Ja, auch eine kleine Gemeinde ist zur Einhaltung des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS) verpflichtet – genau wie jede andere öffentliche Verwaltung. Die gute Nachricht: Eine Gemeinde mit begrenzten Ressourcen fällt fast immer in die GRUNDKATEGORIE, und in dieser Kategorie wird die Konformität durch Selbstbewertung nachgewiesen, ohne dass ein akkreditierter externer Prüfer erforderlich ist. Der realistische Weg lautet: die Sicherheit organisieren, die Systeme kategorisieren, eine einfache Risikoanalyse durchführen, die Anwendbarkeitserklärung mit dem dazugehörigen Verbesserungsplan erstellen und abschließend die Konformitätserklärung einreichen sowie den INES-Bericht hochladen. Das Nationale Kryptologische Zentrum (CCN) stellt kostenlose Leitfäden und Werkzeuge bereit, die genau auf lokale Körperschaften mit eingeschränkten Mitteln zugeschnitten sind.
Seit Jahren begleite ich Gemeinden und kleine Kommunalverwaltungen bei der ENS-Konformität, und das Gespräch beginnt immer gleich: „Ángel, das ist doch für große Verwaltungen mit einer eigenen IT-Abteilung gedacht; wir sind vier Leute und haben einen Techniker, der uns von der Provinzverwaltung mit einer halben Stelle unterstützt." Das verstehe ich vollkommen. Aber der Rechtsrahmen unterscheidet nicht nach Größe, wenn es um die Pflicht geht, sondern erst, wenn es um das erforderliche Aufwandsniveau geht. Und genau dort hat eine kleine Gemeinde Spielraum, die Dinge richtig zu machen – ohne sich finanziell zu ruinieren oder ihr Personal zu überlasten.
Dieser Artikel ist die Version „kleine Gemeinde, wenig Ressourcen, Selbstbewertung und INES" meines allgemeinen Leitfadens. Wenn Sie eine größere Gemeinde verwalten oder einen vollständigen Überblick über die Konformität in der Kommunalverwaltung wünschen, empfehle ich Ihnen, zuerst meinen Artikel über das ENS in Gemeinden und der Kommunalverwaltung zu lesen, der den allgemeinen Rahmen beschreibt. Hier konzentriere ich mich darauf, was ein Gemeindeschreiber oder ein Ratsmitglied einer Gemeinde mit weniger als 5.000 Einwohnern wirklich braucht, um morgen anzufangen.
Sind Gemeinden zur Einhaltung des ENS verpflichtet?
Ja, ohne Ausnahme nach Größe. Das Königliche Dekret 311/2022 vom 3. Mai, das das ENS regelt, legt in Artikel 2 den persönlichen Anwendungsbereich fest: Der gesamte öffentliche Sektor ist verpflichtet – einschließlich aller Einrichtungen der Kommunalverwaltung. Das umfasst jede Gemeinde, ob mit 200.000 oder mit 200 Einwohnern, sowie Gemeindeverbände, Zweckverbände, Konsortien und ähnliche Körperschaften. Es gibt keine Bevölkerungsschwelle, unterhalb derer eine Befreiung möglich wäre.
Die Verpflichtung entstand übrigens nicht erst mit dem Königlichen Dekret 311/2022: Sie geht auf Artikel 156 Absatz 2 des Gesetzes 40/2015 über die Rechtsordnung des öffentlichen Sektors zurück, das vorschreibt, dass die Informationssicherheit der Verwaltungssysteme nach dem ENS zu gestalten ist. Das Königliche Dekret 311/2022 aktualisiert lediglich die technischen Einzelheiten (es ersetzte das frühere Königliche Dekret 3/2010). Wenn Ihre Gemeinde also ein elektronisches Portal, ein elektronisches Register, ein Einwohnermeldeamt, eine Steuerverwaltung oder irgendeinen digitalen Bürgerdienst betreibt – und das tun heute alle, weil das Gesetz 39/2015 die Verwaltungen zur elektronischen Kommunikation verpflichtet –, dann fallen Sie unter das ENS.
