Ich bin Ángel Ortega Castro, unabhängiger ENS-Berater. Ich begleite Sie durch den gesamten Prozess zur ENS-Zertifizierung: Erstanalyse, Anpassungsplan, Vorbereitung der Nachweise, Auswahl der Zertifizierungsstelle und Unterstützung während des Audits. Das Zertifikat stellt die von ENAC akkreditierte Stelle aus; ich bereite Sie darauf vor, das Audit zu bestehen.
Die ENS-Zertifizierung ist das formelle Dokument, das bescheinigt, dass die Informationssysteme einer Organisation die Anforderungen des Esquema Nacional de Seguridad (ENS, das spanische nationale Sicherheitsschema) erfüllen (Real Decreto 311/2022, de 3 de mayo; BOE-A-2022-7191). Sie ist nicht mit einer internen Erklärung gleichzusetzen: In den Kategorien Mittel und Hoch stellt die Zertifizierung eine von ENAC akkreditierte Produktzertifizierungsstelle gemäß der Norm UNE-EN ISO/IEC 17065:2012 aus, was ihr Wert gegenüber der Verwaltung und Dritten verleiht. Das Zertifikat hat eine Gültigkeit von zwei Jahren, nach denen es durch ein neues Konformitätsaudit erneuert werden muss.
Um den vollständigen Rahmen dieses Prozesses zu verstehen, empfehle ich den vollständigen ENS-Leitfaden und den Artikel über den ENS-Zertifizierungsprozess, Anforderungen und Kosten.
Im Unterschied zur Konformitätserklärung der Grundstufe stellt die ENS-Zertifizierung ein von ENAC akkreditierter Dritter aus: ihr Wert hängt nicht von der eigenen Selbstauskunft des Unternehmens ab.
Immer mehr öffentliche Aufträge fordern die ENS-Zertifizierung als technischen Eignungsnachweis. Ohne sie wird das Unternehmen direkt vom Vergabeverfahren ausgeschlossen, unabhängig von seiner tatsächlichen Leistungsfähigkeit.
Das ENS-Zertifikat ist zwei Jahre gültig. Die Erneuerung erfordert ein neues Konformitätsaudit, das sicherstellt, dass das Sicherheitsniveau dauerhaft aufrechterhalten wird und nicht veraltet.
Der Weg zur ENS-Zertifizierung etabliert einen echten Managementzyklus: Risikoanalyse, Maßnahmen aus Anhang II und regelmäßige Überprüfung. Es ist kein einmaliger Vorgang, sondern ein dauerhaft getragenes Sicherheitssystem.
Der ENS-Rahmen stellt nicht an alle dieselben Anforderungen. Der für Ihre Organisation geltende Weg hängt von der Kategorie des betroffenen Informationssystems ab, die durch Bewertung der potenziellen Auswirkungen eines Vorfalls auf die fünf Sicherheitsdimensionen bestimmt wird — Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Rückverfolgbarkeit (CIDAT). Lesen Sie die Details zu den ENS-Kategorien Grundstufe, Mittel und Hoch, bevor Sie entscheiden.
Wenn keine Dimension die Stufe Niedrig übersteigt, kann die Organisation die Konformität durch eine selbstbewertete Konformitätserklärung nachweisen, ohne Einbeziehung einer externen Zertifizierungsstelle.
Wenn eine Dimension die mittlere Stufe erreicht, muss die Konformität durch Zertifizierung einer von ENAC akkreditierten Stelle (ISO/IEC 17065) nachgewiesen werden. Der Berater bereitet vor; die akkreditierte Stelle zertifiziert.
Wenn eine Dimension die hohe Stufe erreicht, gilt derselbe Weg wie bei Mittel — Zertifizierung durch ENAC-akkreditierte Stelle — jedoch mit einem umfangreicheren und strengeren Sicherheitsmaßnahmenpaket.
Die Organisation prüft die Konformität gemäß den CCN-STIC-Leitfäden selbst und gibt ihre eigene Erklärung ab. Ich bereite die gesamte Dokumentation und die notwendigen Nachweise vor, damit die Erklärung fundiert ist und jeder Überprüfung standhält. Mehr dazu im Artikel über die ENS-Konformitätserklärung Grundstufe durch Selbstbewertung.
