Die elektronische Verwaltung und das Spanische Nationales Sicherheitsgrundgesetz (ENS) gehören zusammen, weil das eine ohne das andere nicht existieren kann: Wenn eine Verwaltungsbehörde Ihnen ermöglicht, eine Eingabe über deren elektronischen Sitz einzureichen, eine Benachrichtigung zu erhalten oder einen Vorgang im Internet einzusehen, verarbeitet sie Informationen und Dienste auf elektronischem Wege, und das ENS ist der Rechtsrahmen, der gewährleistet, dass diese Mittel sicher sind. Das ENS wird auf der Grundlage des Artikels 156 des Ley 40/2015 erlassen und schützt fünf Sicherheitsdimensionen — Vertraulichkeit, Integrität, Nachverfolgbarkeit, Authentizität und Verfügbarkeit — für jeden elektronischen Sitz und jeden elektronischen Dienst. Mit anderen Worten: Die elektronische Verwaltung ist das „Was" (Verfahren ohne Papier), und das ENS ist das „Wie es auf sichere Weise geschieht".

Ich begleite seit Jahren Gemeindeverwaltungen, öffentliche Stellen und Unternehmen, die Dienste für die Verwaltung erbringen, bei der Implementierung des ENS, und es gibt eine Idee, die ich in fast jedem ersten Meeting wiederhole: Das ENS ist kein bürokratischer Überhang und keine isolierte technische Norm. Es ist die logische Konsequenz der Digitalisierung der Beziehung zwischen Bürger und Verwaltung. Von dem Moment an, in dem das Gesetz Ihnen das Recht gibt, sich elektronisch mit jeder Verwaltungsbehörde in Verbindung zu setzen, muss jemand dafür verantwortlich sein, dass diese Beziehung nicht manipuliert, nachgeahmt oder zum Absturz gebracht werden kann. Dieser Jemand ist das ENS.

In diesem Artikel erkläre ich Ihnen, wie das ENS und die elektronische Verwaltung zusammenhängen, woher diese Verbindung stammt, was das Esquema genau in einem elektronischen Sitz oder Register schützt und wen es verpflichtet. Ich tue dies mit den echten normativen Quellen vor mir — dem Real Decreto 311/2022, dem Ley 40/2015, dem Ley 39/2015 — und ohne Artikel zu erfinden, weil im Compliance-Bereich Präzision kein Schmuck ist: Es ist die Arbeit.

Was ist die elektronische Verwaltung und warum braucht sie Sicherheit?

Die elektronische Verwaltung ist schlicht die Erbringung öffentlicher Dienste und die Abwicklung von Verwaltungsverfahren auf elektronischem Wege anstatt auf Papier und am physischen Schalter. Wenn Sie von zu Hause aus eine Subvention beantragen, wenn Sie eine Benachrichtigung des Finanzamts in Ihrem elektronischen Postfach erhalten oder wenn eine Gemeindeverwaltung einen Vorgang auf ihrem elektronischen Sitz veröffentlicht, befinden Sie sich im Bereich der elektronischen Verwaltung.

Ihre rechtliche Grundlage bilden zwei Gesetze aus dem Jahr 2015. Das Ley 39/2015, vom 1. Oktober, über das Allgemeine Verwaltungsverfahren der Öffentlichen Verwaltungen, regelt die Beziehung „nach außen": die Rechte der Bürger zur elektronischen Kommunikation, das elektronische Register, elektronische Benachrichtigungen, Identifizierung und Unterschrift. Das Ley 40/2015, vom 1. Oktober, über das Rechtssystem des öffentlichen Sektors, regelt die Funktionsweise „nach innen" und zwischen Verwaltungsbehörden: den elektronischen Sitz, das elektronische Siegel, den Datenaustausch und — das ist entscheidend — es ermächtigt das Spanisches Nationales Sicherheitsgrundgesetz.

Nun vervielfacht die Digitalisierung eines Verfahrens die Risiken. In einer physischen Behörde erfordert das Fälschen eines Siegels, das Imitieren eines Beamten oder das Abfangen eines Dokuments physische Präsenz und hinterlässt physische Spuren. In der elektronischen Welt können dieselben Angriffe aus der Ferne, massenweise und fast spurlos ausgeführt werden, wenn keine Kontrollen vorhanden sind. Wozu dient ein Recht auf elektronische Benachrichtigung, wenn jeder Ihre Benachrichtigung lesen, verändern oder Ihr Empfangen davon verhindern könnte? Die elektronische Verwaltung ist nur dann lebensfähig, wenn ihre Nutzer ihr vertrauen können. Und dieses Vertrauen wird nicht verordnet: Es wird mit überprüfbaren Sicherheitsmaßnahmen aufgebaut. Das ist die Rolle des ENS.