Was sich mit der Größe ändert, ist nicht das Ob der Einhaltung, sondern der Umfang des geforderten Aufwands. Und genau hier kommt die Kategorisierung ins Spiel, die für die meisten kleinen Gemeinden zur GRUNDKATEGORIE führt – dem handhabbarsten Niveau.
Das eigentliche Problem der kleinen Gemeinde: wenige Ressourcen, dieselbe Norm

Ich arbeite zwischen Castilla y León und Canarias – zwei Regionen mit sehr vielen kleinen Gemeinden. In Castilla y León gibt es Hunderte von Gemeinden mit weniger als 1.000 Einwohnern; in weiten Teilen des ländlichen Raums ist die „IT-Abteilung" ein Techniker, den sich mehrere Gemeinden über die Provinzverwaltung teilen, oder schlicht ein externes Unternehmen, das die Website betreut. Auf den Inseln ist die Lage in kleineren Innengemeinden und bei den Cabildos, die kleinere Körperschaften unterstützen, ähnlich.
Das Paradox liegt auf der Hand: Die Norm ist dieselbe für eine Gemeinde mit einem CISO und einem zehnköpfigen Team wie für eine, bei der die Gemeindeschreiberin alles alleine erledigt. Der Gesetzgeber ist sich dessen bewusst, weshalb das CCN selbst darauf besteht, „eine ENS-Konformität zu erreichen, die für Einrichtungen mit Schwierigkeiten so pragmatisch und realistisch wie möglich ist". Es verlangt keine Unmöglichkeiten: Es verlangt, dass Sie das Vorhandene organisieren, dokumentieren und nachhaltig verbessern.
Mein Grundratschlag für eine kleine Gemeinde lautet: Streben Sie im ersten Jahr nicht nach Perfektion. Das ENS ist keine Prüfung, die man besteht oder nicht besteht – es ist ein Zyklus der kontinuierlichen Verbesserung. Entscheidend ist, den Adäquierungsplan anzustoßen, die getroffenen Entscheidungen festzuhalten und Schritt für Schritt voranzukommen. Eine Gemeinde, die ihre Sicherheitspolitik verfasst, ihre Systeme kategorisiert und einen Verbesserungsplan mit Terminen erstellt hat, steht unendlich besser da als eine, die durch das Gefühl gelähmt ist: „Das ist alles viel zu groß für uns."
Kategorisierung: Warum fast immer GRUNDKATEGORIE herauskommt
Das ENS klassifiziert jedes Informationssystem in eine von drei Kategorien – GRUNDKATEGORIE, MITTLERE KATEGORIE oder HOHE KATEGORIE – je nachdem, wie stark fünf Sicherheitsdimensionen betroffen sind: Vertraulichkeit, Integrität, Nachvollziehbarkeit, Authentizität und Verfügbarkeit. Die Kategorie des Systems richtet sich nach dem höchsten Wert der einzelnen Dimensionen.
Für eine kleine Gemeinde, die gewöhnliche Verwaltungsdienstleistungen erbringt – Einwohnermeldeamt, Register, elektronisches Portal, Kommunalsteuern, Verwaltungsvorgänge – und keine klassifizierten Systeme oder kritische Infrastrukturen betreibt, ergibt die Bewertung in der Regel den Wert NIEDRIG bei allen fünf Dimensionen, was zur GRUNDKATEGORIE führt. Es gibt Nuancen: Werden besonders sensible Daten verarbeitet (zum Beispiel Gesundheitsdaten im Rahmen sozialer Dienste), könnte eine Dimension auf MITTEL steigen – das betrifft dann aber dieses System, nicht die gesamte Gemeinde.