Die ENS-Zertifizierung stellt eine von ENAC akkreditierte Produktzertifizierungsstelle gemäß UNE-EN ISO/IEC 17065:2012 aus. Meine Arbeit ist es, Sie auf das Bestehen dieses Audits vorzubereiten: Ich setze die Maßnahmen um, erstelle die Dokumentation und begleite Sie während des gesamten Prozesses. Ich verspreche keine garantierte Zertifizierung: die stellt die akkreditierte Stelle aus, nicht der Berater. Wenn Sie den vorgelagerten Anpassungsservice benötigen, beginnen wir mit der ENS-Beratung für Unternehmen.
Die ENS-Zertifizierung in der Kategorie Mittel oder Hoch zu erlangen, ist kein einmaliger Vorgang: Es ist das Ergebnis eines strukturierten Prozesses, der den CCN-STIC-Leitfäden folgt und in einem Audit durch eine von ENAC akkreditierte Stelle gipfelt. Die vorbereitende Arbeit — meine Aufgabe als Berater — bestimmt maßgeblich das Ergebnis dieses Audits.
| Phase | Was getan wird | Bezug und Ergebnis |
|---|---|---|
| Phase 01 Erstanalyse und Geltungsbereich |
Gap-Analyse zwischen dem Ist-Zustand und den ENS-Anforderungen. Definition des Geltungsbereichs: welche Informationssysteme in den Zertifizierungsperimeter fallen. | Analysebericht mit Abstand zur Konformität und dokumentiertem Perimeter. |
| Phase 02 Kategorisierung des Systems |
Bewertung des Systems in den fünf CIDAT-Dimensionen und Zuordnung der resultierenden Kategorie (Grundstufe, Mittel oder Hoch). Die Kategorie bestimmt den erforderlichen Konformitätsweg. | Anhang I des RD 311/2022. Kategorisierungsdokument mit Begründung je Dimension. Siehe ENS-Kategorien Grundstufe, Mittel und Hoch. |
| Phase 03 Risikoanalyse |
Identifikation von Werten, Bedrohungen, Schwachstellen und Schutzmaßnahmen nach der Methodik MAGERIT. Quantifizierung des Restrisikos und Erstellung des Behandlungsplans. | Risikoanalyse mit MAGERIT (unterstützt durch PILAR oder andere CCN-Tools). Risikobehandlungsplan. |
| Phase 04 Anpassungsplan und DdA |
Informationssicherheitsrichtlinie, Auswahl und Begründung der auf Geltungsbereich und Kategorie anwendbaren Maßnahmen aus Anhang II. Erstellung der Anwendbarkeitserklärung (DdA). | CCN-STIC-Leitfaden 806. Anpassungsplan mit Verantwortlichen und Fristen. Vollständige DdA. |
| Phase 05 Umsetzung der Maßnahmen |
Einführung der ausgewählten Sicherheitsmaßnahmen: organisatorischer, betrieblicher und schützender Rahmen. Erstellung von Nachweisen, die die Erfüllung jeder Kontrolle belegen. | Nachweise je umgesetzter Maßnahme aus Anhang II. Vollständiger Dokumentationsrahmen (Verfahren, interne Richtlinien, Aufzeichnungen). |
| Phase 06 Internes Voraudit (Pre-Audit) |
Umfassende Überprüfung der Dokumentation und Nachweise vor dem offiziellen Audit. Identifikation und Behebung von Abweichungen, die zu Nichtkonformitäten führen könnten. Simulation mit der Methodik aus Anhang III. | Vorauditbericht mit Befunden und Abschlussplan. Prüfliste Anhang III des RD 311/2022. |
| Phase 07 Konformitätsaudit |
Das Konformitätsaudit führt die von ENAC akkreditierte Zertifizierungsstelle durch. Ich begleite Sie während des gesamten Prozesses, koordiniere die Übergabe der Nachweise und bearbeite Klärungsanfragen. | Anhang III des RD 311/2022. Das Audit führt die akkreditierte Stelle durch; der Berater begleitet und unterstützt. |
| Phase 08 Zertifikatserteilung und Erneuerung |
Die akkreditierte Stelle stellt das ENS-Zertifikat aus (gültig zwei Jahre). Es wird ein Überwachungsplan aufgestellt, um das Konformitätsniveau aufrechtzuerhalten und die zweijährige Erneuerung rechtzeitig vorzubereiten. | ENS-Zertifikat ausgestellt durch die akkreditierte Stelle. Überwachungsplan und Fahrplan für die Erneuerung in 24 Monaten. |
Den vollständigen Überblick finden Sie im Artikel über den ENS-Zertifizierungsprozess, Anforderungen und ungefähre Kosten.
