Wie oft muss das ENS auditiert werden?

Artikel 31.1 des RD 311/2022 schreibt vor, dass Systeme im ENS-Geltungsbereich mindestens alle zwei Jahre einer ordentlichen Prüfung unterzogen werden müssen. Das ist die Zweijahresfrist für ordentliche ENS-Audits.

Wer führt das ENS-Audit durch?

Die Art der Prüfung hängt von der Systemkategorie ab: In Grundkategorie genügt eine Selbstbewertung durch die Organisation. In mittlerer und hoher Kategorie muss eine durch ENAC akkreditierte Zertifizierungsstelle auditieren.

ENS-Audit: Häufigkeit und wer es durchführt

Q: Was ist ein außerordentliches ENS-Audit?

Ein außerordentliches Audit muss durchgeführt werden, wenn wesentliche Änderungen am System vorgenommen werden, die die Sicherheit beeinflussen. Dieses außerordentliche Audit setzt die Zweijahresfrist für ordentliche Audits neu.

Q: Was ist der Unterschied zwischen Selbstbewertung und Audit?

Die Selbstbewertung erfolgt intern durch die Organisation selbst und ist nur für Grundkategorie-Systeme gültig. Das Audit wird von einer externen, durch ENAC akkreditierten Stelle durchgeführt und ist für mittlere und hohe Kategorien verpflichtend.

Q: Was prüft das ENS-Audit?

Das Audit verifiziert, dass alle für die Systemkategorie geltenden Maßnahmen des Anhangs II implementiert sind, dem geforderten Anspruchsniveau entsprechen und durch Nachweise belegt werden können.

Wie oft wird das ENS auditiert und wer führt es durch? Das Spanische Nationale Sicherheitsgrundgesetz (ENS) verpflichtet zur Durchführung einer ordentlichen regulären Prüfung mindestens alle zwei Jahre (Zweijahresaudit), gemäß Artikel 31 des Real Decreto 311/2022. Darüber hinaus ist ein außerordentliches Audit immer dann durchzuführen, wenn wesentliche Änderungen am Informationssystem vorgenommen werden, die die erforderlichen Sicherheitsmaßnahmen beeinflussen können. Dieses außerordentliche Audit setzt die Zweijahresfrist neu. Wer das Audit durchführt, hängt von der Systemkategorie ab: In der Grundkategorie genügt eine Selbstbewertung; in der mittleren und hohen Kategorie auditiert eine von ENAC akkreditierte Zertifizierungsstelle. In diesem Artikel erläutere ich den vollständigen Zyklus: Prüfungsfrequenz, wer prüft, was geprüft wird und wie dies in das Konformitätssystem eingebettet ist.

Wie oft wird das ENS auditiert?

Artikel 31.1 des RD 311/2022 ist eindeutig: Systeme im Geltungsbereich des ENS müssen einer ordentlichen regulären Prüfung mindestens alle zwei Jahre unterzogen werden, die die Einhaltung der Anforderungen des Spanischen Nationalen Sicherheitsgrundgesetzes verifiziert. Dies ist die Zweijahresfrist, die den ENS-Auditzyklus definiert.

Das „mindestens" ist von Bedeutung: Zwei Jahre sind die maximale Frist zwischen ordentlichen Audits, kein Minimum. Eine Organisation kann sich häufiger auditieren lassen, wenn sie dies für zweckmäßig hält, darf jedoch niemals mehr als zwei Jahre ohne ein ordentliches Audit verstreichen lassen.

Was ist ein außerordentliches ENS-Audit?

ENS-Audit: Häufigkeit und wer es durchführt — Foto: xentac (CC BY 2.0)

Zusätzlich zur ordentlichen Zweijahresprüfung schreibt dasselbe Artikel 31 ein außerordentliches Audit vor, und zwar immer dann, wenn am Informationssystem wesentliche Änderungen vorgenommen werden, die sich auf die erforderlichen Sicherheitsmaßnahmen auswirken können. Was gilt als wesentliche Änderung? Relevante Änderungen an der Systemarchitektur, den erbrachten Diensten, der Informationsverarbeitung oder dem Geltungsbereich des Systems — nicht jedoch ein routinemäßiger Patch oder eine geringfügige Aktualisierung.