Diese Unterscheidung spart am meisten Geld und Aufwand, weshalb es sich lohnt, sie sorgfältig vorzunehmen. Die Kategorie bestimmt zweierlei: die Sicherheitsmaßnahmen aus Anhang II des Königlichen Dekrets 311/2022, die Sie anwenden müssen (in der GRUNDKATEGORIE sind es weniger und weniger anspruchsvolle), und vor allem wie Sie die Konformität nachweisen. Wenn Sie den Prozess, die Anforderungen und die Kosten der Zertifizierung vertiefen möchten, erläutere ich das ausführlich in meinem Leitfaden zur ENS-Zertifizierung, dem Verfahren und den Kosten.
Kann sich eine kleine Gemeinde selbst bewerten?
Ja – und das ist die beste Nachricht für eine ressourcenarme Gemeinde. In der GRUNDKATEGORIE wird die ENS-Konformität durch eine Konformitätserklärung auf Basis einer Selbstbewertung nachgewiesen. Sie müssen keine akkreditierte Zertifizierungsstelle beauftragen und keine formelle Prüfung durch einen unabhängigen Dritten durchlaufen.
Der Unterschied besteht im Folgenden:
- GRUNDKATEGORIE: Konformitätserklärung durch Selbstbewertung. Die Einrichtung selbst überprüft, ob sie die ENS-Anforderungen erfüllt – mindestens alle zwei Jahre (oder außerordentlich bei wesentlichen Systemänderungen). Dies schließt nicht aus, dass Sie sich freiwillig einer formellen Prüfung unterziehen, wenn Sie dies wünschen, aber es ist nicht verpflichtend.
- MITTLERE und HOHE KATEGORIE: Konformitätszertifizierung durch eine formelle Prüfung, die von akkreditierten Zertifizierungsstellen oder technischen Prüforganen durchgeführt wird – ebenfalls mindestens alle zwei Jahre.
Das bedeutet: Eine Gemeinde in der GRUNDKATEGORIE kann ihre Konformität mit eigenen Mitteln oder mit punktueller externer Unterstützung nachweisen, ohne die wiederkehrenden Kosten von Zertifizierungsaudits. Für eine kleine Gemeinde ist das eine enorme Haushaltsentlastung. Allerdings – und das unterstreiche ich aus Erfahrung –: Selbstbewertung bedeutet nicht Selbstbetrug. Die Arbeit muss wirklich geleistet, dokumentiert und die Belege müssen aufbewahrt werden, denn das CCN kann sie überprüfen, und wenn einmal ein Sicherheitsvorfall eintritt, ist diese Dokumentation Ihre beste Verteidigung.
Was ist der INES-Bericht?
INES steht für Informe Nacional del Estado de Seguridad (Nationaler Bericht zum Sicherheitszustand). Es handelt sich um eine vom Nationalen Kryptologischen Zentrum koordinierte Datenerhebung, mit der ein aggregiertes Bild des Sicherheitszustands im gesamten spanischen öffentlichen Sektor erstellt wird. Verwechseln Sie ihn nicht mit der Konformitätserklärung: Das sind zwei verschiedene, einander ergänzende Instrumente.
Die Rechtsgrundlage findet sich in Artikel 32 des Königlichen Dekrets 311/2022, das die Pflicht zur regelmäßigen Berichterstattung über den Sicherheitszustand der Systeme festlegt. Die konkrete Ausgestaltung ergibt sich aus der Technischen Sicherheitsanweisung zum Bericht über den Sicherheitszustand (veröffentlicht im BOE) und dem Leitfaden CCN-STIC 824, der den Indikatorenfragebogen definiert. Das Werkzeug zum Hochladen der Daten ist die INES-Plattform des CCN; das Benutzerhandbuch dazu ist der Leitfaden CCN-STIC 844.
In der Praxis beantwortet Ihre Gemeinde jährlich einen Fragebogen auf der INES-Plattform: Identifizierung der Einrichtung, Sicherheitsorganisation, kritische Prozesse, Schulung und Sensibilisierung, Vorfallmanagement, Ressourcen und Budget, Stand der Maßnahmen usw. Im Gegenzug erhalten Sie einen Reifeindex und können sich mit dem nationalen Durchschnitt und ähnlichen Einrichtungen vergleichen. Für eine kleine Gemeinde ist der INES neben der Pflichterfüllung auch ein nützliches Instrument: Er gibt Ihnen ein objektives Bild davon, wo Schwachstellen liegen und wo Sie im nächsten Jahr Prioritäten setzen sollten.