Welche Beziehung besteht zwischen dem ENS und der elektronischen Verwaltung?

ENS und elektronische Verwaltung: Warum sie zusammengehören
Foto: University of Salford (CC BY 2.0)

Es ist eine Beziehung zwischen Mittel und Zweck. Die elektronische Verwaltung ist der Zweck — Dienste zu erbringen und Verfahren ohne Papier abzuwickeln — und das ENS ist das Mittel, das gewährleistet, dass dieser Zweck auf sichere Weise erreicht wird. Es sind keine zwei parallele Welten: Das ENS entstand ausdrücklich, um der elektronischen Verwaltung Sicherheit zu geben.

Das ist nicht meine Interpretation, es steht im historischen Titel der Norm selbst. Das erste Spanische Nationales Sicherheitsgrundgesetz, genehmigt durch das Real Decreto 3/2010, trug wörtlich den Namen „durch das das Spanische Nationales Sicherheitsgrundgesetz im Bereich der elektronischen Verwaltung geregelt wird". Die Verbindung steckt im Namen. Das gültige Real Decreto 311/2022 weitete den Geltungsbereich auf den gesamten öffentlichen Sektor aus, aber das Wesentliche änderte sich nicht: Wo es Informationsverarbeitung und Dienstleistungserbringung auf elektronischem Wege gibt, muss das ENS präsent sein.

Ich erlebe das täglich. Wenn mir eine Gemeindeverwaltung sagt „wir wollen das ENS erfüllen", bittet sie mich in Wirklichkeit: „Wir wollen, dass unser elektronischer Sitz, unser Register und unsere Benachrichtigungen funktionieren, ohne dass jemand sie kaputt machen, imitieren oder zum Absturz bringen kann". Das ENS ist der Übersetzer zwischen dieser legitimen Sorge und einem Satz konkreter, überprüfbarer und durchsetzbarer Maßnahmen. Wenn Sie den vollständigen Rahmen verstehen möchten, entwickle ich ihn in meinem vollständigen Leitfaden zum Spanischen Nationalen Sicherheitsgrundgesetz.

Der gemeinsame Ursprung: vom Ley 11/2007 zu Artikel 156 des Ley 40/2015

Um zu verstehen, warum das ENS und die elektronische Verwaltung dieselbe DNA teilen, muss man zurückblicken. Die elektronische Verwaltung entstand formell mit dem Ley 11/2007, vom 22. Juni, über den elektronischen Zugang der Bürger zu öffentlichen Diensten. Jenes Gesetz erkannte erstmals das Recht der Bürger an, sich auf elektronischem Wege mit der Verwaltung in Verbindung zu setzen, und sah in seiner Artikelstruktur zwei zwillings-Instrumente vor, um dies auf sichere und interoperable Weise zu ermöglichen:

Das ENS wurde mit dem Real Decreto 3/2010 entwickelt und das Interoperabilitätsschema mit dem Real Decreto 4/2010. Sie waren zwei Seiten derselben Münze: Eine elektronische Verwaltung, die weder sicher noch interoperabel ist, ist nutzlos.

Als das Ley 11/2007 aufgehoben wurde und sein Inhalt zwischen dem Ley 39/2015 und dem Ley 40/2015 aufgeteilt wurde, verschwand das ENS nicht: Es wurde neu verankert. Sein heutiger rechtlicher Anker ist Artikel 156 des Ley 40/2015, der in seinem Absatz 2 festlegt, dass das Spanische Nationales Sicherheitsgrundgesetz die Sicherheitspolitik bei der Nutzung elektronischer Mittel festlegen soll und aus den grundlegenden Prinzipien und Mindestanforderungen besteht, die die Sicherheit der behandelten Informationen angemessen gewährleisten. Derselbe Artikel 156 bezeichnet es als Instrument zur Gewährleistung der Sicherheit und des Schutzes personenbezogener Daten der von Verwaltungsbehörden eingesetzten Systeme.

Zusammenfassend die normative Kette ohne Umschweife: Die elektronische Verwaltung und das ENS entstanden gemeinsam im Ley 11/2007 (Artikel 42), wurden parallel im Jahr 2010 entwickelt, und heute koexistieren sie in den Gesetzen von 2015, wo das Ley 39/2015 die Bürgerrechte gibt und das Ley 40/2015 (Artikel 156) das ENS ermächtigt, das ihre Ausübung schützt. Das Real Decreto 311/2022 ist das Stück, das dieses ENS im Detail regelt.

