Wie häufig muss das ENS auditiert werden?

Systeme mittlerer und hoher Kategorie müssen mindestens alle zwei Jahre einer ordentlichen Prüfung unterzogen werden (biennial). Systeme der Grundkategorie können ihre Konformität durch Selbstbewertung nachweisen, ohne externen Prüfer.

Wer führt die ENS-Prüfung durch?

In Grundkategorie genügt eine Selbstbewertung. In mittlerer und hoher Kategorie muss die Prüfung von einer durch ENAC akkreditierten Zertifizierungsstelle durchgeführt werden.

Was prüft der Auditor beim ENS?

Der Prüfer verifiziert, dass jede Maßnahme des Anhangs II implementiert ist, ihrem Anspruchsniveau entspricht und durch Nachweise belegt werden kann: Protokolle, Konfigurationen, genehmigte Dokumente, Schulungsunterlagen usw.

Was ist der Unterschied zwischen Konformitätserklärung und Konformitätszertifikat?

Die Konformitätserklärung ist eine Eigenerklärung der Organisation, gültig für Grundkategorie-Systeme. Das Konformitätszertifikat wird von einer ENAC-akkreditierten Stelle nach externer Prüfung ausgestellt und ist für mittlere und hohe Kategorien erforderlich.

Anhang III des ENS: Konformitätsprüfung und Audit

Q: Was ist Anhang III des ENS?

Anhang III des Real Decreto 311/2022 legt den Gegenstand, die Ebenen und die Interpretation der Sicherheitsprüfung fest. Er regelt das Verfahren, mit dem verifiziert wird, dass ein System die Maßnahmen des Anhangs II tatsächlich umsetzt.

Anhang III des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS) regelt das Sicherheitsaudit: das Verfahren, mit dem überprüft wird, ob ein System die Maßnahmen des Anhangs II tatsächlich einhält. Gemäß Real Decreto 311/2022 und dessen Artikel 31 müssen Systeme der Kategorien Mittel und Hoch mindestens alle zwei Jahre einer ordentlichen Prüfung unterzogen werden — und bei wesentlichen Änderungen zusätzlich einer außerordentlichen Prüfung —, während Systeme der Kategorie Grundlegend ihre Konformität durch Selbstbewertung nachweisen können. Der Prüfer beschränkt sich nicht auf Papierdokumente: Er verifiziert, dass jede Maßnahme tatsächlich umgesetzt, angemessen und vor allem durch objektive Nachweise belegbar ist.

Anhang II legt fest, was vorhanden sein muss; Anhang III überprüft, ob es wirklich vorhanden ist. Das ist der Unterschied zwischen dem Verfassen einer Sicherheitsrichtlinie und dem Vorlegen des Protokolls, das ihre Genehmigung dokumentiert, der Aufzeichnungen, die ihre Anwendung belegen, und der Konfiguration, die sie konkret umsetzt. Wenn Anhang II die Prüfung ist, ist Anhang III der Korrektor. In diesem Leitfaden erkläre ich, was das ENS-Audit im Einzelnen überprüft, welche Nachweise für jeden Maßnahmentyp erforderlich sind, wie es sich von der Selbstbewertung unterscheidet und welche Feststellungen am häufigsten wiederkehren.

Ich begleite Unternehmen und Einrichtungen in diesem Prozess von Castilla y León und Canarias aus, und fast immer ist das Problem nicht das Fehlen von Kontrollen, sondern das Fehlen geordneter Nachweise. Diesen Fehler wollen wir gemeinsam vermeiden.

Was ist Anhang III des ENS?

Anhang III des RD 311/2022 legt Gegenstand, Ebenen und Interpretation des Sicherheitsaudits fest. Er ist die natürliche Ergänzung zu Anhang II: Er definiert, wie die Konformität mit den dort katalogisierten Maßnahmen überprüft wird. Seine operative Umsetzung stützt sich auf Artikel 31 des Real Decreto und auf den Leitfaden CCN-STIC 808, der beschreibt, wie die Einhaltung Maßnahme für Maßnahme verifiziert wird.

Das ENS-Audit ist keine bürokratische Formalität. Es überprüft drei Dinge für jede anwendbare Maßnahme: ob sie umgesetzt ist, ob sie dem Risiko und der Kategorie angemessen ist, und ob ihr Betrieb nachgewiesen werden kann. Eine Maßnahme, die nur auf dem Papier existiert, aber keine operativen Spuren hinterlässt, gilt im Rahmen des Audits als nicht akkreditiert.