Die INES-Erhebung ist jährlich und hat eine vom CCN jedes Jahr festgelegte Einreichungsfrist (üblicherweise im ersten Quartal, bezogen auf das Vorjahr). Es empfiehlt sich, den Fragebogen rechtzeitig vorzubereiten, denn ein in letzter Minute und schlecht ausgefüllter Fragebogen schadet vor allem Ihrer eigenen Diagnose.
Wo beginnt eine Gemeinde mit der ENS-Einhaltung?
Der Ausgangspunkt ist der Adäquierungsplan (Plan de Adecuación). Das ist kein umfangreiches Dokument, und es ist nicht nötig, mit dem technischen Teil zu beginnen: Man beginnt damit, sich zu organisieren. Dies sind die Schritte des Adäquierungsprozesses, wie sie das ENS-Portal selbst darlegt, geordnet so, dass eine kleine Gemeinde sie nachvollziehen kann:
- Sicherheit organisieren und Sicherheitspolitik verabschieden. Den Sicherheitsverantwortlichen benennen und einen Ausschuss einsetzen (auch wenn er klein ist), sowie die Informationssicherheitspolitik durch das zuständige Organ beschließen lassen. Das ist das Fundament: Ohne Rollen und Politik hängt alles andere in der Luft.
- Geltungsbereich bestimmen und Systeme kategorisieren. Festlegen, welche Systeme erfasst werden (elektronisches Portal, Einwohnermeldeamt, Register, Steuern usw.) und ihre Sicherheitsdimensionen bewerten, um die Kategorie zu ermitteln. Für die meisten Gemeinden: GRUNDKATEGORIE.
- Risikoanalyse durchführen. Vermögenswerte inventarisieren, Bedrohungen identifizieren und das Risiko bewerten. Das muss kein Kunstwerk sein: Das CCN bietet das Werkzeug PILAR an (basierend auf der Methodik MAGERIT), um dies strukturiert zu tun.
- Anwendbarkeitserklärung und Verbesserungsplan erstellen. Die Maßnahmen aus Anhang II auflisten, die je nach Kategorie anwendbar sind, ihren aktuellen Stand und die priorisierten Maßnahmen zur Schließung der Lücken mit Verantwortlichen und Terminen festhalten.
- Konformität erklären und INES hochladen. In der GRUNDKATEGORIE: Selbstbewertung und Konformitätserklärung; Erhalt des Konformitätssiegels; jährliches Hochladen des INES-Berichts.
Meine praktische Empfehlung: Versuchen Sie nicht, alle fünf Schritte in einer Woche zu erledigen. Ein realistischer Zeitplan für eine kleine Gemeinde verteilt den Adäquierungsplan über einige Monate, gestützt auf die CCN-Leitfäden für lokale Körperschaften und, wenn möglich, auf die Unterstützung Ihrer Provinzverwaltung oder Ihres Cabildo, die häufig gemeinsame Sicherheitsdienste speziell für die kleinsten Gemeinden anbieten.
Kostenlose CCN-Werkzeuge und Leitfäden für lokale Körperschaften
Einer der Gründe, weshalb sich eine kleine Gemeinde vor dem ENS nicht fürchten sollte, ist, dass das Nationale Kryptologische Zentrum eine Reihe kostenloser Ressourcen bereitstellt, die speziell für lokale Körperschaften konzipiert wurden:
- Leitfaden CCN-STIC 883 – Einführung des ENS für lokale Körperschaften. Das ist der Referenzleitfaden. Seine Anhänge enthalten spezifische Erfüllungsprofile und Beispiele für Adäquierungspläne, die nach Bevölkerungsgruppen differenziert sind: Gemeinden mit weniger als 5.000 Einwohnern, mit weniger als 20.000, zwischen 20.000 und 75.000, sowie Provinzverwaltungen oder Cabildos. Das bedeutet, Sie können von einer auf Ihre Größe zugeschnittenen Vorlage ausgehen, nicht von einem leeren Blatt.