Ein häufig übersehenes Detail: Die Durchführung des außerordentlichen Audits setzt die Zweijahresfrist für das nächste ordentliche Audit neu. Das heißt: Wird ein außerordentliches Audit durchgeführt, beginnt die Frist für das nächste ordentliche Audit ab diesem Datum von vorn zu laufen.

Der ENS-Auditzyklus im Überblick

ENS-Auditzyklus: ordentliches Audit alle 2 Jahre, außerordentliches Audit bei wesentlichen Änderungen, wer prüft nach Kategorie — ENS-Auditzyklus gemäß Artikel 31 des RD 311/2022. Eigene Darstellung — Summum Marketing.

Wer darf das ENS auditieren?

Dies hängt von der Systemkategorie ab, da sich der Konformitätsweg je nach Einstufung unterscheidet:

Grundkategorie: Die Konformität kann durch eine Selbstbewertung festgestellt werden. Ein externer Prüfer ist nicht erforderlich; die Organisation selbst überprüft die Einhaltung. Auch diese Überprüfung muss mindestens alle zwei Jahre wiederholt werden.
Mittlere und hohe Kategorie: Die Konformität wird durch eine Zertifizierung nachgewiesen, die durch ein formelles Audit einer von ENAC akkreditierten Zertifizierungsstelle (der Entidad Nacional de Acreditación) durchgeführt wird. Im öffentlichen Sektor können bestimmte Behörden zugelassene technische Prüforgane einsetzen.

Der Unterschied ist wesentlich: Eine Selbstbewertung wird von der betreffenden Organisation selbst unterzeichnet, während ein Zertifikat von einer unabhängigen und akkreditierten dritten Stelle ausgestellt wird. Ist Ihr System der mittleren oder hohen Kategorie zuzuordnen, benötigen Sie zwingend einen externen Prüfer. Um gut vorbereitet in das Audit zu gehen, empfehle ich Ihnen, die Anleitung zur Vorbereitung auf das ENS-Audit zu lesen.

Ist das ENS-Audit zweijährlich oder jährlich?

Es ist zweijährlich: Das ordentliche reguläre Audit findet mindestens alle zwei Jahre statt, nicht jährlich. Dies ist ein häufiges Missverständnis, insbesondere bei Personen, die aus Rahmenwerken mit jährlichen Zyklen kommen. Im ENS beträgt die ordentliche Frist zwei Jahre. Was vor Ablauf dieser Frist eintreten kann, ist ein außerordentliches Audit — jedoch nur bei wesentlichen Änderungen am System.

Es ist ratsam, den ENS-Zyklus nicht mit dem der ISO 27001 zu verwechseln, die jährliche Überwachungsaudits und alle drei Jahre eine Rezertifizierung vorsieht. Dabei handelt es sich um verschiedene Rahmenwerke mit unterschiedlichen Zeitplänen; wer beide verwaltet, muss zwei Auditzyklen koordinieren.

Was ist der Unterschied zwischen Selbstbewertung und Zertifizierungsaudit?

Beide Wege verifizieren die Konformität mit dem ENS, sind aber nicht gleichwertig:

Selbstbewertung: Sie wird von der Organisation selbst durchgeführt. Sie gilt für die Grundkategorie und mündet in eine Konformitätserklärung. Sie ist flexibler und kostengünstiger, jedoch liegt die gesamte Verantwortung bei dem, der sie unterzeichnet.
Zertifizierungsaudit: Es wird von einer von ENAC akkreditierten Stelle durchgeführt. Es ist für die mittlere und hohe Kategorie verpflichtend und mündet in ein Konformitätszertifikat. Es bietet Unabhängigkeit und externe Anerkennung.