Die ENS-Zertifizierung können ausschließlich Produktzertifizierungsstellen ausstellen, die über eine ausdrückliche Akkreditierung der ENAC (Entidad Nacional de Acreditación) gemäß der Norm UNE-EN ISO/IEC 17065:2012 für das ENS-Schema verfügen. Diese Akkreditierung erfolgt nicht automatisch: ENAC bewertet die technische Kompetenz, die Unparteilichkeit und die Verfahren der Stelle, bevor sie autorisiert wird.
Die aktuelle Liste der für das ENS akkreditierten Stellen finden Sie jederzeit im öffentlichen Suchportal von ENAC. Auch das CCN veröffentlicht Hinweise zum Prozess auf seinem Portal ens.ccn.cni.es. Sobald das Zertifikat erteilt ist, erscheint Ihr Unternehmen in der Liste der ENS-zertifizierten Unternehmen, die vom CCN gepflegt wird.
Alle von ENAC akkreditierten Stellen erfüllen die technischen Mindestanforderungen. Der Unterschied zwischen ihnen liegt in der Branchenerfahrung (ein Dokumentenverwaltungssystem zu auditieren ist nicht dasselbe wie eine Cloud-Serviceplattform), der Verfügbarkeit und den Fristen (die gefragtesten Stellen können Wartelisten haben), der Transparenz des Auditprozesses und den Kosten, die je nach Geltungsbereich und Systemkomplexität variieren. Ich empfehle, vor einer Entscheidung zwei oder drei Stellen um ein Angebot zu bitten.
Als Berater ist es meine Aufgabe, Ihre Organisation so vorzubereiten, dass das Audit der akkreditierten Stelle ohne Überraschungen verläuft. Das bedeutet: vollständige Dokumentation, prüfbare Nachweise und ein Team, das weiß, was während des Audits zu erwarten ist. Ich habe keine Geschäftsbeziehung mit einer Zertifizierungsstelle: Ich begleite Sie unabhängig davon, welche Sie wählen, was eine neutrale Beratung sicherstellt. Sobald die Stelle ausgewählt ist, koordiniere ich die Kommunikation und die Nachweisübergabe während des gesamten Prozesses.
Den vollständigen vorbereitenden Serviceprozess finden Sie im Artikel über die ENS-Beratung für Unternehmen, die wir vor dem Zertifizierungsaudit durchführen.
Die technischen Spezifikationen öffentlicher IT-Aufträge fordern die ENS-Konformität immer häufiger als Eignungskriterium oder vertragliche Pflicht. Ohne das zur Systemkategorie passende Zertifikat kann das Unternehmen am Vergabeverfahren nicht teilnehmen. Die allgemeine Anpassungsfrist endete am 5. Mai 2024: die Pflicht ist vollständig in Kraft.
Die ENS-Zertifizierung öffnet nicht nur Türen bei Aufträgen, die sie ausdrücklich verlangen. Sie hebt Ihr Unternehmen auch von Mitbewerbern ab, die sie noch nicht besitzen, signalisiert Reife im Informationssicherheitsmanagement und erleichtert die Zusammenarbeit mit öffentlichen Stellen, die unabhängige Akkreditierungen gegenüber eigenen Erklärungen bevorzugen.