- PILAR. Das CCN-Werkzeug für Risikoanalyse und -management, basierend auf MAGERIT, zur nachvollziehbaren Inventarisierung von Vermögenswerten und Risikobewertung.
- INES (CCN-STIC 824 und 844). Die Plattform und Leitfäden für den Nationalen Bericht zum Sicherheitszustand.
- CLARA / Konformitätswerkzeuge. CCN-Hilfsprogramme zur Überprüfung des Konfigurationszustands der Systeme anhand der ENS-Vorlagen.
- Kostenlose Schulungen. Das CCN bietet auf seiner Ángeles-Plattform spezifische Kurse für lokale Körperschaften an, was die Abhängigkeit von externer Beratung für Grundlagen verringert.
Diese Ressourcen ersetzen nicht das Urteil eines ENS-Experten, reduzieren aber die Einstiegskosten erheblich. Eine gut orientierte kleine Gemeinde kann einen Großteil des Adäquierungsplans mit offiziellen Leitfäden und punktueller externer Unterstützung bei den Schlüsselentscheidungen abdecken (Kategorisierung, Risikoanalyse und Validierung der Selbstbewertung).
Mindest-Fahrplan zur ENS-Konformität für eine kleine Gemeinde
Dies ist die Tabelle, die ich kleinen lokalen Körperschaften, mit denen ich arbeite, als Ausgangspunkt übergebe. Es handelt sich um einen priorisierten Fahrplan: Jede Phase gibt an, was zu tun ist, welche CCN-Ressource Sie unterstützt und wer innerhalb der Gemeinde die Federführung übernehmen sollte.
| Phase | Was zu tun ist | CCN-Werkzeug / -Ressource | Federführung |
|---|---|---|---|
| 1. Sicherheit organisieren | Sicherheitsverantwortlichen und Ausschuss benennen; Informationssicherheitspolitik verfassen und beschließen lassen. | Leitfaden CCN-STIC 883 (Vorlagen für lokale Körperschaften) | Gemeindeschreibung + Bürgermeisteramt (Beschlussfassung im Gemeinderat oder Ausschuss) |
| 2. Systeme kategorisieren | Geltungsbereich bestimmen (Portal, Einwohnermeldeamt, Register, Steuern) und die fünf Dimensionen bewerten. Übliches Ergebnis: GRUNDKATEGORIE. | Erfüllungsprofil für lokale Körperschaften <5.000 Einw. (Anhänge 883) | Sicherheitsverantwortlicher + technische Unterstützung (Provinzverwaltung/Cabildo oder extern) |
| 3. Risikoanalyse | Vermögensinventar, Bedrohungen und nachvollziehbare, der Größe angemessene Risikobewertung. | PILAR (MAGERIT-Methodik) | Technische Unterstützung + Sicherheitsverantwortlicher |
| 4. Anwendbarkeitserklärung und Verbesserungsplan | In der GRUNDKATEGORIE anwendbare Maßnahmen aus Anhang II auflisten, ihren Stand erfassen und einen priorisierten Plan mit Verantwortlichen und Terminen erstellen. | Anhang II des Königlichen Dekrets 311/2022 + Leitfaden 883 | Sicherheitsverantwortlicher |
| 5. Konformität erklären und berichten (INES) | Selbstbewertung und Konformitätserklärung; Konformitätssiegel erhalten; jährlichen INES-Bericht hochladen. | INES (CCN-STIC 824 und 844) | Sicherheitsverantwortlicher + Gemeindeschreibung |
Dies ist ein Mindestrahmen, kein Ersatz für fachliches Urteilsvermögen. Aber wenn eine kleine Gemeinde diese fünf Phasen aufrichtig durchläuft und jede schriftlich dokumentiert, wird sie in echter Konformität mit dem ENS stehen – und was noch wichtiger ist: ihre Systeme werden angemessen geschützt sein, denn darum geht es letztlich.
