Ich bin Ángel Ortega Castro, unabhängiger ENS-Berater. Ich bereite Sie darauf vor, das ENS-Konformitätsaudit (Anhang III des RD 311/2022) erfolgreich zu bestehen: Ich identifiziere die Lücken, bevor es der Prüfer tut, ordne die Nachweise und begleite Sie während des Besuchs der von ENAC akkreditierten Stelle.
Das ENS-Konformitätsaudit ist das unabhängige Überprüfungsverfahren, das Anhang III des Real Decreto 311/2022 vom 3. Mai (BOE-A-2022-7191) regelt. Das Esquema Nacional de Seguridad (ENS, das spanische nationale Sicherheitsschema) gilt für alle Organisationen, die Informationssysteme im Dienst der öffentlichen Verwaltung betreiben. Das Audit stellt auf rigorose Weise fest, dass diese Systeme die Anforderungen ihrer Kategorie erfüllen: die Maßnahmen aus Anhang II, die Sicherheitspolitik, die Risikoanalyse und das Kontinuitätsmanagement.
Es handelt sich nicht um eine oberflächliche Dokumentenprüfung. Das Audit untersucht die tatsächliche Umsetzung der Kontrollen, das Vorhandensein prüfbarer Nachweise und die Kohärenz zwischen dem, was in der Anwendbarkeitserklärung (DdA) erklärt wird, und dem, was in der Organisation praktiziert wird. Das Ergebnis ist ein Konformitätsbericht mit den Feststellungen, Nichtkonformitäten und — in Kategorie Mittel oder Hoch — die Grundlage für das von der akkreditierten Stelle ausgestellte Zertifikat.
Das Konformitätsaudit wird von einem Dritten durchgeführt — in Kategorie Mittel oder Hoch von einer von ENAC akkreditierten Stelle —, der den Grad der Systemkonformität objektiv bewertet.
Die Ausschreibungsunterlagen der öffentlichen Auftragsvergabe verlangen zunehmend, dass Anbieter die ENS-Konformität nachweisen. Das Zertifikat ist der Nachweis, der diese Anforderung erfüllt.
Das ENS-Zertifikat ist zwei Jahre gültig. Nach Ablauf dieser Frist muss ein neues Konformitätsaudit bestanden werden, um die Akkreditierung aufrechtzuerhalten.
Der Auditzyklus verpflichtet zur Pflege und Aktualisierung der Kontrollen. Damit wird die ENS-Konformität zu einem lebendigen System der Sicherheitsverbesserung — kein einmaliger Verwaltungsakt.
Die einzige Übergangsbestimmung des RD 311/2022 sah 24 Monate vor, um bestehende Systeme anzupassen; diese Frist endete am 5. Mai 2024. Die Verpflichtung ist vollständig in Kraft: Neue Systeme müssen vom ersten Tag an konform sein, und laufende Verträge verlangen bei jeder Verlängerung den Konformitätsnachweis. Wenn Ihr Unternehmen Leistungen für den öffentlichen Sektor erbringt und die Anpassung noch nicht begonnen hat, erkläre ich den Einstiegspunkt im vollständigen ENS-Leitfaden und in der ENS-Beratung für Unternehmen.
Der häufigste Grund für Nichtkonformitäten bei einem ENS-Audit ist Improvisation: ohne geordnete Nachweise ankommen, mit einer veralteten DdA oder mit umgesetzten Kontrollen ohne Dokumentation. Meine Arbeit beginnt vor dem Besuch des akkreditierten Prüfers; jede Phase liefert ein konkretes Ergebnis, auf das die nächste aufbaut.