Wenn Sie mehr über den ersten Weg erfahren möchten, erkläre ich ihn ausführlich in meinem Leitfaden zur ENS-Konformitätserklärung in der Grundkategorie und wie Sie die Selbstbewertung durchführen.

Tabelle: Auditzyklus und Verantwortliche des ENS-Audits

Die folgende Übersichtstabelle fasst den Zyklus und die jeweiligen Prüfverantwortlichen nach Art der Überprüfung zusammen:

Art der Überprüfung	Wann durchgeführt	Wer führt durch	Ergebnis
Ordentlich (Zweijahresaudit)	Mindestens alle 2 Jahre	Selbstbewertung (Grundkategorie) / ENAC-Stelle (mittel–hoch)	Erhalt der Konformität
Außerordentlich	Bei wesentlichen Systemänderungen	Gleicher Weg wie ordentliches Audit je nach Kategorie	Setzt die Zweijahresfrist neu
Selbstbewertung (Grundkategorie)	Mindestens alle 2 Jahre	Die Organisation selbst	Konformitätserklärung
Zertifizierung (mittel/hoch)	Mindestens alle 2 Jahre	Von ENAC akkreditierte Zertifizierungsstelle	Konformitätszertifikat

Was prüft das ENS-Audit?

Das Audit überprüft, ob die vom ENS verlangten Sicherheitsmaßnahmen implementiert sind und tatsächlich funktionieren — nicht nur auf dem Papier dokumentiert sind. Im Wesentlichen wird Folgendes geprüft:

Der organisatorische Rahmen: genehmigte Sicherheitsrichtlinie, interne Normen, Verfahren sowie Rollen- und Verantwortungszuweisungen.
Der betriebliche Rahmen: Betriebsmanagement, Zugangskontrollen, Überwachung, Vorfallsmanagement und Betriebskontinuität.
Die Schutzmaßnahmen: Schutz von Einrichtungen, Geräten, Kommunikationsverbindungen, Informationsträgern, Anwendungen und Diensten.
Die Risikoanalyse: Sie muss vorhanden, aktuell sein und als Grundlage für Sicherheitsentscheidungen dienen.

Der Prüfer gleicht jede für die Systemkategorie anwendbare Maßnahme aus Anhang II des RD 311/2022 mit den tatsächlichen Nachweisen ab. Ein Audit, das lediglich Unterlagen prüft, ohne zu verifizieren, ob die Maßnahmen tatsächlich funktionieren, erfüllt seinen Zweck nicht.

Wie läuft ein ENS-Audit ab?

Ein ENS-Zertifizierungsaudit ist keine Überraschungsprüfung: Es folgt einem geordneten Prozess, den es sich lohnt zu kennen, um gut vorbereitet zu sein. Im Wesentlichen durchläuft es folgende Phasen:

Planung und Geltungsbereich. Es wird festgelegt, welches System geprüft wird, welcher Kategorie es angehört und welche Maßnahmen anwendbar sind. Die Zertifizierungsstelle vereinbart mit der Organisation Zeitplan und vorab einzureichende Unterlagen.
Dokumentenprüfung. Der Prüfer sichtet die Sicherheitsrichtlinie, die Risikoanalyse, die Erklärung zur Anwendbarkeit der Maßnahmen, die Verfahren und die Aufzeichnungen. Er prüft, ob das Dokumentenframework vorhanden und kohärent ist.
Feldarbeit. Der Prüfer verifiziert vor Ort, ob die Maßnahmen funktionieren: Er überprüft Konfigurationen, führt Interviews mit Verantwortlichen und prüft Nachweise über laufende Kontrollen (Protokolle, Vorfallsregister, Zugangskontrolle).
Bericht und Abweichungen. Der Prüfer erstellt einen Bericht mit den Ergebnissen und — sofern vorhanden — den nach Schweregrad klassierten Abweichungen (Non-Conformities).
Behebung und Entscheidung. Die Organisation beseitigt die Abweichungen innerhalb der gesetzten Fristen, und die Zertifizierungsstelle entscheidet über die Ausstellung oder Erneuerung des Zertifikats.