Häufige Fehler, die ich bei kleinen Gemeinden beobachte
Nach vielen Projekten gibt es Fehler, die sich wiederholen und die man besser im Voraus kennt:
- Glauben, dass „wir als kleine Gemeinde nicht betroffen sind". Das ENS gilt ausnahmslos. Was sich ändert, ist der Aufwandsgrad, nicht die Verpflichtung.
- Mit dem Technischen anfangen und die Organisation vergessen. Eine Firewall zu kaufen ist keine ENS-Konformität. Ohne Sicherheitspolitik, Rollen und Risikoanalyse sind technische Investitionen ziellos.
- Konformität mit INES verwechseln. Das sind zwei unterschiedliche Pflichten: die Konformitätserklärung (durch Selbstbewertung in der GRUNDKATEGORIE) und das jährliche Hochladen des INES. Beide müssen erfüllt werden.
- Alles auslagern und die Hände in den Schoß legen. Sie können sich auf einen Dienstleister oder die Provinzverwaltung stützen, aber die Verantwortung für die Sicherheit liegt beim Gemeindeamt. Wenn Ihre Website von einem Unternehmen betrieben wird, fällt auch dieser Dienst in den ENS-Geltungsbereich.
- Den Adäquierungsplan erstellen und in der Schublade verschwinden lassen. Das ENS ist kontinuierliche Verbesserung. Die Selbstbewertung wird mindestens alle zwei Jahre überprüft, der INES ist jährlich. Es ist ein lebendiger Zyklus.
Wenn Sie einen Teil dieses Weges delegieren möchten oder wenn jemand Ihre Selbstbewertung vor der Konformitätserklärung validieren soll, begleite ich in meinem Dienst für ENS-Beratung und -Einführung kleine lokale Körperschaften genau an diesem Punkt: Sicherheit organisieren, korrekt kategorisieren, eine angemessene Risikoanalyse durchführen und die Dokumentation für die Selbstbewertung und den INES fertigstellen.
Das ENS im Gesamtüberblick verstehen
Dieser Artikel hat sich auf den Fall der kleinen Gemeinde mit begrenzten Ressourcen konzentriert. Wenn Sie den vollständigen Überblick benötigen – was das ENS ist, seine Struktur, die Grundsätze und die Maßnahmen aus Anhang II –, empfehle ich Ihnen meinen vollständigen Leitfaden zum Spanischen Nationalen Sicherheitsgrundgesetz. Und wenn Ihre Frage speziell betrifft, wie das ENS in den Alltag der Kommunalverwaltung jeder Größe passt, verweise ich Sie erneut auf meinen begleitenden Artikel über das ENS in Gemeinden und der Kommunalverwaltung. Zwischen den drei Artikeln haben Sie den gesamten Weg abgedeckt – vom allgemeinen Rahmen bis zum konkreten Fahrplan für die ressourcenarme Gemeinde.
Häufig gestellte Fragen
Sind Gemeinden zur Einhaltung des ENS verpflichtet, auch wenn sie sehr klein sind?
Ja. Artikel 2 des Königlichen Dekrets 311/2022 schließt die gesamte Kommunalverwaltung ohne Bevölkerungsschwelle in den persönlichen Anwendungsbereich des ENS ein. Die Verpflichtung ergibt sich zudem aus Artikel 156 Absatz 2 des Gesetzes 40/2015. Was sich mit der Größe ändert, ist die Systemkategorie (bei kleinen Gemeinden üblicherweise GRUNDKATEGORIE) und damit der geforderte Aufwandsgrad – nicht aber die Tatsache, dass man verpflichtet ist.
Was ist der INES-Bericht?