| Phase | Was wir tun | Referenz und Ergebnis |
|---|---|---|
| Phase 01 Voraudit-Diagnose |
Differenzanalyse zwischen dem tatsächlichen Systemzustand und den Anforderungen des Anhangs III. Wir identifizieren Kontrollen ohne Nachweis, nicht formalisierte Verfahren und Lücken, die der Prüfer entdecken würde. | Lückenbericht mit Kritikalität und Schließungsreihenfolge. Grundlage für Anhang III des ENS. |
| Phase 02 Nachweisplan |
Vollständige Katalogisierung aller vom Anhang II geforderten Nachweise entsprechend der Systemkategorie (Basis, Mittel oder Hoch). Pro Kontrolle: Aktueller Status, verfügbarer Nachweis, Ausstehend und Verantwortlicher. | Nachweisregister mit Ampelstatus. Abgestimmt auf CCN-STIC-Leitfäden 808 und 850. |
| Phase 03 Dokumentarische Überprüfung und Anpassung |
Aktualisierung der Anwendbarkeitserklärung (DdA), der Sicherheitspolitik und der Risikoanalyse (MAGERIT). Kohärenz zwischen der Dokumentation und der tatsächlichen Umsetzung der Kontrollen. | Dokumentation abgestimmt auf Anhang III und CCN-STIC-Leitfäden 806 und 807. |
| Phase 04 Internes Audit (Voraudit) |
Vollständige Probe, die den Besuch des akkreditierten Prüfers simuliert: Überprüfung der Kontrollen, Interviews mit dem verantwortlichen Personal und technische Tests. Ergebnis: Liste der Nichtkonformitäten vor dem eigentlichen Audit. | Voraudit-Bericht mit Nichtkonformitäten und Schließungsplan. Leitfaden zur ENS-Audit-Vorbereitung. |
| Phase 05 Begleitung beim akkreditierten Audit |
Unterstützung während des Besuchs der von ENAC akkreditierten Stelle: Koordination der Besprechungen, Klärung von Nachweisen in Echtzeit und technische Antworten auf die Prüferfeststellungen. | Reduzierung der Nichtkonformitäten im Prozess. Das Zertifikat stellt die von ENAC akkreditierte Stelle aus, nicht der Berater. |
| Phase 06 Abschluss und zweijährliche Nachverfolgung |
Behebung der vom Prüfer festgestellten Nichtkonformitäten. Fahrplan zur Aufrechterhaltung der aktiven Konformität bis zur zweijährlichen Erneuerung und Vorbereitung des nächsten Auditzyklus. | Plan zur kontinuierlichen Verbesserung und Erneuerungskalender alle zwei Jahre. |
Möchten Sie verstehen, was jeder Test des Prüfers beinhaltet? Ich erläutere das im Artikel über Anhang III des ENS und das Konformitätsaudit. Und wenn Ihr Unternehmen Leistungen für die Verwaltung erbringt, finden Sie den rechtlichen Kontext unter ENS für Anbieter: Bin ich durch die Verwaltung verpflichtet?
Anhang I des RD 311/2022 legt drei Systemkategorien fest, je nach den Auswirkungen, die ein Sicherheitsvorfall auf die fünf Dimensionen (CIDAT) hätte: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachverfolgbarkeit. Die Dimension mit dem höchsten Level bestimmt die Systemkategorie, und diese Kategorie legt den Konformitätsweg und die geforderte Art des Audits fest.
Wenn ein Vorfall begrenzte Schäden an den Funktionen der Organisation, deren Vermögen oder Personen verursachen würde.
Wenn ein Vorfall schwere Schäden verursachen würde; eine Dimension erreicht die mittlere Stufe.
Wenn ein Vorfall sehr schwere, sogar irreparable Schäden verursachen würde; eine Dimension erreicht die hohe Stufe.
Es wird vom Berater oder dem internen Sicherheitsteam vor dem Besuch des akkreditierten Dritten durchgeführt. Ziel ist es, Nichtkonformitäten rechtzeitig zu erkennen und zu korrigieren. Es hat keine offizielle Gültigkeit und akkreditiert die Konformität nicht gegenüber der Verwaltung, ist aber das effektivste Werkzeug, um das externe Audit beim ersten Anlauf zu bestehen und die Zahl der Feststellungen zu minimieren.
In Kategorie Mittel oder Hoch kann die Konformität nur durch eine von ENAC akkreditierte Stelle gemäß UNE-EN ISO/IEC 17065:2012 nachgewiesen werden. Diese Stelle stellt das ENS-Konformitätszertifikat aus — das Dokument, das die Ausschreibungsunterlagen der öffentlichen Auftragsvergabe erfüllt. Der Berater bereitet vor und begleitet; das Zertifikat stellt der akkreditierte Dritte aus. Eine „garantierte Zertifizierung" gibt es nicht: Das existiert in keinem rigorosen Auditprozess.
Benötigen Sie Hilfe bei der Kategorisierung Ihres Systems, bevor Sie entscheiden, welchen Weg Sie einschlagen? Der Leitfaden zu ENS-Kategorien Basis, Mittel und Hoch hilft Ihnen weiter, und wenn Sie zwischen ENS und ISO 27001 unentschlossen sind, vergleiche ich beide Rahmenwerke in ENS oder ISO 27001 für öffentliche Ausschreibungen.