Verwaltungen, die ihre eigenen Systeme zertifizieren müssen, verlangen ihrerseits von ihren Lieferanten und Unterauftragnehmern die ENS-Konformität für die dem Dienst beigesteuerten Systeme. Die Zertifizierung macht Ihr Unternehmen in der gesamten Wertschöpfungskette des öffentlichen Sektors zu einem förderfähigen Auftragnehmer und erweitert den erreichbaren Markt erheblich.
Meine Arbeit endet, wenn die akkreditierte Stelle Ihr Zertifikat ausstellt. Das ist es, was wir gemeinsam während des Vorbereitungsprozesses aufbauen.
Ich bin Ángel Ortega Castro, unabhängiger Berater mit Spezialisierung auf normative Compliance und Informationssicherheit. Ich begleite Unternehmen, die Leistungen für den öffentlichen Sektor erbringen, durch den gesamten Prozess zur ENS-Zertifizierung: von der ersten Analyse bis zu dem Tag, an dem die ENAC-akkreditierte Stelle das Zertifikat ausstellt.
Ich bin von Anfang an ehrlich darüber, was ich versprechen kann und was nicht. Ich bereite vor und passe an — Ihre Organisation auf das Konformitätsaudit; das Zertifikat stellt die von ENAC akkreditierte Stelle aus, nicht der Berater. Wer Ihnen eine garantierte Zertifizierung verspricht, lügt oder versteht den Prozess nicht.
Meine Methodik verbindet die Strenge des RD 311/2022 und seiner Anhänge I, II, III und IV, die CCN-STIC-Leitfäden, die MAGERIT-Risikoanalysemethodik und eine echte Begleitung, Mensch zu Mensch. Das Ziel ist nicht, Dokumente zu produzieren, sondern dass Ihr Team den Prozess mit einem funktionierenden Sicherheitssystem verlässt, das die Konformität dauerhaft aufrechterhalten kann.
Die Gesamtkosten für die ENS-Zertifizierung haben zwei klar voneinander zu trennende Komponenten. Auf der einen Seite die Beraterhonorare für die Prozessvorbereitung (Erstanalyse, Kategorisierung, Risikoanalyse, Umsetzung, internes Voraudit und Begleitung). Auf der anderen Seite die Honorare der ENAC-akkreditierten Zertifizierungsstelle, die der Dritte direkt in Rechnung stellt und die unabhängig von den Beraterhonoraren sind.
Die Beratungsinvestition variiert je nach Systemgeltungsbereich (Anzahl der Systeme, technologische und organisatorische Komplexität), der resultierenden Kategorie (Grundstufe, Mittel oder Hoch) und der Ausgangsreife. Ein System mit bereits vorhandenen guten Sicherheitspraktiken erfordert weniger Umsetzungsaufwand als eines, das bei null anfängt. Eine Konformitätserklärung für die Grundstufe vorzubereiten ist auch nicht dasselbe wie ein Zertifizierungsaudit der Stufe Hoch mit mehreren Systemen im Perimeter zu begleiten.
Für mehr Kontext zu üblichen Marktbandbreiten lesen Sie den Artikel über ENS-Zertifizierungsprozess und ungefähre Kosten.
Die ENS-Zertifizierung ist das formelle Dokument, das bescheinigt, dass die Informationssysteme einer Organisation die Anforderungen des Esquema Nacional de Seguridad (RD 311/2022) erfüllen. Sie wird von einer von ENAC gemäß der Norm UNE-EN ISO/IEC 17065:2012 akkreditierten Produktzertifizierungsstelle ausgestellt. Sie dient dazu, gegenüber der Verwaltung und Dritten nachzuweisen, dass die Organisation die Informationssicherheit auf dem geforderten Niveau verwaltet; sie ist Voraussetzung für viele öffentliche Aufträge. Details dazu im Artikel über den ENS-Zertifizierungsprozess, Anforderungen und Kosten.
Die Konformitätserklärung ist der vorgesehene Weg für Systeme der Grundkategorie: die Organisation selbst prüft und erklärt die Konformität, ohne Einbeziehung eines akkreditierten Dritten. Die ENS-Zertifizierung hingegen ist für Systeme der Kategorien Mittel und Hoch obligatorisch und wird von einer von ENAC akkreditierten Zertifizierungsstelle nach einem unabhängigen Konformitätsaudit ausgestellt. Mehr dazu im Artikel über die Konformitätserklärung Grundstufe durch Selbstbewertung.