Wer kann die ENS-Konformität prüfen?

Anhang III des ENS: Konformitätsprüfung und Audit — Foto: Semtrio (CC BY 2.0)

Dies hängt vom Zweck des Audits und der Art der Einrichtung ab:

Öffentlicher Sektor. Die Überprüfung kann von einem Technischen Prüforgan (Órgano de Auditoría Técnica, OAT) des öffentlichen Sektors durchgeführt werden oder — durch die Konformitätserklärung — von der Einrichtung selbst unter Zuhilfenahme des Leitfadens CCN-STIC 809.
Konformitätszertifizierung. Wenn ein ENS-Konformitätszertifikat angestrebt wird (üblich bei privaten Unternehmen, die dem öffentlichen Sektor Dienstleistungen erbringen), wird das Audit von einer durch ENAC für das ENS akkreditierten Zertifizierungsstelle durchgeführt. Das Ergebnis ist ein zeitlich befristetes Zertifikat.

In der Praxis gilt: Wenn Sie als Anbieter das ENS nachweisen möchten, um an öffentlichen Ausschreibungen teilzunehmen, werden Sie mit einer akkreditierten Zertifizierungsstelle zusammenarbeiten. Den Ablauf und die Kosten dieses Prozesses beschreibe ich ausführlich in meinem Leitfaden zur ENS-Zertifizierung: Ablauf, Anforderungen und Kosten.

Wie häufig wird ein System gemäß ENS auditiert?

Artikel 31 des RD 311/2022 legt die Häufigkeit nach Kategorie fest:

Technische Dokumentation für das Audit von Informationssystemen — Das ENS-Audit prüft die tatsächliche Konformität, nicht nur die dokumentarische. Bild CC · Wikimedia Commons (gemeinfrei).

Systemkategorie	Überprüfungsmechanismus	Ordentliche Periodizität
Grundlegend	Selbstbewertung oder Audit	Regelmäßige Überprüfung empfohlen
Mittel	Formelles Audit	Mindestens alle 2 Jahre
Hoch	Formelles Audit	Mindestens alle 2 Jahre

Zusätzlich zur ordentlichen Prüfung verpflichtet Artikel 31 zu einem außerordentlichen Audit, sobald wesentliche Änderungen am Informationssystem vorgenommen werden: eine Architekturänderung, eine bedeutende Migration, eine neue Integration mit externen Diensten. Der Zweijahresrhythmus entbindet nicht von der Pflicht zur erneuten Prüfung, wenn sich das System grundlegend verändert hat.

Was ist der Unterschied zwischen Selbstbewertung und Audit?

Diese Unterscheidung ist wesentlich und wird durch die Systemkategorie bestimmt. Falls Sie noch nicht wissen, welche Kategorie für Sie gilt, erläutere ich das Schritt für Schritt in wie Sie zwischen Grundkategorie, Mittelkategorie und Hochkategorie wählen.

Selbstbewertung (Grundkategorie). Die Einrichtung selbst überprüft die Einhaltung der für sie geltenden Maßnahmen, in der Regel mit Hilfe des Prüfanhangs der CCN-STIC 808. Diese Methode ist weniger aufwändig, aber nicht weniger rigoros: Die Überprüfung muss dokumentiert festgehalten werden.
Audit (Mittel- und Hochkategorie). Die Überprüfung wird von einem Prüfer mit der geforderten Unabhängigkeit durchgeführt (OAT oder Zertifizierungsstelle). Das Ergebnis ist ein formeller Bericht mit Feststellungen und gegebenenfalls das Konformitätszertifikat.

Der wesentliche Unterschied liegt nicht nur darin, „wer prüft", sondern im Grad der Unabhängigkeit und der Formalität des Ergebnisses. Eine gut durchgeführte Selbstbewertung ist eine ausgezeichnete Vorbereitung auf ein künftiges Audit, ersetzt dieses aber nicht, wenn die Kategorie eine unabhängige Überprüfung erfordert.

Welche Nachweise prüft das ENS-Audit?