Die Vorbereitungsarbeit besteht nicht darin, Dokumente zu erstellen, die niemand liest. Jedes Ergebnis hat einen konkreten Adressaten — den akkreditierten Prüfer, Ihr Sicherheitsteam oder den Ausschreibungsverantwortlichen — und ist darauf ausgelegt, im tatsächlichen Zertifizierungsprozess nützlich zu sein.
Ich bin Ángel Ortega Castro, unabhängiger Berater, spezialisiert auf die Anpassung an das Esquema Nacional de Seguridad und Informationssicherheit. Ich bereite Unternehmen, die Leistungen für den öffentlichen Sektor erbringen, darauf vor, das ENS-Konformitätsaudit zu bestehen: Ich identifiziere die Lücken, bevor es der akkreditierte Prüfer tut, ordne die Dokumentation und begleite den gesamten Prozess.
Mein Ansatz ist echte Begleitung, Mensch zu Mensch: Ich hinterlasse keinen Bericht und verschwinde nicht. Ich arbeite mit Ihnen in jeder Phase, von der Vordiagnose bis zur Behebung der Nichtkonformitäten, die die Zertifizierungsstelle feststellt. Wenn das Projekt endet, weiß Ihr Team, wie die Konformität bis zur nächsten zweijährlichen Erneuerung aufrechterhalten wird — ohne von irgendjemandem abhängig zu sein.
Ich bin explizit in dem, was ich versprechen kann und was nicht: Ich bereite vor und begleite Ihre Organisation auf dem Weg zur Konformität; das Zertifikat stellt die von ENAC akkreditierte Stelle aus. Wer eine „garantierte Zertifizierung" verspricht, versteht den Prozess nicht oder ist nicht ehrlich. Diese Offenheit, verbunden mit der Strenge gegenüber RD 311/2022 und seinen Anhängen I–IV, macht den Unterschied.
Integratoren, Cloud-Service-Anbieter und Softwareentwickler, die die ENS-Konformität zertifizieren müssen, um ihre öffentlichen Verträge aufrechtzuerhalten oder auf neue Ausschreibungen zuzugreifen, die sie verlangen.
Privatunternehmen, die zum ersten Mal der ENS-Zertifizierung als Solvenzanforderung für öffentliche Ausschreibungen gegenüberstehen. Das Audit ist der Eintritt in einen Markt, der andernfalls verschlossen bleibt.
Organisationen, deren ENS-Zertifikat in den nächsten Monaten abläuft und die eine Überprüfung des aktuellen Stands, eine Aktualisierung der Nachweise und Begleitung beim neuen zweijährlichen Konformitätsaudit benötigen.
Die Kosten hängen von der Systemkategorie (Basis, Mittel oder Hoch), der Anzahl der im Umfang enthaltenen Systeme und dem Ausgangsreifegrad ab: Je mehr Lücken vor dem Audit bestehen, desto größer ist die vorherige Schließungsarbeit. Es gibt keine einheitliche Zahl, die für alle Fälle gilt.
Zu diesen Vorbereitungs- und Begleitungskosten kommen in Kategorie Mittel oder Hoch die Honorare der akkreditierten Zertifizierungsstelle hinzu, die unabhängig von meinen sind und vom Dritten in Rechnung gestellt werden, der das Zertifikat ausstellt. Beim ersten Gespräch bewerten wir beide Posten unverbindlich.
Das ENS-Konformitätsaudit, geregelt in Anhang III des Real Decreto 311/2022, ist eine unabhängige Überprüfung, die feststellt, ob die Informationssysteme einer Organisation die Maßnahmen des Anhangs II, die Sicherheitspolitik, die Risikoanalyse und das Kontinuitätsmanagement erfüllen. Der Prüfer untersucht reale Nachweise — Aufzeichnungen, Konfigurationen, Verfahren, Interviews —, um zu überprüfen, dass das in der DdA Erklärte mit dem Umgesetzten übereinstimmt. Das Ergebnis ist ein Konformitätsbericht mit den festgestellten Befunden. Ich erläutere das im Artikel über Anhang III des ENS und das Konformitätsaudit.
