- Kategorien
- Strategie→
- Umsetzung→
- Künstliche Intelligenz→
- Schulungen und Vorträge→
- Kundenerlebnis→
- Externe Leitung→
- Compliance und Sicherheit→
Strategie und Diagnose

Strategieberatung Marken-Audit Marketingplan Positionierung Zielgruppenanalyse Marken-Archetypen
Alle Strategieleistungen ansehen →

Umsetzung und Kanäle

Branded Content Angewandtes Neuromarketing Attributionsmodelle SEO und SEM Marketing-Automatisierung Corporate Identity Packaging Außenwerbung
Alle Umsetzungsleistungen ansehen →

Künstliche Intelligenz im Marketing

KI im Marketing Prädiktive Analyse mit KI Generative KI für Inhalte Chatbots und Konversations-Support Personalisierung im großen Maßstab KI-Schulung für Teams KI-Audit und Governance
KI-Leistungen ansehen →

Schulungen, Konferenzen und Vorträge

Konferenzen und Keynotes Inhouse-Schulungen Bildungseinrichtungen · Master · MBA Offene Masterclasses Angewandtes Neuromarketing Branded Content KI für Marketingteams Strategie und Führung
Alle Schulungen ansehen →

Kundenerlebnis

Customer Experience Design (CX) Customer Journey Mapping Gamification Point-of-Sale-Marketing
Kundenerlebnis ansehen →

Externes Marketingmanagement

Externe Marketingabteilung Interim-CMO Führungskräfte-Coaching Kommunikation und PR
Externe Leitung ansehen →

Compliance und Informationssicherheit

ENS-Beratung ISO-Normen (9001/14001/27001) Cybersicherheit und GDPR Compliance (Überblick)
ENS-Beratung ansehen →

Empfohlen

Compliance · ENS

Anpassung an den Esquema Nacional de Seguridad (ENS).

RD 311/2022, Stufen Básica/Media/Alta und Vorbereitung der Konformitätsprüfung für öffentliche Ausschreibungen.
Leistung ansehen →
- Nach Kategorie
- Industrie→
- Geografie→
- Geschäftsbereich→
- Unternehmensgröße→
Branchen, in denen ich tätig bin

Weingüter und Wein Agrar- und Ernährungswirtschaft Bank- und Finanzdienstleistungen Tourismus und Hospitality Verarbeitendes Gewerbe Öffentlicher Sektor Technologie und SaaS Einzelhandel und Konsumgüter
Alle Branchen ansehen →

Wo ich tätig bin

Valladolid Burgos Aranda de Duero Las Palmas de Gran Canaria Kastilien und León Kanarische Inseln Übriges Spanien
Abdeckungskarte →

Geschäftsbereich

B2B B2C (Markenkunden) Persönliche Führungsmarke Standortmarketing
Geschäftsbereiche ansehen →

Nach Unternehmensgröße

KMU (10–50 Mitarbeiter) Mittlere Unternehmen (50–250) Großunternehmen (250+) Familienunternehmen Gründer und Start-ups
Nach Größe ansehen →

Empfohlen

Öffentlicher Sektor

Mit der Verwaltung zuverlässig zusammenarbeiten.

Marke, Compliance und Informationssicherheit für Ausschreibungen und Leistungserbringung im öffentlichen Sektor.
Ansatz ansehen →
- Nach Thema
- Branded Content→
- Neuromarketing→
- Strategie→
- Analyse→
- Ressourcen→
Branded Content und Storytelling

Cuánto · Banco Santander Aprendemos Juntos · BBVA Was ist Branded Content? Erfolgsbeispiele
Alle Branded-Content-Beiträge →

Neurowissenschaft im Marketing

Konzept und Anwendungen Eye-Tracking in der Werbung EEG und emotionale Reaktion Kognitive Verzerrungen bei Verbrauchern
Alle Neuromarketing-Beiträge →

Strategie und Klassiker

Die Marketingmyopie · Levitt Nutzenstiftendes Marketing Inbound vs. Outbound Positionierung nach Trout und Ries
Alle Strategiebeiträge →

Analyse und Messung

Attributionsmodelle Programmatische Werbung GA4 und echte Kennzahlen ROAS, MER und relevante Metriken
Alle Analysebeiträge →

Herunterladbare Ressourcen

Strategische Vorlagen Monatlicher Newsletter Wesentliche Literatur Marketing-Glossar
Alle Ressourcen ansehen →

Pflichtlektüre

ENS-Leitfaden

ENS (Esquema Nacional de Seguridad): vollständiger Leitfaden.