Hier liegt der praktische Kern. Der Prüfer geht die für Sie geltenden Maßnahmen des Anhangs II durch und sucht für jede einzelne einen objektiven Nachweis. Dies ist die typische Entsprechung nach Rahmenwerk:

Rahmenwerk / Maßnahme	Was der Prüfer verlangt (Nachweis)
org.1 Sicherheitsrichtlinie	Vom Leitungsorgan genehmigtes Dokument mit Datum und Genehmigungsprotokoll.
org.3 Verfahren	Schriftliche, versionierte und dem Personal kommunizierte Verfahren.
op.pl Risikoanalyse	Aktuelle Risikoanalyse mit anerkannter Methodik (MAGERIT).
op.acc Zugriffskontrolle	Berechtigungsmatrix, An-/Abmeldeprotokolle, Nachweis regelmäßiger Überprüfung.
op.exp Aktivitätsprotokoll	Gespeicherte Protokolle mit der geforderten Aufbewahrungsdauer und dem geforderten Schutz.
op.cont Betriebskontinuität	Kontinuitätsplan und Protokolle der durchgeführten Tests.
mp.info Datensicherungen	Sicherungsrichtlinie, Ausführungsprotokolle und Nachweis von Wiederherstellungstests.
mp.com Kommunikation	Verschlüsselungskonfiguration, Netzwerksegmentierung, Perimeter-Regelwerk.

Das Muster wiederholt sich stets: Dokument, das die Maßnahme definiert + Aufzeichnung, die ihre Anwendung belegt + Nachweis, dass sie funktioniert. Eine Datensicherung ohne Wiederherstellungstest, ein Protokoll, das nicht aufbewahrt wird, oder eine Richtlinie ohne Genehmigungsprotokoll sind die klassischen Lücken. Die Maßnahmen des Anhangs II, auf denen diese Überprüfung basiert, erläutere ich ausführlich in Anhang II erklärt.

Was enthält der ENS-Auditbericht?

Der Bericht ist das formelle Ergebnis des Audits. Gemäß Anhang III und CCN-STIC 808 muss er mindestens folgende Punkte enthalten:

Umfang: Welche Systeme und Dienste geprüft wurden und ihre Kategorie.
Kriterium und Methodik: Der Referenzrahmen (RD 311/2022, CCN-STIC-Leitfäden) und die angewandte Prüfmethode.
Feststellungen: Nichtkonformitäten, Anmerkungen und Verbesserungsmöglichkeiten, nach Schweregrad bewertet.
Empfehlungen: Vorgeschlagene Korrekturmaßnahmen zur Behebung der Feststellungen.
Gutachten: Die Schlussfolgerung zum Konformitätsgrad des Systems.

Ein Bericht mit Nichtkonformitäten bedeutet nicht zwangsläufig ein „Nicht bestanden": Er bedeutet, dass ein Korrekturmaßnahmenplan erstellt und die Mängel behoben werden müssen. Das Management dieses Plans ist ebenso wichtig wie das Audit selbst.

Typische Feststellungen bei einem ENS-Audit

Aus der Erfahrung heraus sind dies die am häufigsten wiederkehrenden Punkte — und fast alle sind vermeidbar:

Richtlinie ohne formelle Genehmigung. Das Dokument existiert, aber das Protokoll des Leitungsorgans fehlt.
Veraltete Risikoanalyse. Sie wurde einmal erstellt und nach Systemänderungen nie aktualisiert.
Datensicherungen ohne Wiederherstellungstests. Backups werden erstellt, aber niemand hat überprüft, ob sie wiederhergestellt werden können.
Berechtigungen ohne regelmäßige Überprüfung. Konten von Personen, die nicht mehr im Unternehmen sind, Zugriffsrechte, die niemand prüft.
Unkontrollierte Lieferkette. Anbieter und Cloud-Dienste, auf die das ENS-Anforderungsniveau nicht übertragen wurde.
Inkohärente Anwendbarkeitserklärung. Als anwendbar gekennzeichnete Maßnahmen ohne Nachweis oder Ausschlüsse ohne Begründung.