Die fünf Sicherheitsdimensionen des ENS

Das technische Herzstück des ENS sind seine fünf Sicherheitsdimensionen. Alle Informationen und alle Dienste, die eine Verwaltungsbehörde elektronisch verarbeitet, werden danach bewertet, wie viel Schaden es verursachen würde, wenn jede dieser Dimensionen beeinträchtigt würde. Aus dieser Bewertung ergeben sich die Systemkategorien (grundlegend, mittel oder hoch) und damit die zu implementierenden Maßnahmen.

Die fünf Dimensionen, festgehalten im Real Decreto 311/2022, sind:

Diese fünf Dimensionen sind nicht abstrakt: Sie landen in jedem Element der elektronischen Verwaltung, das Sie nutzen. Ich entwickle das mit mehr Detail in der Tabelle, aber merken Sie sich folgendes: Der Sitz, den Sie besuchen, das Register, bei dem Sie Ihre Eingaben einreichen, und die Benachrichtigung, die Sie erhalten, sind — wenn die Verwaltungsbehörde das ENS erfüllt — gleichzeitig in diesen fünf Dimensionen geschützt.

Wie schützt das ENS den Sitz und die elektronischen Dienste?

Hier hört die Beziehung zwischen ENS und elektronischer Verwaltung auf, Theorie zu sein. Nehmen wir die großen Elemente, die das Ley 39/2015 und das Ley 40/2015 zu Ihrer Verfügung stellen, und sehen wir, was das ENS für jedes davon tut.

Der elektronische Sitz ist die elektronische Adresse, die im Eigentum einer Verwaltungsbehörde steht und über die Sie mit ihr in Kontakt treten (definiert durch Artikel 38 des Ley 40/2015). Das ENS verlangt, dass dieser Sitz Authentizität garantiert — dass es wirklich der offizielle Sitz und kein Identitätsdiebstahl ist —, die Integrität der veröffentlichten Informationen und die Verfügbarkeit, damit er nicht ausfällt, wenn Fristen auf dem Spiel stehen.

Das elektronische Register, das das Ley 39/2015 alle Verwaltungsbehörden zu haben verpflichtet, empfängt und verzeichnet Ihre Dokumente. Das ENS schützt, dass das, was Sie einreichen, mit seinem Zeitstempel registriert wird, nicht verändert wird (Integrität) und ein unveränderlicher Nachweis des Eintrags bestehen bleibt (Nachverfolgbarkeit).

Elektronische Benachrichtigungen sind vielleicht der sensibelste Fall, denn von ihnen hängen Fristen und Rechte ab. Das ENS gewährleistet, dass die Benachrichtigung unversehrt ankommt, dass nur die beteiligte Person Zugang dazu hat (Vertraulichkeit) und dass der genaue Moment der Zurverfügungstellung und des Zugriffs aufgezeichnet wird (Nachverfolgbarkeit und Authentizität).

Identifizierung und elektronische Unterschrift sind der Eingang zu allem Vorherigen. Das ENS stützt die Systeme, die gewährleisten, dass derjenige, der unterschreibt, derjenige ist, der er behauptet zu sein (Authentizität), und dass diese Unterschrift danach nicht abgeleugnet werden kann.

Nach meiner Erfahrung hört eine Verwaltungsbehörde, wenn sie dieses Mapping versteht, auf, das ENS als Belastung zu sehen, und beginnt, es als das zu sehen, was es ist: der Sicherheitsgurt der eigenen elektronischen Verwaltung. Wenn Sie sehen möchten, wie das in einem echten Projekt übersetzt wird, erkläre ich es auf meiner Seite für Beratung zur ENS-Implementierung.

Tabelle: die 5 Sicherheitsdimensionen des ENS angewandt auf die elektronische Verwaltung

Das ist die Tabelle, um die man mich am häufigsten bittet, wenn ich das ENS für Teams erkläre, die aus der Welt der elektronischen Verwaltung kommen. Sie verbindet jede abstrakte Dimension des Esquemas mit dem, was sie in der Praxis garantiert, und mit einem konkreten Beispiel in einem Sitz oder einem elektronischen Dienst.