Die Zertifizierung durch eine ENAC-akkreditierte Stelle ist für Systeme der Kategorien Mittel und Hoch obligatorisch. Für Systeme der Grundkategorie gilt die selbstbewertete Konformitätserklärung. Die Kategorie wird durch Bewertung der Auswirkungen eines Vorfalls auf die fünf CIDAT-Dimensionen (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Rückverfolgbarkeit) bestimmt. Mehr dazu unter ENS-Kategorien Grundstufe, Mittel und Hoch.
Die ENS-Zertifizierung können ausschließlich Produktzertifizierungsstellen ausstellen, die von ENAC gemäß der Norm UNE-EN ISO/IEC 17065:2012 für das ENS-Schema akkreditiert sind. Weder das CCN selbst stellt individuelle Zertifikate für Unternehmen aus, noch können Berater zertifizieren: der Berater bereitet vor und begleitet; die akkreditierte Stelle auditiert und zertifiziert. Mehr dazu auf der Seite So konsultieren Sie die Liste der ENS-zertifizierten Unternehmen.
Der Zeitraum hängt vom Geltungsbereich des Systems, der Kategorie und der Ausgangsreife ab. Die vollständige Vorbereitung (Erstanalyse, Risikoanalyse, Umsetzung der Maßnahmen und internes Voraudit) kann mehrere Monate in Anspruch nehmen; hinzu kommt die Verfügbarkeit der Zertifizierungsstelle. Eine Organisation, die bei null anfängt und mit Kategorie Hoch konfrontiert ist, braucht deutlich länger als eine mit bereits vorhandenen Kontrollen, die Kategorie Mittel anstrebt. Details zu Fristen finden Sie im Artikel über den ENS-Zertifizierungsprozess.
Die ENS-Zertifizierung hat eine Gültigkeit von zwei Jahren. Nach Ablauf dieser Frist muss sich die Organisation einem neuen Konformitätsaudit durch die akkreditierte Stelle unterziehen, um das Zertifikat zu erneuern. Daher ist es wichtig, von Anfang an einen Überwachungsplan zu erstellen, der das Konformitätsniveau während der Zertifikatsgültigkeit aufrechterhält und die Erneuerung ohne Zeitdruck ermöglicht.
Wenn die Ausschreibungsunterlagen des Auftrags die ENS-Konformität als Eignungsanforderung oder vertragliche Verpflichtung vorschreiben, wird das Unternehmen, das sie nicht nachweist, vom Vergabeverfahren ausgeschlossen oder verletzt seine Vertragspflichten. Außerdem lief die allgemeine Anpassungsfrist für bestehende Systeme am 5. Mai 2024 ab, sodass die Pflicht vollständig in Kraft ist. Die Teilnahme an Ausschreibungen ohne die erforderliche Akkreditierung kann zu vertraglichen und verwaltungsrechtlichen Haftungsfolgen führen.
Ja, obwohl es wichtig ist, den Geltungsbereich der Zertifizierung von Anfang an klar zu definieren. Die akkreditierte Stelle zertifiziert das System oder die Systemgesamtheit, die im definierten Perimeter enthalten ist; eine Erweiterung des Geltungsbereichs danach erfordert ein neues Audit. Als Berater ist ein wesentlicher Teil meiner Arbeit, Ihnen dabei zu helfen, den am besten geeigneten Geltungsbereich zu definieren: breit genug, um das abzudecken, was die Ausschreibungen verlangen, aber nicht mehr als notwendig, um Kosten und Aufwand nicht unnötig zu erhöhen.
Erstes Gespräch kostenlos und unverbindlich. Wir bewerten Ihren Geltungsbereich, Ihre wahrscheinliche Kategorie und Ihren Ausgangspunkt. Wenn eine Zusammenarbeit sinnvoll ist, erhalten Sie ein festes Angebot. Wenn nicht, nehmen Sie nützliche Orientierungen mit, die Ihnen helfen, voranzukommen.