Anhang II des ENS: die Sicherheitsmaßnahmen erklärt

Anhang II des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS) ist der Katalog von Sicherheitsmaßnahmen, den ein System anwenden muss, um konform zu sein. Er wird durch das Real Decreto 311/2022 genehmigt und organisiert diese Maßnahmen in drei Rahmen — organisatorisch, operational und Schutz — die insgesamt 73 Maßnahmen umfassen, die mit Codes (org.*, op.*, mp.*) identifiziert werden. Welche Maßnahmen für Sie gelten und mit welchem Anspruch, hängt von der Kategorie des Systems (grundlegend, mittel oder hoch) und den Verstärkungen ab, die diese Kategorie aktiviert. Die endgültige Auswahl wird in der Anwendbarkeitserklärung formalisiert.

Wenn Sie sich zum ersten Mal dem ENS genähert haben, ist Anhang II dort, wo das Esquema aufhört, Theorie zu sein und zu einer konkreten Liste von Dingen wird, die implementiert sein müssen. Es ist, ohne Übertreibung, das Herz der Compliance: Der Rest des Real Decreto definiert Prinzipien, Geltungsbereich und Kategorien, aber Anhang II ist es, was der Prüfer öffnet, wenn er überprüfen will, ob Ihr System wirklich geschützt ist. In diesem Leitfaden schlüssele ich ihn Rahmen für Rahmen auf, erkläre wie er mit der Systemkategorie zusammenhängt und kläre den Unterschied zwischen einer implementierten Maßnahme und der Fähigkeit, dies zu belegen.

Ich arbeite an der regulatorischen Compliance von Unternehmen und Einrichtungen aus Castilla y León und Canarias, und das Muster wiederholt sich: Die meisten Organisationen stolpern nicht, weil sie Anhang II nicht kennen, sondern weil sie nicht verstehen, dass jede Maßnahme je nach dem Niveau des Systems eine unterschiedliche Intensität hat. Lassen Sie uns das ordnen.

Was ist Anhang II des ENS?

Anhang II des RD 311/2022 ist der Teil des Spanischen Nationalen Sicherheitsgrundgesetzes, der die Sicherheitsmaßnahmen auflistet, die eine Einrichtung anwenden muss, um ihre Informationssysteme zu schützen. Während Anhang I die Kategorien festlegt und Anhang III die Prüfung regelt, ist Anhang II das „Was zu tun ist".

Seine Logik ist proportional. Nicht alle Maßnahmen gelten für alle Systeme: Ein kommunales Informationsportal der Grundkategorie benötigt nicht denselben Schutz wie der elektronische Sitz, der Vorgänge mit sensiblen Daten verarbeitet. Deshalb gibt jede Maßnahme des Anhangs II an, ob sie gilt — und mit welcher Intensität — in Abhängigkeit von der Kategorie des Systems und gegebenenfalls dem Niveau jeder betroffenen Sicherheitsdimension.

Eine wichtige Neuerung gegenüber dem alten RD 3/2010 ist das System der Verstärkungen. In der gültigen Fassung haben viele Maßnahmen eine Basisanforderung plus eine Reihe von Verstärkungen (mit dem Buchstaben R identifiziert), die aktiviert werden, wenn das Anspruchsniveau steigt. Dies ersetzt das starrere frühere Schema und ermöglicht es, den Schutz besser abzustufen.

Die drei Rahmen des Anhangs II: organisatorisch, operational und Schutz

Anhang II gruppiert die 73 Maßnahmen in drei Rahmen. Sie zu verstehen ist die halbe Arbeit, denn jeder beantwortet eine andere Frage darüber, wie Sie Informationen schützen.

Organisatorischer Rahmen (org): die Spielregeln

Der organisatorische Rahmen beantwortet „Wer entscheidet und nach welchen Regeln?". Das sind die Sicherheitsführungsmaßnahmen, die alles andere stützen. Er besteht aus vier Maßnahmen:

• org.1 Sicherheitspolitik: das hochrangige Dokument, das vom Führungsorgan genehmigt wird, das die Verpflichtung, Verantwortlichkeiten und den allgemeinen Rahmen festlegt. Es ist der Ausgangspunkt jeder Anpassung. Wenn Sie an Interesse haben, wie es verfasst wird und wie es mit anderen Rahmen verbunden ist, behandle ich es in meinem Leitfaden zur Sicherheitspolitik für Informationen, abgestimmt auf ISO 27001 und ENS.
• org.2 Sicherheitsvorschriften: die Normen, die die Politik entwickeln und beschreiben, was erlaubt ist und was nicht.
• org.3 Sicherheitsverfahren: das operative Wie, Schritt für Schritt, der relevanten Sicherheitsaufgaben.
• org.4 Genehmigungsprozess: die formelle Kontrolle dessen, was in das System aufgenommen wird (Geräte, Anwendungen, Verbindungen, Standorte) und wer es genehmigt.