Was das ENS ist, wen es verpflichtet und wie man sich Schritt für Schritt anpasst. Der Ausgangspunkt des ENS-Clusters.
Leitfaden lesen →
Über mich

Compliance und Sicherheit · ENS

ENS-Beratung für Unternehmen

Aktualisiert: 27. Juni 2026

Ich bin Ángel Ortega Castro, unabhängiger ENS-Berater. Ich begleite Sie bei der Anpassung an den Esquema Nacional de Seguridad (ENS) (RD 311/2022), damit Ihre Organisation konform wird, Vertrauen gewinnt und öffentliche Aufträge gewinnen und mit der Verwaltung zusammenarbeiten kann, ohne den Betrieb zu verlangsamen.

Gespräch vereinbaren → Die Projektphasen ansehen

RD 311/2022

Geltender Rechtsrahmen

3 Stufen

Básica · Media · Alta

1 zu 1

Echte Begleitung

Was das ENS ist und warum Sie es einhalten sollten

Informationssicherheit mit rechtlicher Grundlage.

Der Esquema Nacional de Seguridad (ENS, das spanische nationale Sicherheitsschema) ist der Rahmen, der die verbindliche Sicherheitspolitik für den Einsatz elektronischer Mittel im öffentlichen Sektor und bei dessen Dienstleistern festlegt. Die geltende Rechtsgrundlage ist das Real Decreto 311/2022, das das RD 3/2010 ablöste und seinen Inhalt in vier Anhänge — Kategorisierung (I), Sicherheitsmaßnahmen (II), Auditierung (III) und Glossar (IV) — unter der Koordination des Centro Criptológico Nacional (CCN) gliedert.

Es handelt sich nicht um eine reine Formalität: Die Einhaltung des ENS schützt Ihre Systeme, öffnet Ihnen die Türen zur öffentlichen Auftragsvergabe und zeigt Ihren Kunden, dass Sie Informationen methodisch verwalten. Hier sind die vier Gründe, warum es sich lohnt, es richtig zu machen.

Echter Schutz

Sie implementieren die risikogerechten Maßnahmen des Anhangs II: Defense-in-depth über die fünf Sicherheitsdimensionen (CIDAT), keine isolierten Einzelmaßnahmen.

Nachweisbares Vertrauen

Die ENS-Konformität ist ein Glaubwürdigkeitssignal gegenüber Behörden, Bürgern und Partnern. Sie zeigen, dass Sie deren Daten ernstnehmen.

Öffentliche Ausschreibungen gewinnen

Immer mehr Ausschreibungen verlangen von Lieferanten und Auftragnehmern ENS-Konformität. Diese Voraussetzung zu erfüllen ist die Eintrittskarte für öffentliche Vergabeverfahren.

Resilienz und kontinuierliche Verbesserung

Das ENS etabliert einen Managementzyklus (PDCA): Risikoanalyse, Monitoring, Vorfallreaktion und regelmäßige Auditierung. Sie verbessern sich nachhaltig.

Wenn Sie sich vor dem Weiterlesen einen Überblick verschaffen möchten, empfehle ich den vollständigen ENS-Leitfaden und die ENS-Kurzübersicht in 5 Minuten.

Verpflichtete

Für wen gilt das ENS?

Das ENS verpflichtet den gesamten öffentlichen Sektor (Zentralstaat, autonome Gemeinschaften, Kommunen und zugehörige Einrichtungen) sowie privatwirtschaftliche Unternehmen, die dem öffentlichen Sektor auf vertraglicher Basis Dienstleistungen oder Lösungen erbringen. Es erfasst also die Lieferkette: IKT-Anbieter, Systemintegratoren, Softwarehersteller, Cloud-Dienste und Auftragnehmer.