Prüfebenen: Was der Auditor je nach Kategorie in die Tiefe prüft

Anhang III legt nicht denselben Maßstab für alle Systeme an. Die Tiefe der Überprüfung wächst mit der Kategorie, ebenso wie die Anforderungen des Anhangs II zunehmen. In der Praxis bedeutet dies, wie viel und wie detailliert jede Maßnahme geprüft wird:

Grundkategorie. Die Überprüfung konzentriert sich darauf zu bestätigen, dass die anwendbaren Maßnahmen existieren und in Betrieb sind. Die dokumentierte Selbstbewertung genügt in der Regel, sofern festgehalten wird, was überprüft wurde und mit welchem Ergebnis.
Mittelkategorie. Der Prüfer geht ins Detail der Umsetzung: nicht nur dass die Maßnahme existiert, sondern dass sie korrekt konfiguriert ist, systematisch angewendet wird und wiederholbare Nachweise erzeugt. Es treten Stichprobenprüfungen von Protokollen und Konfigurationen auf.
Hochkategorie. Die Überprüfung ist am anspruchsvollsten. Die Verstärkungen des Anhangs II werden geprüft, die Wirksamkeit der Maßnahmen gegenüber konkreten Risikoszenarien wird hinterfragt, und die Robustheit der kritischsten Kontrollen wird untersucht (Verschlüsselung, Segmentierung, Kontinuität, Überwachung).

Daher ist die genaue Kenntnis der eigenen Kategorie auch der Ausgangspunkt für das Audit: Sie legt nicht nur fest, welche Maßnahmen gelten, sondern auch, mit welcher Lupe sie betrachtet werden. Falls Sie sich darüber noch nicht im Klaren sind, lesen Sie nach unter den ENS-Kategorien Grundlegend, Mittel und Hoch.

Der Lebenszyklus der Konformitätszertifizierung

Wenn das Audit auf die ENS-Konformitätszertifizierung abzielt, ist dies kein einmaliger Vorgang, sondern ein sich wiederholender Zyklus. Es ist sinnvoll, ihn zu verstehen, um Ressourcen zu planen:

Vorherige Anpassung. Vor jedem Audit muss das System implementiert sein: kategorisiert, mit den Maßnahmen des Anhangs II ausgerollt und mit unterzeichneter Anwendbarkeitserklärung.
Erstzertifizierungsaudit. Die Zertifizierungsstelle überprüft die Konformität und stellt bei positivem Gutachten das Zertifikat aus.
Gültigkeit des Zertifikats. Das Zertifikat hat eine zeitlich begrenzte Gültigkeit und unterliegt einer Überwachung.
Überwachungs- und Erneuerungsaudits. Regelmäßig — mindestens alle zwei Jahre bei Mittel- und Hochkategorie — wird die Konformität erneut überprüft, um das Zertifikat aufrechtzuerhalten.
Außerordentliche Audits. Jede wesentliche Änderung am System löst erneut die Notwendigkeit einer Überprüfung aus.

Die Schlussfolgerung ist klar: ENS-Konformität wird nicht „einmalig erreicht und dann vergessen". Es ist ein Zustand, der aufrechterhalten werden muss, was erfordert, Sicherheit in den täglichen Betrieb des Systems zu integrieren und sie nicht als einmaliges Projekt zu behandeln. Details zu Kosten und Zeitplänen dieses Zyklus finden Sie in ENS-Zertifizierung: Ablauf, Anforderungen und Kosten.

Ein Beispiel für einen gut aufgebauten Nachweis

Um den Unterschied zwischen „die Maßnahme zu haben" und „sie nachweisen zu können" zu veranschaulichen, nehmen wir die Datensicherungsmaßnahme (mp.info). Eine Einrichtung kann behaupten, Sicherungen durchzuführen, aber im Audit reicht das nicht aus. Ein solider Nachweis würde Folgendes umfassen:

Eine dokumentierte Sicherungsrichtlinie (was gesichert wird, wie häufig, wie lange aufbewahrt wird, wo gespeichert wird).
Ausführungsprotokolle, die zeigen, dass die Sicherungen wie geplant und lückenlos durchgeführt werden.
Protokolle von Wiederherstellungstests, die belegen, dass die Sicherungen nicht nur erstellt werden, sondern auch wiederhergestellt werden können.
Nachweis, dass die Sicherungen geschützt sind (Verschlüsselung, Zugangskontrolle, externe Aufbewahrung, wenn die Kategorie dies verlangt).

Dieses Gesamtpaket — Richtlinie, Aufzeichnung, Test und Schutz — ist das, was eine bloße Behauptung in eine akkreditierte Maßnahme verwandelt. Wenden Sie denselben Grundsatz auf jede Maßnahme Ihrer Anwendbarkeitserklärung an, und Sie werden das Audit zur Hälfte bereits gelöst haben.