Es sind wenige Maßnahmen, aber ihr Fehlen ist eines der häufigsten Befunde bei Prüfungen: Viele Einrichtungen haben vernünftige technische Kontrollen und haben dennoch keine formell genehmigte Politik und keine schriftlichen Verfahren. Ohne organisatorischen Rahmen schwebt alles andere in der Luft.

Operationaler Rahmen (op): den Alltag schützen

Der operationale Rahmen beantwortet „Wie betreibe ich das System auf sichere Weise?". Er ist der umfangreichste und umfasst den operativen Lebenszyklus. Seine Gruppen sind:

• op.pl Planung: Risikoanalyse, Sicherheitsarchitektur, Erwerb von Komponenten, Dimensionierung und Kapazitätsverwaltung.
• op.acc Zugriffskontrolle: Identifizierung, Zugriffsanforderungen, Aufgabentrennung, Rechteverwaltung, Authentifizierungsmechanismen.
• op.exp Betrieb: Asset-Inventar, Sicherheitskonfiguration, Änderungsverwaltung, Schutz vor Schadcode, Aktivitätsprotokollierung, Vorfallverwaltung.
• op.ext Externe Ressourcen: Nutzung von Drittanbieterdiensten und Anforderungen an die Lieferkette.
• op.nub Cloud-Dienste: Gruppe eingeführt durch das RD 311/2022 für Systeme, die auf Cloud-Anbieter zurückgreifen.
• op.cont Dienstkontinuität: Folgeabschätzung, Kontinuitätsplan und regelmäßige Tests.
• op.mon Systemüberwachung: Einbruchserkennung und kontinuierliche Überwachung.

Die Gruppe op.nub ist eine der großen Ergänzungen der gültigen Norm und erkennt etwas Offensichtliches an: Heute werden viele öffentliche Dienste auf externer Infrastruktur erbracht, und die Sicherheit hört nicht am eigenen Perimeter auf.

Schutzmaßnahmen (mp): jedes Asset absichern

Der dritte Rahmen beantwortet „Wie schütze ich jeden Asset-Typ?". Es geht vom Physischen zum Logischen und durchläuft alle Elemente, die ein System ausmachen:

• mp.if Schutz von Einrichtungen und Infrastrukturen: physischer Zugang, Energie, Klimatisierung, Schutz vor Brand und Überschwemmung.
• mp.per Personalverwaltung: Stellencharakterisierung, Pflichten, Sensibilisierung und Schulung.
• mp.eq Geräteschutz: Arbeitsplatz, Sperrung, Schutz von Laptops.
• mp.com Kommunikationsschutz: sicherer Perimeter, Vertraulichkeit und Integrität des Datenverkehrs, Netzwerksegmentierung.
• mp.si Schutz von Informationsträgern: Kennzeichnung, Verschlüsselung, sicheres Löschen und Vernichtung.
• mp.sw Schutz von Informatikanwendungen: sichere Entwicklung und Abnahme und Inbetriebnahme.
• mp.info Informationsschutz: Klassifizierung, Verschlüsselung, elektronische Signatur, Sicherungskopien.
• mp.s Dienstschutz: Schutz der E-Mail, von Diensten und Webanwendungen, vor Dienstverweigerung.

Wie viele Sicherheitsmaßnahmen hat das ENS?

Anhang II des RD 311/2022 enthält 73 Sicherheitsmaßnahmen, die auf die drei Rahmen verteilt sind. Die Zahl überrascht oft in beide Richtungen: Wer aus umfangreicheren Rahmen kommt, findet sie handhabbar, und wer bei null anfängt, findet sie umfangreich. Der Schlüssel ist, dass nicht alle für Sie gelten.

Auf diese 73 Maßnahmen wirken die Verstärkungen: zusätzliche Anforderungen, die je nach dem Niveau der betroffenen Dimensionen aktiviert werden. Deshalb können zwei Systeme mit der gleichen Anzahl anwendbarer Maßnahmen sehr unterschiedliche Implementierungslasten haben. Die Zahl, die wirklich zählt, ist nicht „wie viele Maßnahmen hat das ENS", sondern „wie viele Maßnahmen und Verstärkungen gelten für mich", und das bestimmt die Kategorie.