INES ist der Informe Nacional del Estado de Seguridad: eine jährliche, vom Nationalen Kryptologischen Zentrum koordinierte Datenerhebung, die ein aggregiertes Bild der Sicherheit im öffentlichen Sektor erstellt. Er stützt sich auf Artikel 32 des Königlichen Dekrets 311/2022; der Fragebogen wird im Leitfaden CCN-STIC 824 definiert; die Upload-Plattform wird in CCN-STIC 844 dokumentiert. Ihre Gemeinde beantwortet jährlich einen Fragebogen und erhält einen Reifeindex, der mit dem nationalen Durchschnitt vergleichbar ist.
Kann sich eine kleine Gemeinde ohne externe Prüfung selbst bewerten?
Ja, sofern ihre Systeme der GRUNDKATEGORIE zuzuordnen sind. In dieser Kategorie wird die Konformität durch eine Konformitätserklärung auf Basis einer Selbstbewertung nachgewiesen – mindestens alle zwei Jahre, ohne akkreditierte Zertifizierungsstelle. Nur die MITTLERE und HOHE KATEGORIE erfordern eine formelle Zertifizierung durch einen externen Dritten.
Wo beginnt eine Gemeinde mit der ENS-Einhaltung?
Mit dem Adäquierungsplan, und darin zuerst mit der Sicherheitsorganisation: den Sicherheitsverantwortlichen benennen, einen Ausschuss einsetzen und die Sicherheitspolitik beschließen. Anschließend werden die Systeme kategorisiert, die Risikoanalyse durchgeführt, die Anwendbarkeitserklärung mit dem Verbesserungsplan erstellt und schließlich die Konformität erklärt und der INES hochgeladen. Der Leitfaden CCN-STIC 883 bietet an die Gemeindegröße angepasste Vorlagen.
Was kostet die ENS-Konformität für eine kleine Gemeinde?
Das hängt vom Ausgangszustand ab, aber in der GRUNDKATEGORIE sind die Kosten deutlich geringer als befürchtet, da weder eine Zertifizierungspflicht noch Pflichtaudits bestehen und das CCN kostenlose Leitfäden, Werkzeuge (PILAR, INES) und Schulungen anbietet. Der Hauptaufwand entsteht üblicherweise durch punktuelle externe Unterstützung bei der Kategorisierung, der Risikoanalyse und der Validierung der Selbstbewertung. Viele Provinzverwaltungen und Cabildos bieten zudem gemeinsame Sicherheitsdienste für ihre Gemeinden an.
Wie oft muss die Konformität überprüft und der INES eingereicht werden?
Die Selbstbewertung für die Konformitätserklärung in der GRUNDKATEGORIE erfolgt mindestens alle zwei Jahre oder außerordentlich bei wesentlichen Systemänderungen. Der INES-Bericht hingegen ist jährlich: Das CCN öffnet jedes Jahr eine Einreichungsfrist, die sich auf das Vorjahr bezieht. Beide Zyklen sind unterschiedlich und sollten im Kalender verankert werden.
Was gilt, wenn meine Website oder mein elektronisches Portal von einem externen Unternehmen betrieben wird?
Dieser Dienst fällt ebenfalls in den ENS-Geltungsbereich. Die Auslagerung der Verwaltung überträgt nicht die Verantwortung: Die Gemeinde bleibt dafür verantwortlich, dass diese Systeme das Spanische Nationale Sicherheitsgrundgesetz einhalten. Es empfiehlt sich, vom Dienstleister vertraglich zu verlangen, dass seine Dienste ENS-konform sind, und die entsprechenden Nachweise für Ihre Selbstbewertung einzuholen.
Quellen
- Königliches Dekret 311/2022 vom 3. Mai, das das Spanische Nationale Sicherheitsgrundgesetz regelt (BOE)
- ENS · Lokale Körperschaften – Offizielles ENS-Portal (CCN-CNI)
- ENS · Adäquierungsprozess – Offizielles ENS-Portal (CCN-CNI)
- Leitfaden CCN-STIC 824 – Bericht über den Sicherheitszustand (INES)
- Leitfaden CCN-STIC 883 – Einführung des ENS für lokale Körperschaften
- ENS · Häufig gestellte Fragen (FAQ) – Offizielles ENS-Portal (CCN-CNI)