Diese Ausweitung auf Lieferanten ist ausdrücklich geregelt: Das Real Decreto 311/2022 legt fest, dass privatwirtschaftliche Betreiber, die dem öffentlichen Sektor Dienstleistungen erbringen, ihre ENS-Konformität nachweisen müssen. Die einmalige Übergangsbestimmung sah 24 Monate für die Anpassung vorhandener Systeme vor; dieser Zeitraum endete am 5. Mai 2024. Die Pflicht ist vollumfänglich in Kraft: Neue Systeme oder Systeme mit erheblichen Änderungen müssen vom ersten Tag an konform sein, und die ENS-Zertifizierung wird alle zwei Jahre erneuert. Die Ausschreibungen verlangen die Konformität bereits als Eignungsnachweis — wer sie nicht nachweist, scheidet aus der öffentlichen Auftragsvergabe aus.

Einzelheiten zu jedem Anwendungsfall erläutere ich in diesen Blogbeiträgen: wann das ENS im privaten Sektor gilt, welche Lieferanten zum ENS verpflichtet sind sowie Details zur ENS-Beratung für öffentliche Verwaltungen und deren Umfang.

Rechtsgrundlage: Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE). Anwendungsleitfäden des CCN (Centro Criptológico Nacional). Die unabhängige Überprüfung erfolgt durch von ENAC akkreditierte Stellen.

Wie wir arbeiten

Phasen des ENS-Anpassungsprojekts.

Der ENS-Anpassungsplan folgt der Reihenfolge der CCN-STIC-Leitfäden. Wir improvisieren nicht: Jede Phase produziert ein Ergebnis, das auf dem vorherigen aufbaut. Dies ist die vollständige Roadmap, von der Erstdiagnose bis zur Prüfungsvorbereitung.

ENS-Anpassungsplan · Phasen und Ergebnisse
Phase	Was wir tun	Referenz und Ergebnis
Phase 01 Diagnose (Gap)	Differenzanalyse zwischen Ihrer aktuellen Situation und den ENS-Anforderungen. Definition des Geltungsbereichs und der betroffenen Informationssysteme.	Diagnose-/GAP-Analysebericht mit dem tatsächlichen Abstand zur Konformität.
Phase 02 Kategorisierung	Bewertung der Systeme in den fünf Sicherheitsdimensionen (CIDAT) und Zuweisung der Kategorie: básica, media oder alta.	Anhang I des ENS. Bestimmt die anwendbare Kategorie básica, media oder alta.
Phase 03 Risikoanalyse	Identifizierung von Werten, Bedrohungen und Schutzmaßnahmen nach der MAGERIT-Methodik (unterstützt durch Tools wie PILAR).	Bericht zur MAGERIT-Risikoanalyse und Risikobehandlung.
Phase 04 Anpassungsplan + DdA	Sicherheitspolitik, Maßnahmenauswahl und Erstellung der Anwendbarkeitserklärung (DdA), in der jede anwendbare Kontrolle begründet wird.	Leitfaden CCN-STIC 806. Anpassungsplan und Konformitätserklärung.
Phase 05 Implementierung	Einführung der ausgewählten Maßnahmen: organisatorischer, betrieblicher und Schutzrahmen. Begleitung Ihres Teams.	Implementierung der Maßnahmen des Anhangs II mit Nachweisen.
Phase 06 Auditierung / Zertifizierung	Vorbereitung und Vorabprüfung. Bei Kategorie media oder alta: Begleitung während der Prüfung durch die akkreditierte Stelle.	Anhang III. Ich bereite die ENS-Auditierung vor; die Konformitätsprüfung führt ein Dritter durch.

Möchten Sie wissen, wie lange jede Phase dauert? Details finden Sie unter Zeitpläne der ENS-Anpassung. Und wenn Ihr System bereits läuft, kann ich direkt die Implementierung und ENS-Anpassung übernehmen.

Erstdiagnose anfragen →

Sicherheitsstufen

ENS-Kategorien: básica, media und alta.