Wie stehen die Maßnahmen mit der Systemkategorie in Verbindung?

Hier ist der Mechanismus, der die meiste Verwirrung erzeugt. Die Reihenfolge ist folgende:

1. Sie bewerten die fünf Sicherheitsdimensionen (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachverfolgbarkeit) Ihres Systems auf den Niveaus niedrig, mittel oder hoch. Das erkläre ich ausführlich in den 5 Sicherheitsdimensionen des ENS.
2. Sie bestimmen die Systemkategorie aus diesen Niveaus, gemäß Artikel 40 und Anhang I: Das System ist der Kategorie hoch, wenn eine Dimension das hohe Niveau erreicht; mittel, wenn eine das mittlere Niveau erreicht (und keine das hohe); und grundlegend, wenn eine das niedrige Niveau erreicht (und keine das mittlere oder hohe). Wenn Sie Zweifel bei der Kategorie haben, helfe ich Ihnen dabei in wie man zwischen grundlegendem, mittlerem oder hohem Niveau wählt.
3. Sie wählen aus Anhang II die Maßnahmen, die für diese Kategorie gelten, und die Verstärkungen, die jedes Niveau aktiviert.

Das heißt: Die Dimensionen legen die Niveaus fest, die Niveaus legen die Kategorie fest, und die Kategorie legt fest, welchen Teil des Anhangs II Sie implementieren müssen. Es ist nicht optional, „nach Gefühl" zu wählen; es ist eine nachverfolgbare Kette, die der Prüfer in umgekehrter Richtung rekonstruieren wird.

Was ist der Unterschied zwischen organisatorischem, operationalem und Schutzrahmen?

Eine einfache Möglichkeit, es zu merken: Der organisatorische Rahmen ist die Führung (wer entscheidet und nach welchen Regeln), der operationale Rahmen ist der Betrieb (wie das System während seines Lebens verwaltet wird) und die Schutzmaßnahmen sind die Assets (wie jedes konkrete Ding gesichert wird). Diese Struktur entwickle ich mit Fokus auf die Kontrollen in ENS-Kontrollen nach Rahmen.

Rahmen	Frage die er beantwortet	Beispiele für Maßnahmen
Organisatorisch (org)	Wer entscheidet und nach welchen Regeln?	Politik, Vorschriften, Verfahren, Genehmigungsprozess
Operational (op)	Wie betreibe ich das System auf sichere Weise?	Zugriffskontrolle, Betrieb, Kontinuität, Überwachung, Cloud
Schutz (mp)	Wie sichere ich jedes Asset ab?	Einrichtungen, Geräte, Kommunikation, Information, Dienste

Die Anwendbarkeitserklärung: wo alles landet

Artikel 28 des RD 311/2022 führt die Anwendbarkeitserklärung (DA) ein, das Dokument, das formalisiert, welche Maßnahmen des Anhangs II für ein konkretes System ausgewählt wurden und das vom Sicherheitsbeauftragten unterzeichnet wird. Es ist die Brücke zwischen dem abstrakten Katalog und Ihrer Realität: Darin begründen Sie, was Sie anwenden, was nicht und warum.

Derselbe Artikel lässt Ausgleichsmaßnahmen zu: Wenn eine Maßnahme des Anhangs II nicht in Ihren Fall passt, können Sie sie durch andere ersetzen, die das Asset gleich gut oder besser schützen, sofern dies dokumentiert wird und die grundlegenden Prinzipien des ENS erfüllt werden. Diese Flexibilität ist nützlich, hat aber Kleingedrucktes: Der Ausgleich muss begründet und festgehalten werden, nicht als selbstverständlich angesehen. Bei einer Prüfung erspart eine gut erstellte DA viele Diskussionen.

Anhang II und ISO 27001: überschneiden sie sich?

Weitgehend ja. Die Leitlinie CCN-STIC 825 kartiert die Kontrollen von ISO 27001 mit den Maßnahmen des ENS, da beide Rahmen dieselbe Philosophie teilen. Wenn Sie bereits ein ISO 27001 Managementsystem implementiert haben, ist ein Teil der Arbeit des Anhangs II bereits erledigt: Viele Ihrer Kontrollen dienen als Beweise. Sie sind nicht austauschbar — das ENS ist gesetzlich obligatorisch und hat sein eigenes Kategorieschema —, aber das Vorhandene zu nutzen beschleunigt die Anpassung und vermeidet doppelten Aufwand.