ENS-Dimension Was sie garantiert Beispiel in einem elektronischen Sitz oder Dienst
Vertraulichkeit Dass nur autorisierte Personen Zugang zur Information haben. Ihre elektronische Benachrichtigung kann weder von einem anderen Bürger noch von nicht autorisiertem Personal gelesen werden.
Integrität Dass die Information nicht unbefugt verändert wird. Das Dokument, das Sie im elektronischen Register einreichen, kommt genau so an und wird genau so aufbewahrt, wie Sie es abgesendet haben.
Nachverfolgbarkeit Dass aufgezeichnet wird, wer was wann getan hat. Jeder Registereintrag und jeder Zugriff auf eine Benachrichtigung hinterlässt eine datierte und unveränderliche Spur.
Authentizität Dass die Identität der handelnden Person und der Ursprung der Information gewährleistet werden. Die Unterschrift mit Zertifikat und der elektronische Sitz selbst sind überprüfbar und nicht nachahmbar.
Verfügbarkeit Dass Informationen und Dienste zugänglich sind, wenn sie benötigt werden. Der Sitz und das Register bleiben am letzten Tag einer Ausschreibungsfrist in Betrieb.

Wen verpflichtet das ENS im Rahmen der elektronischen Verwaltung?

Das ist die Frage, die entscheidet, ob Sie vom ENS betroffen sind oder nicht. Das Real Decreto 311/2022, im Einklang mit dem Ley 40/2015, hat einen sehr weiten Geltungsbereich. Es verpflichtet im Wesentlichen:

Für Gebietskörperschaften ist dieser Punkt besonders relevant, da sie dem Bürger am nächsten sind und die meisten elektronischen Sitze und Register verwalten. Wenn Sie in oder mit einer Gemeindeverwaltung arbeiten, wird Ihnen mein spezifischer Artikel über das ENS in Gemeindeverwaltungen und lokaler Verwaltung nützlich sein. Und wenn Ihre Organisation Dienste für den öffentlichen Sektor aus Castilla y León oder aus Canarias erbringt, sind das die zwei Gebiete, in denen ich diese Art von Projekten am häufigsten begleite.

ENS, Interoperabilität und Datenschutz: das vollständige Ökosystem

Das ENS arbeitet nicht allein. Es ist Teil eines Normenökosystems, das die elektronische Verwaltung zum Funktionieren bringt, und es ist sinnvoll, sie nicht zu verwechseln.

Sein historischer Bruder ist das Nationale Interoperabilitätsschema (ENI), geregelt durch das Real Decreto 4/2010. Wenn das ENS auf „sicher sein" antwortet, antwortet das ENI auf „dass die Systeme sich gegenseitig verstehen". Beide entstanden aus demselben Artikel 42 des Ley 11/2007 und sind komplementär: Es nützt wenig, wenn zwei Verwaltungsbehörden Daten austauschen können (Interoperabilität), wenn dieser Austausch nicht sicher ist, und es nützt wenig, wenn er sicher ist, wenn die Systeme nicht miteinander kommunizieren können. Das ENI selbst verweist auf das ENS für alles, was über das für die Interoperabilität unbedingt Notwendige hinausgeht.

Auf der anderen Seite steht der Schutz personenbezogener Daten. Das ENS und die DSGVO sind nicht dasselbe, verstärken sich aber gegenseitig: Artikel 156 des Ley 40/2015 nennt ausdrücklich den Schutz personenbezogener Daten als einen der Zwecke, und viele ENS-Maßnahmen (Verschlüsselung, Zugriffskontrolle, Aktivitätsprotokollierung) sind gleichzeitig Sicherheitsmaßnahmen für personenbezogene Daten. Das ENS zu erfüllen erledigt einen großen Teil der technischen Arbeit der DSGVO, obwohl jede ihren eigenen Regelungsrahmen hat.

Und neben dem ENS koexistieren internationale Sicherheitsstandards wie ISO 27001, die die Philosophie des Esquemas teilt, obwohl sie freiwillig angenommen wird. Viele Organisationen, die bereits ISO 27001 implementiert haben, stellen fest, dass es ihnen die Anpassung an das ENS erheblich erleichtert.

Von der Pflicht zur Praxis: Wie Compliance nachgewiesen wird

Das ENS zu erfüllen bedeutet nicht, es zu erklären, sondern es zu beweisen. Das Esquema verlangt, dass jede Organisation ihre Systeme bewertet, die entsprechende Kategorie wählt (grundlegend, mittel oder hoch), die Maßnahmen des Anhang II implementiert und dies je nach Fall durch eine Selbstbewertung oder eine Zertifizierung mit Prüfung nachweist.

Der Unterschied ist wichtig: Systeme der Grundkategorie können ihre Konformität durch Selbstbewertung nachweisen, während Systeme der mittleren und hohen Kategorie eine formelle Zertifizierung nach einer Prüfung durch eine akkreditierte Stelle benötigen. Diesen Prozess mit seinen Fristen und Kosten erkläre ich in meinem Artikel über die ENS-Zertifizierung, ihren Prozess, Anforderungen und Kosten.