Mit geordneter Dokumentation und tatsächlich implementierten Maßnahmen in diesen Prozess zu gehen, macht den Unterschied zwischen einem reibungslosen Audit und einem, das von zahlreichen Feststellungen geprägt ist. Deshalb empfiehlt es sich, das Audit frühzeitig vorzubereiten und nicht zu improvisieren.

ENS-Audit im Vergleich zur ISO-27001-Prüfung

Wenn Ihre Organisation sowohl das ENS als auch die ISO 27001 verwaltet, müssen Sie zwei verschiedene Auditzyklen koordinieren — und es ist wichtig, diese nicht zu vermischen:

ENS: ordentliches reguläres Audit mindestens alle zwei Jahre, plus außerordentliche Audits bei wesentlichen Änderungen. Der Weg hängt von der Kategorie ab (Selbstbewertung oder ENAC-Zertifizierung).
ISO 27001: initiales Zertifizierungsaudit, jährliche Überwachungsaudits und Rezertifizierungsaudit alle drei Jahre, stets durch eine akkreditierte Zertifizierungsstelle.

Die gute Nachricht ist, dass Sie bei der Integration beider Systeme die Audits koordinieren können, sodass sich die Feldarbeit überschneidet und die Belastung für die Organisation sinkt. Eine gemeinsame Sicherheitsrichtlinie, eine einzige Risikoanalyse und ein gemeinsames Dokumentenkorpus ermöglichen es dem Prüfer, einmalig zu prüfen, was für beide Rahmenwerke gilt. Ich beleuchte dies ausführlich in meinem Vergleich zwischen ENS und ISO 27001.

Wie bereitet man sich auf das Zweijahresaudit vor?

Dass die Frist zwei Jahre beträgt, bedeutet nicht, dass die Sicherheit nur alle zwei Jahre überprüft wird. Organisationen, die gut in das Audit gehen, sind jene, die die Konformität kontinuierlich aufrechterhalten:

Halten Sie die Risikoanalyse aktuell. Aktualisieren Sie sie, wenn sich Werte, Bedrohungen oder Schutzmaßnahmen ändern — nicht erst kurz vor dem Audit.
Bewahren Sie Nachweise über den gesamten Zyklus hinweg auf. Vorfallsregister, Zugangskontrollen, Sicherungsprotokolle und Überprüfungsnachweise müssen jederzeit verfügbar sein und dürfen nicht kurzfristig rekonstruiert werden.
Führen Sie zwischenzeitliche interne Überprüfungen durch. Eine Überprüfung in der Mitte des Zyklus deckt Lücken auf, die noch vor dem offiziellen Audit behoben werden können.
Behalten Sie wesentliche Systemänderungen im Blick. Bei einer relevanten Änderung am System sollten Sie bedenken, dass dies ein außerordentliches Audit auslösen und die Frist neu setzen kann.

Was passiert, wenn man das Audit nicht besteht?

Stellt das Audit Abweichungen fest, muss die Organisation diese innerhalb der von der Zertifizierungsstelle gesetzten Fristen beheben, bevor das Zertifikat ausgestellt oder erneuert werden kann. Ein Konformitätskennzeichen ohne tatsächliche Konformität aufrechtzuerhalten — beispielsweise indem man die Zweijahresfrist verstreichen lässt oder Abweichungen nicht behebt — ist ein Regelverstoß. Für private Unternehmen, die mit der öffentlichen Verwaltung zusammenarbeiten, kann der Verlust der Konformität zudem bedeuten, dass vertragliche Anforderungen nicht mehr erfüllt werden.

Die Rolle von ENAC und den Zertifizierungsstellen

Wenn Ihr System der mittleren oder hohen Kategorie angehört, kann nicht jeder Beliebige das Audit durchführen: Das Konformitätsaudit muss von einer von ENAC akkreditierten Zertifizierungsstelle, der Entidad Nacional de Acreditación, durchgeführt werden. Die Akkreditierung durch ENAC ist der Nachweis, dass diese Stelle die technischen Kriterien für die ENS-Zertifizierung erfüllt — ebenso wie es in anderen Zertifizierungsschemata der Fall ist. Dies gewährleistet Unabhängigkeit: Das Zertifikat wird weder von der auditierten Organisation selbst noch von einem beliebigen Anbieter ausgestellt, sondern von einer akkreditierten und beaufsichtigten dritten Stelle.