Die Kategorie eines Systems ist keine subjektive Einschätzung: Sie wird durch die Bewertung der Auswirkungen eines Vorfalls auf die fünf Sicherheitsdimensionen — Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Rückverfolgbarkeit (CIDAT) — ermittelt. Die Dimension mit der höchsten Einstufung bestimmt die Kategorie des Systems.

Kategorie Básica

Begrenzte Auswirkung

Wenn ein Vorfall einen begrenzten Schaden für die Funktionen der Organisation, ihre Werte oder die betroffenen Personen verursachen würde.

Keine Dimension überschreitet die niedrige Stufe
Konformität durch Selbstbewertungserklärung
Verhältnismäßiges und tragbares Maßnahmenpaket

Kategorie Media

Schwerwiegende Auswirkung

Wenn ein Vorfall einen schwerwiegenden Schaden verursachen würde: mindestens eine Dimension erreicht die mittlere Stufe.

Mindestens eine Dimension auf mittlerer Stufe
Konformität durch akkreditierte Zertifizierung
Zweijährliche Konformitätsprüfung

Kategorie Alta

Sehr schwerwiegende Auswirkung

Wenn ein Vorfall sehr schwerwiegenden, möglicherweise irreparablen Schaden verursachen würde: mindestens eine Dimension erreicht die hohe Stufe.

Mindestens eine Dimension auf hoher Stufe
Konformität durch akkreditierte Zertifizierung
Zweijährliche Konformitätsprüfung

Die richtige Kategorie zu wählen ist entscheidend, um weder zu über- noch zu unterinvestieren. Ich helfe Ihnen bei der Entscheidung im Leitfaden zu ENS-Stufen und Kategoriewahl sowie beim Verständnis der fünf Sicherheitsdimensionen (CIDAT).

Die zwei Konformitätswege

Básica → Konformitätserklärung

In der Kategorie básica wird die Konformität durch eine selbstbewertete Konformitätserklärung nachgewiesen: Die Organisation selbst überprüft die Einhaltung gemäß den CCN-STIC-Leitfäden. Ich bereite die Dokumentation und die Nachweise vor, damit die Erklärung solide fundiert ist.

Media / alta → Akkreditierte Zertifizierung

In den Kategorien media oder alta ist eine Zertifizierung durch eine von ENAC akkreditierte Stelle gemäß der Norm UNE-EN ISO/IEC 17065:2012 erforderlich. Ich bereite Sie auf die Prüfung vor; das Zertifikat stellt die akkreditierte Stelle aus — niemals der Berater.

Wenn Sie unsicher sind, welchen Rahmen Sie benötigen, vergleichen Sie ENS oder ISO 27001 für die Zusammenarbeit mit der öffentlichen Verwaltung; und für den vollständigen Zertifizierungsprozess lesen Sie Ablauf der ENS-Zertifizierung.

Was Sie erhalten

Dokumentation, bereit zum Nachweis der Konformität.

Ich übergebe Ihnen kein PDF, das niemand mehr öffnet. Sie erhalten das dokumentarische und technische Fundament, das die Konformität trägt und das der Prüfer — oder Ihr Auftraggeber in der Verwaltung — sehen muss.

Diagnose-/GAP-Analysebericht mit dem tatsächlichen Abstand zwischen Ihrer Situation und den ENS-Anforderungen.
Systemkategorisierung in den fünf Dimensionen (CIDAT) und die resultierende Stufe (básica, media oder alta).
Risikoanalyse nach MAGERIT-Methodik und Risikobehandlungsplan.
Informationssicherheitspolitik und abgeleitete Sicherheitsvorschriften.
Anpassungsplan (CCN-STIC 806) mit Verantwortlichen, Fristen und Prioritäten.
Anwendbarkeitserklärung (DdA) mit Begründung der ausgewählten Maßnahmen des Anhangs II.
Implementierungsnachweise für die organisatorischen, betrieblichen und schützenden Maßnahmen.
Prüfungsvorbereitung: Vorabprüfung, Checkliste und Begleitung während des Konformitätsprozesses.