In der Praxis empfehle ich jeder Verwaltungsbehörde oder jedem Anbieter einen geordneten Weg: Zunächst verstehen, welche Informationen und elektronischen Dienste Sie verarbeiten, dann nach den fünf Dimensionen kategorisieren, anschließend die Lücke mit den fehlenden Maßnahmen schließen und schließlich das Erreichte nachweisen. Das ist kein Wochenprojekt, aber auch nicht das Monster, das viele beim ersten Blick befürchten. Mit einer guten Ausgangskarte ist es gut zu bewältigen.

Häufig gestellte Fragen

Welche Beziehung besteht zwischen dem ENS und der elektronischen Verwaltung?

Es ist eine Beziehung zwischen Mittel und Zweck. Die elektronische Verwaltung ermöglicht die digitale Abwicklung und Erbringung von Diensten über das Internet, und das ENS ist der Rechtsrahmen, der gewährleistet, dass diese elektronischen Mittel sicher sind. Das ENS entstand genau dafür, der elektronischen Verwaltung Sicherheit zu geben: das erste Esquema, Real Decreto 3/2010, trug den Titel „im Bereich der elektronischen Verwaltung". Heute ist sein rechtlicher Anker Artikel 156 des Ley 40/2015.

Warum braucht die elektronische Verwaltung das ENS?

Weil die Digitalisierung eines Verfahrens die Risiken von Manipulation, Identitätsdiebstahl oder Unterbrechung des Dienstes vervielfacht. Ohne Sicherheitsgarantien wären die Rechte, die das Ley 39/2015 dem Bürger einräumt — Benachrichtigungen, Eingaben, elektronische Identifizierung — nicht zuverlässig. Das ENS bietet diese Garantien durch fünf Dimensionen: Vertraulichkeit, Integrität, Nachverfolgbarkeit, Authentizität und Verfügbarkeit.

Welche elektronischen Dienste deckt das ENS ab?

Das ENS deckt alle Informationen und alle Dienste ab, die auf elektronischem Wege innerhalb seines Geltungsbereichs erbracht werden: elektronische Sitze, elektronische Register, elektronische Benachrichtigungen, Identifizierungs- und Signatursysteme, Datenaustausch zwischen Verwaltungsbehörden und generell jedes System, das Informationen im Rahmen der elektronischen Verwaltung des öffentlichen Sektors verarbeitet.

Gilt das ENS auch für elektronische Sitze?

Ja. Der elektronische Sitz ist eines der zentralen Elemente, die durch das ENS geschützt werden. Das Esquema verlangt, dass der Sitz seine Authentizität garantiert (dass es der offizielle Sitz ist und kein Identitätsdiebstahl), die Integrität der angebotenen Informationen und seine Verfügbarkeit — besonders wichtig, wenn Verwaltungsfristen auf dem Spiel stehen.

Verpflichtet das ENS nur Behörden?

Nicht nur diese. Das Real Decreto 311/2022 verpflichtet den gesamten öffentlichen Sektor, aber auch private Unternehmen, die Dienste oder technologische Lösungen für Verwaltungsbehörden erbringen, wenn sie dabei Informationen oder Systeme im Geltungsbereich des ENS verarbeiten. Viele Technologieanbieter stellen fest, dass das ENS auch sie betrifft.

Was ist der Unterschied zwischen ENS und dem Nationalen Interoperabilitätsschema?

Das ENS (Real Decreto 311/2022) gewährleistet, dass die Systeme der elektronischen Verwaltung sicher sind; das Nationale Interoperabilitätsschema oder ENI (Real Decreto 4/2010) gewährleistet, dass diese Systeme Informationen zwischen Verwaltungsbehörden verstehen und austauschen können. Beide ergänzen sich und entstanden aus demselben Artikel 42 des Ley 11/2007.

Wie beweist eine Verwaltungsbehörde, dass sie das ENS erfüllt?

Indem sie ihre Systeme bewertet, ihnen eine Kategorie zuweist (grundlegend, mittel oder hoch) und die entsprechenden Maßnahmen implementiert. Systeme der Grundkategorie können ihre Konformität durch Selbstbewertung nachweisen; Systeme der mittleren und hohen Kategorie benötigen eine Zertifizierung nach einer Prüfung durch eine akkreditierte Stelle.

Quellen

Braucht Ihre Organisation elektronische Dienste und muss die ENS-Anpassung ordnen? Sprechen Sie uns an und ich helfe Ihnen, den Weg zu bestimmen. Inhalt erstellt von Summum Marketing.