Wie Sie sich auf das Audit vorbereiten

Die beste Vorbereitung wird nicht in der Woche vor dem Audit improvisiert. Ein bewährter Ansatz:

Gehen Sie von der Anwendbarkeitserklärung aus und identifizieren Sie für jede markierte Maßnahme, wo der entsprechende Nachweis zu finden ist. Was Sie selbst nicht finden, wird auch der Prüfer nicht finden.
Führen Sie vorab eine Selbstbewertung durch — mit der CCN-STIC 808, auch wenn Ihre Kategorie Mittel oder Hoch ist: So erkennen Sie die Lücken, bevor ein Dritter sie sieht.
Ordnen Sie die Nachweise in einem einzigen, von jeder Maßnahme aus rückverfolgbaren Repository.
Überprüfen Sie die kritischen Punkte: Genehmigung der Richtlinie, Aktualität der Risikoanalyse, Wiederherstellungstests und Zugriffsüberprüfung.

Wenn Sie tiefer in die operative Vorbereitung einsteigen möchten, behandle ich das ausführlich in Wie Sie sich auf das ENS-Audit vorbereiten.

Häufige Fragen zu Anhang III des ENS

Was ist Anhang III des ENS?

Es ist der Teil des RD 311/2022, der das Sicherheitsaudit regelt: Er legt Gegenstand, Ebenen und Interpretation der Konformitätsüberprüfung mit den Maßnahmen des Anhangs II fest. Seine praktische Umsetzung stützt sich auf Artikel 31 und den Leitfaden CCN-STIC 808.

Wer kann die ENS-Konformität prüfen?

Im öffentlichen Sektor ein Technisches Prüforgan oder die Einrichtung selbst durch eine Konformitätserklärung. Für die Konformitätszertifizierung — üblich bei privaten Anbietern — führt eine durch ENAC für das ENS akkreditierte Zertifizierungsstelle das Audit durch.

Wie häufig wird geprüft?

Systeme der Kategorien Mittel und Hoch werden gemäß Artikel 31 mindestens alle zwei Jahre geprüft, zuzüglich eines außerordentlichen Audits bei wesentlichen Änderungen. Systeme der Grundkategorie können ihre Konformität durch Selbstbewertung nachweisen.

Welche Nachweise prüft das ENS-Audit?

Für jede anwendbare Maßnahme des Anhangs II sucht der Prüfer das Dokument, das sie definiert, die Aufzeichnung, die ihre Anwendung belegt, und den Nachweis, dass sie funktioniert: genehmigte Richtlinie, aktuelle Risikoanalyse, gespeicherte Protokolle, Wiederherstellungstests von Sicherungen, überprüfte Zugriffsmatrix, Kommunikationskonfiguration usw.

Was ist der Unterschied zwischen Selbstbewertung und Audit?

Die Selbstbewertung wird von der Einrichtung selbst durchgeführt (gültig für Grundkategorie), während das Audit von einem unabhängigen Prüfer mit formalem Ergebnis durchgeführt wird (obligatorisch für Mittel und Hoch). Beide überprüfen dasselbe, unterscheiden sich aber in der Unabhängigkeit und der Formalität des Gutachtens.

Was passiert, wenn das Audit Nichtkonformitäten feststellt?

Sie werden im Bericht nach Schweregrad bewertet festgehalten, und es wird ein Korrekturmaßnahmenplan zur Behebung erstellt. Nichtkonformitäten bedeuten kein automatisches „Nicht bestanden"; entscheidend ist, sie fristgerecht zu schließen und den Nachweis der Korrektur zu erbringen.

Quellen

Real Decreto 311/2022, vom 3. Mai (BOE-A-2022-7191) — Artikel 31 (Audit) und Anhang III.
CCN-CERT — Leitfaden CCN-STIC 808: Überprüfung der ENS-Konformität.
ENS-Portal — CCN (ens.ccn.cni.es) — Leitfäden CCN-STIC 808 und 809 (Konformitätserklärung und -zertifizierung).

Inhalt erstellt von Summum Marketing für angelortegacastro.com. Nur zur allgemeinen Information; für ein formelles Audit vergleichen Sie bitte mit dem geltenden RD 311/2022 und dem Leitfaden CCN-STIC 808 in seiner jeweils aktuellen Fassung.