Ángel Ortega Castro, unabhängiger ENS-Berater

Warum mit mir arbeiten

Ein ENS-Berater, der Gesicht zeigt.

Ich bin Ángel Ortega Castro, unabhängiger Berater, spezialisiert auf normative Compliance und Informationssicherheit. Ich begleite Behörden, IKT-Anbieter und Unternehmen, die mit dem öffentlichen Sektor zusammenarbeiten möchten, bei ihrer Anpassung an den Esquema Nacional de Seguridad (ENS).

Mein Ansatz ist echte, persönliche Begleitung: Ich hinterlasse Ihnen kein Handbuch und verschwinde dann. Ich arbeite in jeder Phase an Ihrer Seite, übersetze die Norm in konkrete Entscheidungen und befähige Ihr Team, die Konformität nach Projektabschluss eigenständig aufrechtzuerhalten.

Ich bin ehrlich bezüglich dessen, was ich versprechen kann und was nicht: Ich bereite Ihre Organisation auf die Konformität vor und passe sie an; das Zertifikat stellt eine von ENAC akkreditierte Stelle aus. Diese Transparenz, verbunden mit methodischer Strenge (RD 311/2022, Anhänge I–IV und CCN-STIC-Leitfäden), unterscheidet mich von anonymen Beratungsunternehmen.

Unabhängiger ENS-Berater RD 311/2022 · Anhänge I–IV CCN-STIC-Leitfäden MAGERIT · Risikoanalyse Kastilien und León · Kanarische Inseln · Spanien

Branchen, die ich begleite

Drei typische Profile der ENS-Anpassung.

Lokale Verwaltung

Kommunen und kommunale Einrichtungen.

Üblicherweise Kategorie básica, selbstbewertete Konformitätserklärung und Nutzung von CCN-Tools wie INES. Praxisnahe Anpassung, die der Größe der Gemeinde gerecht wird.

IKT-Anbieter

Unternehmen, die der öffentlichen Verwaltung Dienstleistungen erbringen.

Softwareanbieter, Systemintegratoren und Cloud-Dienste, die ihre Konformität nachweisen müssen, um Ausschreibungsanforderungen zu erfüllen und öffentliche Aufträge zu sichern.

Unternehmen, die ausschreiben

Unternehmen, die in die öffentliche Auftragsvergabe einsteigen möchten.

Privatunternehmen, die ihre ENS-Konformität als Eignungsnachweis vorbereiten, um an Vergabeverfahren teilzunehmen und ihren Markt in Richtung öffentlicher Sektor zu erweitern.

Orientierender Kostenrahmen

Was kostet die ENS-Anpassung?

Es gibt keinen einheitlichen Betrag — und misstrauen Sie jedem, der Ihnen einen nennt, ohne Ihren Fall zu kennen. Die Investition hängt vom Umfang (Anzahl der Systeme), der Kategorie (básica, media oder alta), Ihrer Ausgangssituation und davon ab, ob eine akkreditierte Zertifizierung erforderlich ist oder eine Erklärung genügt.

Festpreis nach der DiagnoseKeine Überraschungen · angepasst an Ihren Umfang und Ihre Kategorie

Zu diesen Beratungskosten kommen bei den Kategorien media oder alta die Kosten der akkreditierten Zertifizierungsstelle hinzu, die unabhängig von meinen Honoraren sind und vom prüfenden Dritten in Rechnung gestellt werden.

Im ersten Gespräch bewerten wir Ihren Umfang und Ihre Kategorie und ich unterbreite Ihnen ein Festangebot. Unverbindlich und ohne überhöhte Zahlen: ehrliche Orientierung vom ersten Moment an.

Häufige Fragen

Typische Fragen zum ENS.

Ist das ENS für private Unternehmen verpflichtend?

Ja, wenn sie dem öffentlichen Sektor auf vertraglicher Basis Dienstleistungen oder Lösungen erbringen. Das RD 311/2022 erstreckt die Pflicht auf die Lieferkette; der allgemeine Anpassungszeitraum für vorhandene Systeme endete am 5. Mai 2024. Die Pflicht ist vollumfänglich in Kraft, und die Ausschreibungen verlangen die Konformität als Eignungsnachweis. Details dazu unter wann das ENS im privaten Sektor gilt.