Häufige Fehler beim Angehen des Anhangs II

• Mit dem Technischen anfangen und den organisatorischen Rahmen vergessen. Ohne formelle Politik und Verfahren stehen die op und mp Maßnahmen ohne Grundlage da.
• „Implementiert" mit „nachweisbar" verwechseln. Eine Maßnahme ohne Beweise (Protokoll, Konfiguration, Protokoll) zählt bei einer Prüfung nicht. Das entwickle ich in Anhang III und die Konformitätsprüfung.
• Die Kategorie überdimensionieren. Das „sicherheitshalber" zuweisen eines hohen Niveaus erhöht unnötige Maßnahmen und Verstärkungen. Die Kategorie wird begründet, nicht aufgebläht.
• Die Lieferkette ignorieren. Die Gruppen op.ext und op.nub verpflichten dazu, Anforderungen an Ihre Anbieter weiterzugeben, nicht nur an Ihr System.

Häufig gestellte Fragen zu Anhang II des ENS

Was ist Anhang II des ENS?

Es ist der Teil des Real Decreto 311/2022, der die Sicherheitsmaßnahmen auflistet, die ein System implementieren muss, um mit dem Spanischen Nationalen Sicherheitsgrundgesetz konform zu sein. Er gruppiert 73 Maßnahmen in drei Rahmen: organisatorisch, operational und Schutz.

Wie viele Sicherheitsmaßnahmen hat das ENS?

Anhang II des RD 311/2022 enthält 73 Maßnahmen, die mit Codes org.*, op.* und mp.* identifiziert werden. Auf sie wirken zusätzliche Verstärkungen, die je nach dem Niveau der Sicherheitsdimensionen des Systems aktiviert werden.

Wie stehen die Maßnahmen mit der Systemkategorie in Verbindung?

Jede Maßnahme des Anhangs II gibt an, ob sie für die Grundkategorie, mittlere oder hohe Kategorie gilt. Zuerst bewerten Sie die Sicherheitsdimensionen, das setzt die Kategorie, und die Kategorie bestimmt, welche Maßnahmen und Verstärkungen des Anhangs II Sie implementieren müssen.

Was ist der Unterschied zwischen organisatorischem, operationalem und Schutzrahmen?

Der organisatorische Rahmen deckt die Sicherheitsführung ab (Politik, Vorschriften, Verfahren); der operationale Rahmen deckt den sicheren Betrieb des Systems ab (Zugriffskontrolle, Betrieb, Kontinuität, Cloud); und die Schutzmaßnahmen sichern jedes konkrete Asset (Einrichtungen, Geräte, Kommunikation, Information, Dienste).

Muss ich alle 73 Maßnahmen des Anhangs II anwenden?

Nein. Sie wenden nur diejenigen an, die der Kategorie Ihres Systems entsprechen, plus die Verstärkungen, die das Niveau jeder Dimension aktiviert. Die endgültige Auswahl wird in der Anwendbarkeitserklärung dokumentiert, wo begründet wird, was angewandt, was nicht und warum.

Ist meine ISO 27001 Zertifizierung für Anhang II nützlich?

Als Ausgangspunkt ja: Die Leitlinie CCN-STIC 825 kartiert ISO 27001 Kontrollen mit ENS Maßnahmen, sodass viele bereits implementierte Kontrollen Beweise liefern. Sie ersetzt nicht das ENS, das gesetzlich obligatorisch ist und sein eigenes Kategorieschema hat, reduziert aber den Anpassungsaufwand.

Quellen

• Real Decreto 311/2022, vom 3. Mai, durch das das Spanische Nationales Sicherheitsgrundgesetz geregelt wird (BOE-A-2022-7191) — konsolidierter Text, Anhang II und Artikel 28.
• Real Decreto 3/2010, vom 8. Januar (BOE-A-2010-1330) — aufgehobene Norm, Entwicklungsreferenz.
• ENS-Portal — CCN (ens.ccn.cni.es) — offizielle Dokumentation und CCN-STIC-Leitlinien (808, 825).

Inhalt erstellt von Summum Marketing für angelortegacastro.com. Informationscharakter; für eine formelle ENS-Anpassung immer den gültigen Text des RD 311/2022 und die anwendbaren CCN-STIC-Leitlinien konsultieren.