Ja, wenn Sie Leistungen für den öffentlichen Sektor erbringen und Ihre Systeme in die Kategorie Mittel oder Hoch eingestuft sind. In der Kategorie Basis können Sie die selbstbewertete Konformitätserklärung wählen, obwohl immer mehr Ausschreibungen zusätzliche Nachweise oder sogar die Zertifizierung unabhängig vom Niveau verlangen. Die allgemeine Anpassungsfrist für bestehende Systeme endete am 5. Mai 2024; die Verpflichtung ist vollständig in Kraft und gilt vom ersten Tag an für neue oder wesentlich geänderte Systeme. Wenn Sie nicht wissen, ob Ihr Unternehmen verpflichtet ist, erkläre ich es im Leitfaden zu ENS für Anbieter und Ausschreibungen.
In Kategorie Mittel oder Hoch kann nur eine von ENAC akkreditierte Stelle gemäß UNE-EN ISO/IEC 17065:2012 das Konformitätszertifikat ausstellen. Der ENS-Berater bereitet die Konformität vor und begleitet den Prozess; das Zertifizierungsaudit führt der akkreditierte Dritte durch. In Kategorie Basis wird die Konformität durch eine selbstbewertete Erklärung der Organisation selbst nachgewiesen. Ich erläutere das im Artikel über wer das ENS-Audit durchführt und wie oft.
Das ENS-Zertifikat wird alle zwei Jahre erneuert (zweijährliche Erneuerung). Während dieses Zeitraums müssen die umgesetzten Maßnahmen und die sie stützenden Nachweise aktiv gehalten werden. Es empfiehlt sich, eine jährliche Überprüfung einzuplanen, um Abweichungen zu erkennen und zu korrigieren, bevor das Erneuerungsaudit kommt — so werden Lücken vermieden. Ich erläutere das unter wie oft das ENS auditiert wird und wer es durchführt.
Das interne Audit, auch Voraudit genannt, ist eine Überprüfung, die der Berater oder das eigene Team vor dem Besuch des akkreditierten Dritten durchführt. Ziel ist es, Nichtkonformitäten rechtzeitig zu erkennen und zu korrigieren; es hat keine offizielle Gültigkeit und akkreditiert die Konformität nicht gegenüber der Verwaltung. Die externe Zertifizierung wird von einer von ENAC akkreditierten Stelle durchgeführt: Ihre Ergebnisse haben offizielle Gültigkeit und weisen die Konformität in den Ausschreibungsunterlagen der öffentlichen Auftragsvergabe nach. Beide sind komplementär; das interne ist die beste Investition, um das externe beim ersten Anlauf zu bestehen.
Die fünf Schlüsselschritte sind: (1) Lückendiagnose gegenüber Anhang III mit ausreichend Zeit vor dem Besuch, (2) Schließung der identifizierten Nichtkonformitäten, bevor der Prüfer sie findet, (3) Ordnung und Überprüfung der Nachweise für jede Kontrolle des Anhangs II, (4) vollständige interne Probe (Voraudit), die den echten Besuch simuliert, und (5) Begleitung während des Audits, um Nachweise in Echtzeit zu klären. Ich erläutere das im Leitfaden zur ENS-Audit-Vorbereitung.
Die Stelle gibt einen Feststellungsbericht heraus. Die Nichtkonformitäten werden nach Schweregrad eingestuft: Schwerwiegende verhindern die Zertifizierung, bis sie behoben und die Korrektur verifiziert ist; geringfügige können durch dokumentarische Nachweise ohne neuen Besuch gelöst werden. Eine rigorose Vorbereitungsarbeit minimiert die Anzahl und Schwere der Feststellungen. Falls dennoch welche auftreten, begleite ich Sie beim Schließungsprozess und beim Nachweis der Behebung gegenüber dem Prüfer.
Nein. Die ENS-Beratung umfasst den gesamten Anpassungszyklus: Erstdiagnose, Systemkategorisierung, Risikoanalyse mit MAGERIT, Anpassungsplan, Umsetzung der Maßnahmen des Anhangs II und Auditvorbereitung. Das ENS-Audit ist die abschließende Überprüfungsphase durch einen akkreditierten Dritten. Wenn Ihre Organisation bei null anfängt, beginnt der vollständige Weg mit der Beratung; wenn die Systeme bereits angepasst sind und Sie nur das Audit vorbereiten müssen, steigen wir direkt in die auf dieser Seite beschriebenen Vorauditphasen ein.
Erstes Gespräch ohne Kosten und ohne Verpflichtung. Wir bewerten Ihre Kategorie und den Systemumfang, identifizieren die wichtigsten Lücken und — wenn es passt — erhalten Sie ein Festpreisangebot, um das Konformitätsaudit beim ersten Anlauf vorzubereiten und zu bestehen.