA

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Das spanische Cybersicherheitsrecht umfasst die DSGVO, das Spanische Nationale Sicherheitsgrundgesetz (ENS) (Königlicher Erlass 311/2022), NIS2 (Richtlinie (EU) 2022/2555), DORA und die künftige europäische KI-Verordnung.

Die normative Landschaft der Cybersicherheit in Spanien ist in den letzten Jahren deutlich komplexer geworden. Wo früher nur die DSGVO und das Spanische Nationale Sicherheitsgrundgesetz (ENS) bestanden, müssen heute die Richtlinie NIS2, die Verordnung DORA, die Verordnung über Künstliche Intelligenz und ihre jeweiligen nationalen Umsetzungen berücksichtigt werden. Für eine Unternehmerin oder einen Unternehmer lautet die Frage nicht, ob eine dieser Normen betrifft, sondern welche und in welchem Umfang. Dieser Leitfaden bietet eine vollständige und praktische Übersicht aller in Spanien geltenden Cybersicherheitsvorschriften sowie eine Strategie, deren Einhaltung integriert anzugehen.

DSGVO und LOPDGDD: der Schutz personenbezogener Daten

Die Datenschutz-Grundverordnung (DSGVO) und das spanische Organgesetz 3/2018 über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte (LOPDGDD) sind die Vorschriften, die regeln, wie Unternehmen personenbezogene Daten verarbeiten. Sie betreffen alle Unternehmen ohne Ausnahme, vom Selbstständigen, der eine Kundenliste in einer Tabellenkalkulation führt, bis zum multinationalen Konzern mit Millionen von Datensätzen.

Die Cybersicherheitsanforderungen der DSGVO sind in Artikel 32 zusammengefasst, der verlangt, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die Fähigkeit zur Wiederherstellung des Datenzugangs bei einem Vorfall sowie ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen.

Die Sanktionen bei Nichteinhaltung können 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist. Die AEPD verhängt jedes Jahr höhere Sanktionen: 2025 wurden in Spanien Bußgelder von über 40 Millionen Euro gegen Unternehmen erreicht.

Spanisches Nationales Sicherheitsgrundgesetz (ENS)

Das Spanische Nationale Sicherheitsgrundgesetz (ENS) (Königlicher Erlass 311/2022) legt die Sicherheitsanforderungen für die Informationssysteme des öffentlichen Sektors und seiner Dienstleister fest. Sein Anwendungsbereich umfasst die gesamte spanische öffentliche Verwaltung und alle Unternehmen, die ihr technologische Dienste erbringen.

Die Anforderungen sind in 73 Kontrollen strukturiert, organisiert in drei Rahmen (organisatorisch, operativ und Schutzmaßnahmen), mit Anforderungsstufen, die je nach Kategorie des Systems variieren (NIEDRIG, MITTEL oder HOCH). Die Zertifizierung ist für Systeme der Kategorien MITTEL und HOCH verpflichtend.

Die Wirkung im Unternehmenssektor wächst: Immer mehr Ausschreibungsunterlagen verlangen die ENS-Zertifizierung als Eignungsnachweis, und der Trend beschleunigt sich, je weiter die Digitalisierung der öffentlichen Verwaltung voranschreitet.

Richtlinie NIS2: Sicherheit von Netz- und Informationssystemen

Die Richtlinie (EU) 2022/2555, bekannt als NIS2, ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie und bedeutet einen qualitativen Sprung in den Cybersicherheitspflichten für ein breites Spektrum europäischer Unternehmen. Ihre Umsetzung in die spanische Rechtsordnung erfolgte durch das Gesetz zur Koordinierung und Governance der Cybersicherheit.

NIS2 betrifft zwei Kategorien von Einrichtungen. Die wesentlichen Einrichtungen umfassen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten, öffentliche Verwaltung und Raumfahrt. Die wichtigen Einrichtungen umfassen Postdienste, Abfallwirtschaft, Chemieherstellung, Lebensmittelproduktion und -vertrieb, Fertigung im Allgemeinen, Anbieter digitaler Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung.

Die wichtigsten NIS2-Anforderungen sind die Einführung verhältnismäßiger Maßnahmen zum Cybersicherheitsrisikomanagement, die Meldung erheblicher Vorfälle innerhalb strenger Fristen (24 Stunden für die Erstmeldung, 72 Stunden für die vollständige Meldung), die Verantwortung der Leitungsorgane (die die Cybersicherheitsmaßnahmen genehmigen und überwachen müssen, mit persönlicher Haftung bei Nichteinhaltung) und das Management der Lieferkettensicherheit.

Die Sanktionen sind streng: bis zu 10 Millionen Euro oder 2 % des Umsatzes für wesentliche Einrichtungen und bis zu 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen.

DORA: digitale operative Resilienz für den Finanzsektor

Die Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), legt spezifische Anforderungen an Cybersicherheit und operative Resilienz für Finanzunternehmen fest: Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, Anbieter von Kryptowertedienstleistungen und – entscheidend – ihre kritischen IKT-Dienstleister.