Wer ist zur Einhaltung des ENS verpflichtet?

Der gesamte öffentliche Sektor (Zentralstaat, autonome Gemeinschaften, Kommunen und ihre Einrichtungen) sowie privatwirtschaftliche Unternehmen, die ihnen Dienstleistungen erbringen, also deren Lieferanten und Auftragnehmer. Mehr dazu unter welche Lieferanten zum ENS verpflichtet sind.

Was ist der Unterschied zwischen den Kategorien básica, media und alta?

Die Kategorie ergibt sich aus den Auswirkungen eines Vorfalls auf die fünf Sicherheitsdimensionen (CIDAT). Básica bedeutet begrenzte Auswirkung, media bedeutet schwerwiegend, alta bedeutet sehr schwerwiegend. Die Dimension mit der höchsten Einstufung bestimmt die Systemkategorie. Hilfe bei der Entscheidung unter Wahl zwischen den Kategorien básica, media und alta.

Wer stellt das ENS-Zertifikat aus?

Bei den Kategorien media und alta stellt eine von ENAC akkreditierte Stelle gemäß der Norm UNE-EN ISO/IEC 17065:2012 das Zertifikat aus. In der Kategorie básica genügt eine selbstbewertete Konformitätserklärung. Als Berater bereite ich Sie auf die Konformität vor, das Siegel vergibt die akkreditierte Drittpartei. Mehr dazu unter Konformitätserklärung für die Kategorie básica.

Was kostet die ENS-Anpassung?

Das hängt vom Umfang, der Kategorie und Ihrer Ausgangssituation ab; deshalb gebe ich erst nach der Diagnose ein Festangebot. Bei den Kategorien media und alta kommt der Betrag der Zertifizierungsstelle hinzu, der unabhängig von der Beratung ist.

Wie lange dauert die ENS-Anpassung?

Die Dauer variiert je nach Kategorie und Systemreife. Ein Projekt der Kategorie básica ist in der Regel schneller abgeschlossen als eines der Kategorie alta mit mehreren Systemen und akkreditierter Zertifizierung. Die phasenweisen Zeitpläne finden Sie unter Zeitpläne der ENS-Anpassung.

Wie häufig wird das ENS geprüft?

Bei den Kategorien media und alta erfolgt die Konformitätsprüfung zweijährlich (mindestens alle zwei Jahre) durch eine akkreditierte Stelle. In der Kategorie básica ist die Überprüfung mit der Konformitätserklärung verknüpft. Erläuterungen dazu unter Häufigkeit und Durchführung der ENS-Auditierung.

ENS oder ISO 27001? Benötige ich beide?

Das ENS ist für den öffentlichen Sektor und seine Lieferanten verpflichtend; ISO 27001 ist eine freiwillige internationale Zertifizierung. Beide sind kompatibel und teilen viele Kontrollen, sodass der Aufwand doppelt genutzt werden kann. Vergleich beider Rahmen unter ENS oder ISO 27001 für öffentliche Aufträge.

Leitfäden des ENS-Clusters.

HauptleitfadenENS (Esquema Nacional de Seguridad): vollständiger Leitfaden RechtsrahmenReal Decreto 311/2022: Zusammenfassung des geltenden ENS Anhang IIDie Sicherheitsmaßnahmen des ENS-Anhangs II RisikenMAGERIT-Risikoanalyse für das ENS CPSTICCCN-CPSTIC-Katalog: ENS-qualifizierte Produkte HubNormative Compliance: Gesamtüberblick

Nächster Schritt

Sprechen wir über Ihre ENS-Anpassung?

Erstes Gespräch kostenlos und unverbindlich. Wir bewerten Ihren Umfang und Ihre Kategorie, und wenn wir zusammenpassen, erhalten Sie ein Festangebot. Wenn nicht, nehmen Sie eine hilfreiche Erstdiagnose mit, um mit der ENS-Konformität zu beginnen.

Gespräch vereinbaren → Alle Compliance-Leistungen ansehen