Im öffentlichen Sektor sieht das RD 311/2022 zudem vor, dass bestimmte Behörden auf ihre eigenen zugelassenen technischen Prüforgane zurückgreifen können. Für ein privates Unternehmen, das sich zertifizieren lassen möchte, ist der übliche Weg jedoch die Beauftragung einer von ENAC akkreditierten Zertifizierungsstelle, die das Audit durchführt und — sofern die Voraussetzungen erfüllt sind — das Konformitätszertifikat mit dem entsprechenden Kennzeichen ausstellt. Die Wahl einer akkreditierten Stelle ist kein unwesentliches Detail: Ein Zertifikat, das von einer nicht akkreditierten Stelle ausgestellt wird, hat im Sinne des ENS keine Gültigkeit.

Fazit

Das ENS sieht einen zweijährlichen Auditzyklus vor: ordentliches reguläres Audit mindestens alle zwei Jahre, plus außerordentliche Audits bei wesentlichen Änderungen — die die Frist neu setzen. Wer prüft, hängt von der Kategorie ab: Selbstbewertung in der Grundkategorie, Zertifizierung durch eine von ENAC akkreditierte Stelle in der mittleren und hohen Kategorie. Das Audit ist keine bloße Formalität: Es überprüft, ob die Sicherheitsmaßnahmen tatsächlich funktionieren. Diesen Zeitplan genau zu kennen ist der beste Weg, Überraschungen zu vermeiden und bei jeder Überprüfung die Konformität nachweisen zu können.

Häufig gestellte Fragen

Wie oft wird das ENS auditiert?

Mindestens alle zwei Jahre. Artikel 31 des RD 311/2022 schreibt ein ordentliches reguläres Audit mit Zweijahresfrist vor. Darüber hinaus ist ein außerordentliches Audit durchzuführen, wenn am System wesentliche Änderungen vorgenommen werden; dieses außerordentliche Audit setzt die Zweijahresfrist neu.

Wer darf das ENS auditieren?

Das hängt von der Kategorie ab. In der Grundkategorie kann die Konformität durch eine Selbstbewertung der Organisation selbst festgestellt werden. In der mittleren und hohen Kategorie auditiert eine von ENAC akkreditierte Zertifizierungsstelle; in Teilen des öffentlichen Sektors können zugelassene technische Prüforgane tätig werden.

Ist das ENS-Audit zweijährlich oder jährlich?

Es ist zweijährlich: Das ordentliche reguläre Audit findet mindestens alle zwei Jahre statt, nicht jährlich. Es sollte nicht mit der ISO 27001 verwechselt werden, die jährliche Überwachungsaudits und eine Rezertifizierung nach drei Jahren vorsieht.

Was ist der Unterschied zwischen Selbstbewertung und Zertifizierungsaudit?

Die Selbstbewertung wird von der Organisation selbst durchgeführt, gilt für die Grundkategorie und mündet in eine Konformitätserklärung. Das Zertifizierungsaudit wird von einer von ENAC akkreditierten Stelle durchgeführt, ist für die mittlere und hohe Kategorie verpflichtend und mündet in ein Konformitätszertifikat.

Quellen

Real Decreto 311/2022 vom 3. Mai, zur Regulierung des Spanischen Nationalen Sicherheitsgrundgesetzes (BOE-A-2022-7191) — Art. 31, Sicherheitsaudit; Art. 38, Konformität.
CCN-CERT — Häufig gestellte Fragen zum ENS (ens.ccn.cni.es).
CCN-CERT IC-01/19 — Allgemeine Kriterien für Audits und Zertifizierung des ENS.

Inhalt erstellt von Summum Marketing für angelortegacastro.com.