Die Anforderungen von DORA umfassen einen Rahmen für das IKT-Risikomanagement, die Klassifizierung und Meldung IKT-bezogener Vorfälle, die Tests zur digitalen operativen Resilienz (einschließlich erweiterter, bedrohungsorientierter Penetrationstests), das Management des Risikos von IKT-Drittanbietern und den Austausch von Bedrohungsinformationen.

Wenn Ihr Unternehmen technologische Dienste für Finanzunternehmen erbringt, betrifft DORA es unmittelbar. Verträge mit Finanzunternehmen müssen spezifische Sicherheitsklauseln enthalten, und kritische Dienstleister unterliegen unmittelbarer Aufsicht.

KI-Verordnung (AI Act)

Die Verordnung (EU) 2024/1689 über Künstliche Intelligenz klassifiziert KI-Systeme nach Risikostufen und legt differenzierte Pflichten für jede Stufe fest. Auch wenn es sich nicht im engeren Sinne um eine Cybersicherheitsnorm handelt, enthält sie Sicherheits- und Robustheitsanforderungen für KI-Systeme mit hohem Risiko, die unmittelbar die Cybersicherheitsstrategie der Unternehmen betreffen, die solche Systeme entwickeln oder einsetzen.

Die KI-Systeme mit hohem Risiko (darunter solche in Personalwesen, Kreditvergabe, Versicherung, Zugang zu öffentlichen Diensten und Sicherheit) müssen spezifische Cybersicherheitsanforderungen erfüllen: Widerstandsfähigkeit gegen Manipulation, Robustheit gegenüber adversariellen Daten und Schutzmechanismen gegen unbefugten Zugriff.

Strategie integrierter Compliance: vervielfachen Sie nicht den Aufwand

Die schlechteste Strategie ist, jede Vorschrift als separates Projekt anzugehen. Die beste ist, ein integriertes Managementsystem für Sicherheit zu entwerfen, das die gemeinsamen Anforderungen aller Normen abdeckt und die spezifischen Anforderungen als zusätzliche Schichten hinzufügt.

Der integrierte Ansatz verwendet ISO 27001 als Grundlage (deckt 70–80 % der gemeinsamen Anforderungen ab), fügt die spezifischen Kontrollen des ENS für den öffentlichen Sektor hinzu, integriert die Melde- und Governance-Anforderungen von NIS2, ergänzt um die finanzielle Schicht von DORA, falls anwendbar, und integriert die Einhaltung der DSGVO als übergreifenden Bestandteil des Datenschutzes.

Dieser Ansatz senkt die Kosten (eine einzige Risikoanalyse, eine einzige Sicherheitspolitik, ein einziges Schulungsprogramm), beseitigt Widersprüche zwischen parallelen Systemen, vereinfacht Governance und Berichterstattung und erleichtert Audits (ein einziges System ist nachzuweisen).

Sie wissen nicht, welche Cybersicherheitsvorschriften für Ihr Unternehmen gelten? Sprechen wir miteinander für eine individuelle Analyse, die Ihre Pflichten identifiziert und Ihnen die effizienteste Compliance-Strategie vorschlägt.

Autor: Ángel Ortega Castro – unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Häufig gestellte Fragen

Was ist das Cybersicherheitsrecht in Spanien?

Es ist die Gesamtheit der spanischen und europäischen Vorschriften zur Sicherheit von Informationen und Systemen: DSGVO, Spanisches Nationales Sicherheitsgrundgesetz (ENS), NIS2-Richtlinie, DORA-Verordnung und die Verordnung (EU) 2024/1689 über Künstliche Intelligenz.

Auf wen findet es Anwendung?

Es gilt für die Unternehmen und Organisationen, die nach der jeweiligen Vorschrift verpflichtet sind, je nach Sektor, Größe oder Art der verarbeiteten Daten. Wo früher nur die DSGVO und das ENS existierten, müssen heute die NIS2-Richtlinie, die DORA-Verordnung, die Verordnung über Künstliche Intelligenz und deren jeweilige nationale Umsetzungen berücksichtigt werden.

Wie hoch sind die Sanktionen?

Die Sanktionen können je nach Art und Schwere des Verstoßes 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen. Die spanische Datenschutzbehörde AEPD verhängt jedes Jahr steigende Bußgelder: 2025 wurden in Spanien über 40 Millionen Euro an Bußgeldern gegen Unternehmen erreicht.

Wie viel kostet die Einführung?

Für ein KMU liegen die üblichen Kosten zwischen 3.000 und 15.000 €, abhängig vom Umfang, zuzüglich externer Beratung, Werkzeuge und Schulung. Die Richtlinie (EU) 2022/2555, bekannt als NIS2, ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie und stellt einen qualitativen Sprung in den Cybersicherheitspflichten für ein breites Spektrum europäischer Unternehmen dar.

Offizielle Quellen

• AEPD – Spanische Datenschutzbehörde
• INCIBE – Spanisches Institut für Cybersicherheit
• CCN-CERT – Reaktionsteam des Nationalen Kryptologischen Zentrums
• BOE – Verordnung (EU) 2016/679 (DSGVO)
• BOE – Spanisches Organgesetz 3/2018 (LOPDGDD)

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro