Was versteht man unter Lieferkettenanforderungen im ENS?

Artikel 2.3 des RD 311/2022 verpflichtet private Unternehmen, die Dienste für die öffentliche Verwaltung erbringen, zur ENS-Konformität. Diese Verpflichtung erstreckt sich auf die gesamte Lieferkette: Subunternehmer und Anbieter des Hauptauftragnehmers können ebenfalls betroffen sein.

Muss ein privates Unternehmen eine ENS-Sicherheitspolitik haben?

Ja. Artikel 2.3 des RD 311/2022 schreibt ausdrücklich vor, dass betroffene Privatunternehmen auch die in Artikel 12 vorgesehene Sicherheitspolitik haben müssen, nicht nur die technischen Maßnahmen.

Was sind die Konsequenzen, wenn ein Privatunternehmen das ENS nicht einhält?

Die Nichterfüllung kann zur Kündigung öffentlicher Aufträge führen, die ENS-Konformität als Anforderung enthalten. In schwerwiegenden Fällen können auch Sanktionen aus dem allgemeinen Cybersicherheitsrecht greifen.

Wie bereitet sich ein privates Unternehmen auf das ENS vor?

Der erste Schritt ist zu prüfen, ob Ihre Verträge mit der Verwaltung ENS-Anforderungen enthalten. Dann kategorisieren Sie Ihre Systeme, führen eine Risikoanalyse durch und implementieren die anwendbaren Maßnahmen des Anhangs II. Für Grundkategorie genügt eine Selbstbewertung.

ENS im Privatsektor: wann gilt es für Ihr Unternehmen?

Q: Gilt das ENS für private Unternehmen?

Ja, aber nur in bestimmten Fällen: wenn Sie Dienstleistungen für die öffentliche Verwaltung erbringen oder Lösungen bereitstellen (Artikel 2.3 des RD 311/2022), wenn Sie zur Lieferkette eines öffentlichen Auftragnehmers gehören, oder wenn Sie ein privates Unternehmen sind, das mit der Verwaltung verbunden oder abhängig ist.

Es gibt eine weitverbreitete Ansicht, dass das Spanische Nationales Sicherheitsgrundgesetz (ENS) eine reine Angelegenheit von Gemeinden, Ministerien und Provinzialverwaltungen sei. Das ist eine halbe Wahrheit, die immer mehr private Unternehmen außen vor lässt. Seit dem Inkrafttreten des Real Decreto 311/2022 erfasst das ENS einen wesentlichen Teil der privaten Unternehmenslandschaft — wenn auch nicht jedes Unternehmen und nicht unter allen Umständen. Es lohnt sich, die genaue Grenzlinie zu kennen.

Gilt das ENS für ein privates Unternehmen? Ja, aber nur in konkreten Fällen: wenn Sie Dienstleistungen erbringen oder Lösungen für den öffentlichen Sektor im Rahmen eines Vertrages bereitstellen (Artikel 2.3 des RD 311/2022), wenn Sie Teil der Lieferkette eines öffentlichen Auftragnehmers sind, oder wenn Sie ein privates Unternehmen sind, das mit der Verwaltung verbunden oder von ihr abhängig ist. Außerhalb dieser Fälle verpflichtet das ENS ein privates Unternehmen nicht direkt.

Das ENS ist nicht nur für die Verwaltung: wo der Privatsektor beginnt

Ausgangspunkt ist Artikel 2 des Real Decreto 311/2022, der den Anwendungsbereich des ENS regelt. Absatz 1 besagt, dass das ENS „auf den gesamten öffentlichen Sektor im Sinne des Artikels 2 des Gesetzes 40/2015 Anwendung findet". Bis hierher die klassische Lesart: Allgemeine Staatsverwaltung, autonome Gemeinschaften, lokale Körperschaften, öffentliche Universitäten und der sogenannte institutionelle öffentliche Sektor.

Die entscheidende Regelung für den Privatsektor findet sich in Absatz 3 desselben Artikels, den viele übersehen. Der Wortlaut ist eindeutig: Diese Königliche Verordnung „gilt auch für die Informationssysteme von Einrichtungen des Privatsektors, einschließlich der Verpflichtung zur Einrichtung einer Sicherheitspolitik gemäß Artikel 12, wenn diese — gemäß den anwendbaren Vorschriften und aufgrund einer Vertragsbeziehung — Dienstleistungen erbringen oder Lösungen für Einrichtungen des öffentlichen Sektors bereitstellen, damit diese ihre Verwaltungskompetenzen und -befugnisse ausüben können".

Das bedeutet: Das ENS entstand nicht dazu, private Unternehmen allein wegen ihrer Eigenschaft als solche zu regulieren, sondern zieht sie in seinen Einflussbereich, sobald ein Unternehmen zum Glied einer Kette wird, die einen digitalen öffentlichen Dienst trägt. Die Verpflichtung ist nicht allgemein, sondern kontextgebunden. Deshalb ist es so wichtig, die Fälle, in denen das ENS wirklich gilt, von denen zu unterscheiden, in denen es nicht gilt — denn ENS-Konformität dort zu fordern, wo sie nicht erforderlich ist, ist ebenso kostspielig wie sie dort zu ignorieren, wo sie gilt. Den vollständigen Überblick über den Rahmen finden Sie im vollständigen Leitfaden zum Spanischen Nationalen Sicherheitsgrundgesetz.

Wann ist ein privates Unternehmen dem ENS verpflichtet?

ENS im Privatsektor: wann gilt es für Ihr Unternehmen? — Foto: jonathan mcintosh (CC BY 2.0)

In der Praxis gibt es drei wesentliche Eintrittswege, dazu einen vierten Grenzfall, den man im Blick behalten sollte. Die folgende Tabelle bietet eine Orientierung, bevor Sie entscheiden, ob Ihr Unternehmen ENS-Konformität nachweisen muss oder nicht.

Wann gilt das ENS für ein privates Unternehmen? Fallkonstellationen, Rechtsgrundlage und Anforderungen
Konstellation	Rechtsgrundlage	Gilt das ENS?	Was wird in der Praxis verlangt?
Anbieter, der Dienstleistungen erbringt oder Lösungen für eine öffentliche Einrichtung bereitstellt (Hosting, SaaS, Entwicklung, Support, Verarbeitung von Verwaltungsdaten …)	Art. 2.3 RD 311/2022	Ja, unmittelbar	Sicherheitspolitik (Art. 12), Anpassung an das ENS und Konformitätserklärung oder -zertifizierung je nach Systemkategorie (Basis, Mittel oder Hoch).
Subunternehmer innerhalb der Lieferkette eines öffentlichen Auftragnehmers	Art. 2.3 RD 311/2022 (letzter Absatz)	Ja, „soweit erforderlich" gemäß Risikoanalyse	Der Auftragnehmer gibt ENS-Anforderungen an seine Subunternehmer weiter; die Konformität ist proportional zum Risikobeitrag des jeweiligen Kettenglieds.
Private Einrichtung, die mit einer Verwaltung verbunden oder von ihr abhängig ist (öffentliches Wirtschaftsunternehmen, Stiftung des öffentlichen Sektors, Konsortium)	Art. 2.2 b) Gesetz 40/2015 + Art. 2.1 RD 311/2022	Ja, als Teil des institutionellen öffentlichen Sektors bei Ausübung von Verwaltungsbefugnissen	Gleichbehandlung wie die übergeordnete Verwaltung: Sicherheitspolitik, Anpassung und Konformitätsnachweis.
Betreiber eines regulierten Sektors (wesentliche Dienste, Finanzsektor, Telekommunikation) ohne öffentlichen Vertrag	NIS2, DORA, sektorspezifische Vorschriften (Verweisung)	Mittelbar: das ENS kann als Referenzrahmen oder Äquivalent gefordert werden	Sektorspezifischer Sicherheitsrahmen, der in einigen Fällen das ENS als Referenz heranzieht oder durch normative Verweisung vorschreibt.
Privates Unternehmen ohne Bezug zum öffentlichen Sektor	—	Nein, das ENS verpflichtet nicht direkt	Freiwillige Einhaltung; der naheliegende Weg ist die ISO/IEC 27001 als anerkanntes Informationssicherheits-Managementsystem.

Die Grenze wird nicht durch die Unternehmensgröße oder die Branche an sich bestimmt, sondern durch die Beziehung zum öffentlichen Sektor: vertraglicher, organisatorischer oder normativer Art. Die allgemeine Verpflichtung für Anbieter wird im Artikel über die Fälle, in denen das ENS für Unternehmen und Anbieter verpflichtend ist, vertieft; hier konzentrieren wir uns darauf, den tatsächlichen Anwendungsbereich jeder Fallkonstellation abzugrenzen.

Fall 1: Anbieter, die Dienstleistungen für den öffentlichen Sektor erbringen

Dies ist mit Abstand der häufigste Eingangsfall. Wenn Ihr Unternehmen einen Vertrag mit einer öffentlichen Einrichtung schließt, um eine Dienstleistung zu erbringen oder eine Lösung bereitzustellen, die deren Verwaltungskompetenzen und -befugnisse unterstützt, gilt das ENS für Sie unmittelbar. Es ist nicht erforderlich, dass Sie mit klassifizierten Informationen oder besonders sensiblen Daten umgehen: Es genügt, dass das Informationssystem, das Sie zur Erbringung dieser Dienstleistung nutzen, die Verwaltungstätigkeit des öffentlichen Kunden ganz oder teilweise trägt.

Beispiele gibt es viele: ein Unternehmen, das in seiner Cloud das Aktenverwaltungssystem einer Gemeindeverwaltung hostet; ein Entwickler, der die elektronische Verwaltungsplattform einer Landesbehörde betreut; ein Support-Unternehmen, das die E-Mail-Infrastruktur einer Behörde verwaltet; ein SaaS-Anbieter für Rechnungsstellung, Lohnabrechnung oder Patientenverwaltung für eine öffentliche Einrichtung. In all diesen Fällen fallen die Systeme, die den Dienst tragen, in den Anwendungsbereich des ENS.

Absatz 3 selbst fügt eine ausdrückliche Mindestpflicht für den Anbieter hinzu: Er muss über eine Sicherheitspolitik gemäß Artikel 12 verfügen, die bei diesen Einrichtungen „vom Organ mit den höchsten Exekutivkompetenzen genehmigt werden" muss. Das heißt: Die Unternehmensleitung übernimmt formal die Sicherheitsverpflichtung, so wie es ein öffentliches Leitungsorgan täte. Der Umfang der weiteren Anpassung richtet sich nach der Kategorie des jeweiligen Systems.

Wie gelangt das ENS über Vergabeunterlagen in Unternehmen?

Der konkrete Mechanismus, durch den das ENS in ein privates Unternehmen gelangt, ist die öffentliche Auftragsvergabe. Der maßgebliche letzte Absatz des Artikels 2.3 formuliert es so: Die Verwaltungs- oder technischen Leistungsbeschreibungen der Verträge öffentlicher Einrichtungen „müssen alle Anforderungen enthalten, die notwendig sind, um die ENS-Konformität der Informationssysteme sicherzustellen, auf die sich die vom Auftragnehmer erbrachten Dienstleistungen stützen, wie etwa die Vorlage der entsprechenden ENS-Konformitätserklärungen oder -zertifizierungen".

Anders ausgedrückt: Die Verwaltung ist verpflichtet, das ENS in ihre Vergabeunterlagen aufzunehmen. Dies steht in direktem Zusammenhang mit dem Gesetz 9/2017 über öffentliche Aufträge, über das diese technischen und sicherheitsbezogenen Anforderungen an die Bieter weitergegeben werden. Für viele Unternehmen ist die operative Konsequenz eindeutig: Ohne ENS-Konformität kann man für bestimmte Aufträge gar nicht erst bieten oder scheidet in der Zulassungsphase aus. Die Konformität wird vom optionalen „Nice to have" zu einer Marktzugangsvoraussetzung für öffentliche Aufträge.

Das verändert den Zeitpunkt der Planung. Wenn Ihr Unternehmen öffentliche Aufträge für digitale Dienste anstrebt, muss die ENS-Anpassung vor dem Erscheinen der Ausschreibung abgeschlossen sein — nicht erst nach der Lektüre der Vergabeunterlagen. Eine Anpassung dauert Monate; eine Angebotsfrist nur Tage. Vorausschauendes Handeln entscheidet darüber, ob man selbst bietet oder zusieht, wie der Auftrag an andere geht.

Fall 2: Die Lieferkette des Auftragnehmers

Artikel 2.3 schließt mit einem Vorbehalt, der den Anwendungsbereich erheblich ausweitet: „Diese Vorsichtsmaßnahme erstreckt sich auch auf die Lieferkette der genannten Auftragnehmer, soweit dies erforderlich ist und gemäß den Ergebnissen der entsprechenden Risikoanalyse." Hier liegt der zweite Eingangsweg, der für die meisten Unternehmen überraschend kommt.

Das bedeutet: Es ist nicht notwendig, selbst der Vertragspartner der Verwaltung zu sein. Wenn Sie Subunternehmer, Lieferant eines Lieferanten sind oder eine Komponente oder Dienstleistung beisteuern, die der Auftragnehmer in seine Leistung gegenüber dem öffentlichen Kunden integriert, können Sie in den Anforderungsbereich des ENS hineingezogen werden. Der Auftragnehmer wird, um seine eigene Konformität zu gewährleisten, Anforderungen rückwärts in seiner Lieferkette weitergeben: an seinen Hosting-Anbieter, sein Wartungsunternehmen, seinen externen Entwickler.

Die Ausweitung ist weder automatisch noch unbegrenzt. Der Text selbst begrenzt sie durch zwei Bedingungen: dass sie „erforderlich" sei und „gemäß den Ergebnissen der entsprechenden Risikoanalyse" erfolge. Sie wird also proportional zum Risiko angewendet, das jedes Kettenglied einbringt. Ein Büromateriallieferant fällt nicht darunter; ein Anbieter kritischer Cloud-Infrastruktur mit sehr großer Wahrscheinlichkeit schon. Das Kriterium ist technischer, nicht formaler Natur, und wird durch die Risikoanalyse des Vertrags festgelegt. Die CCN-STIC-800-Leitfadenreihe (insbesondere zu Konformität und Konformitätsprüfung) liefert die methodische Grundlage für die Weitergabe dieser Anforderungen an die Lieferkette.

Was sind verbundene oder abhängige Einrichtungen?

Der dritte Fall entsteht nicht aus einem Vertrag, sondern aus organisatorischer Kontrolle. Der Verweis in Artikel 2.1 des RD 311/2022 auf das Gesetz 40/2015 bringt eine Kategorie ins Spiel, die privat anmutet, aber zu diesen Zwecken öffentlichen Charakter hat: die Einrichtungen des institutionellen öffentlichen Sektors.

Artikel 2 des Gesetzes 40/2015 zählt zum öffentlichen Sektor nicht nur die Gebietskörperschaften, sondern auch die mit diesen verbundenen oder von ihnen abhängigen Organisationen und Einrichtungen. Darunter fallen privatrechtliche Einrichtungen — staatliche, autonome oder kommunale Wirtschaftsunternehmen, Stiftungen des öffentlichen Sektors, Konsortien — die trotz ihrer privatrechtlichen Rechtsform von der Verwaltung kontrolliert werden. Das Gesetz 40/2015 selbst präzisiert, dass diese privaten, verbundenen oder abhängigen Einrichtungen den für sie spezifisch geltenden Normen unterliegen und „in jedem Fall, wenn sie Verwaltungsbefugnisse ausüben", dem Verwaltungsrecht.

Die Konsequenz für das ENS ist klar: Ein öffentliches Wirtschaftsunternehmen für Wasser, Verkehr oder Wohnungsbau oder eine von einer Landesbehörde abhängige Stiftung fällt ebenso in den Anwendungsbereich des ENS wie jede andere Behörde — auch wenn ihre Steuernummer und Rechtsform denen eines gewöhnlichen Unternehmens gleichen. Es handelt sich nicht um einen Anbieter der Verwaltung: Diese Einrichtung ist für Zwecke der Informationssicherheit öffentlicher Sektor. Es lohnt sich, die genaue Rechtsform der Einrichtung zu prüfen, bevor man zu einem Schluss kommt, denn die Grenze zwischen „öffentlichem Unternehmen" und „privatem Unternehmen mit öffentlichem Kunden" hat sehr unterschiedliche rechtliche Folgen.

Betrifft das ENS regulierte Sektoren?

Der vierte Fall ist diffuser und sollte mit Bedacht behandelt werden, um keine Übertreibungen zu riskieren. Es gibt private Unternehmen, die ohne Dienstleistungserbringung für die Verwaltung und ohne verbundene Einrichtungen zu sein, in die Nähe vergleichbarer Sicherheitsrahmen geraten oder bei denen das ENS als Referenz herangezogen wird. Das gilt für Betreiber wesentlicher Dienste und Einrichtungen regulierter Sektoren, wo Normen wie die NIS2-Richtlinie (Cybersicherheit wesentlicher und digitaler Dienste) oder die DORA-Verordnung (digitale operative Resilienz im Finanzsektor) eigene Sicherheitspflichten auferlegen.

In diesen Fällen gilt das ENS nicht als unmittelbare Verpflichtung, tritt aber auf zwei Wegen in Erscheinung. Einerseits als Referenzrahmen: Ein Unternehmen, dessen Systeme bereits dem ENS angepasst sind, hat einen Großteil der Arbeit für NIS2 oder andere sektorspezifische Anforderungen bereits geleistet, da sich die Maßnahmen überschneiden. Andererseits durch normative Verweisung: Bestimmte sektorspezifische Normen oder Vergabeunterlagen verweisen auf das ENS oder seine Maßnahmen als Kontrollstandard. Es empfiehlt sich, das Zusammenspiel von ENS, DSGVO, NIS2 und DORA zu kartieren, bevor entschieden wird, welcher Rahmen von welchem Kunden oder welcher Norm gefordert wird.

Die Faustregel: Wenn Sie in einem regulierten Sektor tätig sind, gehen Sie nicht automatisch davon aus, dass das ENS Sie verpflichtet — schließen Sie es aber auch nicht ohne Analyse aus. Der tatsächliche Auslöser wird immer eine konkrete Norm oder eine vertragliche Klausel sein, nicht das ENS für sich allein.

ENS oder ISO 27001: Was braucht Ihr privates Unternehmen wirklich?

Eine häufige Verwechslung besteht darin, ENS und ISO/IEC 27001 als sich gegenseitig ausschließende Alternativen zu betrachten. Das sind sie nicht. Das ENS ist ein gesetzlich vorgeschriebener Rahmen, wenn die geschilderten Voraussetzungen vorliegen; ISO 27001 ist ein freiwilliger internationaler Standard, den jedes Unternehmen zur Verwaltung seiner Sicherheit einführen kann, unabhängig davon, ob es Beziehungen zum öffentlichen Sektor hat oder nicht.

Für ein privates Unternehmen ohne öffentliche Verbindung ist ISO 27001 der logische Weg: Sie bietet ein anerkanntes Managementsystem, verbessert die Position gegenüber Kunden und Versicherungen und legt keine gesetzliche Pflicht auf, die gar nicht existiert. Für ein Unternehmen, das in den Anwendungsbereich des ENS fällt, ist die gute Nachricht, dass beide Rahmen einen bedeutenden Teil der Kontrollen teilen, sodass eine ausgereifte ISO-27001-Zertifizierung den Anpassungsaufwand für das ENS reduziert. Wir haben diesen Vergleich im vollständigen ISO-27001-Leitfaden ausgeführt, der dabei hilft, die Prioritäten je nach Unternehmensprofil festzulegen.

Der kostspieligste Fehler ist das Gegenteil dessen, womit dieser Artikel beginnt: Unternehmen, die sich nach ISO 27001 zertifizieren lassen, weil sie glauben, damit die Anforderungen einer öffentlichen Ausschreibung zu erfüllen, und dann zu spät feststellen, dass der Kunde ENS-Konformität verlangt hatte — was etwas anderes ist. Zu ermitteln, welchen Rahmen Sie benötigen — und wann — ist die erste und rentabelste Entscheidung.

Wie man vorgeht: Schritte für ein privates Unternehmen

Wenn Sie vermuten, dass Ihr Unternehmen in den Anwendungsbereich des ENS fallen könnte, sollten Sie nicht warten, bis Sie es aus einer Ausschreibung erfahren. Eine sinnvolle Roadmap:

Bestimmen Sie Ihre Fallkonstellation. Prüfen Sie anhand der obigen Tabelle, ob Sie unmittelbarer Anbieter, Glied einer Lieferkette, verbundene oder abhängige Einrichtung oder Betreiber eines regulierten Sektors sind. Davon hängt alles Weitere ab.
Identifizieren Sie die betroffenen Systeme. Nicht Ihr gesamter IT-Bestand fällt darunter: nur die Informationssysteme, die die für den öffentlichen Sektor erbrachte Dienstleistung tragen. Eine Abgrenzung des Geltungsbereichs verhindert eine Überdimensionierung des Projekts.
Kategorisieren Sie das System. Basis, Mittel oder Hoch — je nach Auswirkung auf die Sicherheitsdimensionen. Die Kategorie entscheidet, ob eine Selbstbewertung (Konformitätserklärung) ausreicht oder eine Zertifizierungsaudit erforderlich ist.
Genehmigen Sie Ihre Sicherheitspolitik. Dies ist eine ausdrückliche Verpflichtung aus Artikel 12, auch für private Anbieter, und muss von der Unternehmensleitung genehmigt werden.
Passen Sie sich an und weisen Sie Konformität nach. Implementieren Sie die Maßnahmen aus Anhang II proportional zu Ihrer Kategorie und erwirken Sie die Konformitätserklärung oder -zertifizierung, die die Ausschreibung von Ihnen verlangt.

Dieser Weg erfordert einen Zeitraum von Monaten, nicht von Wochen, und fachkundige Begleitung vermeidet Sackgassen. Für die Implementierungsphase steht unser spezifischer ENS-Implementierungsberatungsservice zur Verfügung, und um sicherzustellen, dass Sie gut vorbereitet zur Zertifizierung gehen, bieten wir die ENS-Auditsvorbereitung an. Wir arbeiten mit Unternehmen aus ganz Spanien; wenn Sie auf den Kanarischen Inseln ansässig sind, können Sie unseren Ansatz über die Compliance-Beratung in Las Palmas kennenlernen.

Häufig gestellte Fragen

Gilt das ENS für private Unternehmen?

Ja, aber nicht für jedes private Unternehmen und nicht unter allen Umständen. Artikel 2.3 des RD 311/2022 wendet es auf Einrichtungen des Privatsektors an, wenn diese aufgrund einer Vertragsbeziehung Dienstleistungen erbringen oder Lösungen für den öffentlichen Sektor zur Ausübung seiner Verwaltungskompetenzen und -befugnisse bereitstellen. Es erfasst auch deren Lieferkette sowie private Einrichtungen, die mit der Verwaltung verbunden oder von ihr abhängig sind. Ein privates Unternehmen ohne jegliche Verbindung zum öffentlichen Sektor ist durch das ENS nicht unmittelbar verpflichtet.

Wann ist ein privates Unternehmen dem ENS verpflichtet?

In drei Hauptfällen: wenn es Anbieter ist, der Dienstleistungen erbringt oder Lösungen für eine öffentliche Einrichtung bereitstellt (Art. 2.3); wenn es Teil der Lieferkette eines öffentlichen Auftragnehmers ist, soweit sich dies aus der Risikoanalyse ergibt; und wenn es eine private Einrichtung ist, die mit der Verwaltung verbunden oder von ihr abhängig ist und als institutioneller öffentlicher Sektor gemäß Artikel 2 des Gesetzes 40/2015 gilt. Die konkreten Anforderungen werden in der Regel in den Vergabeunterlagen festgeschrieben.

Was sind verbundene oder abhängige Einrichtungen?

Es handelt sich um Organisationen und Einrichtungen — einschließlich solcher mit privatrechtlicher Rechtsform, wie öffentliche Wirtschaftsunternehmen, Stiftungen des öffentlichen Sektors oder Konsortien — die von einer Verwaltung kontrolliert werden und deshalb gemäß Artikel 2 des Gesetzes 40/2015 dem institutionellen öffentlichen Sektor angehören. Obwohl sie den Anschein privater Unternehmen erwecken, werden sie für Zwecke des ENS als Teil des öffentlichen Sektors behandelt, insbesondere wenn sie Verwaltungsbefugnisse ausüben.

Betrifft das ENS regulierte Sektoren?

Nicht unmittelbar allein aufgrund der Tätigkeit in einem regulierten Sektor. Normen wie NIS2 oder DORA erlegen jedoch eigene Sicherheitspflichten auf, die sich mit dem ENS überschneiden, und einige sektorspezifische Anforderungen oder Vergabeunterlagen nehmen das ENS als Referenzrahmen oder fordern es durch normative Verweisung. Daher sollte ein Unternehmen eines regulierten Sektors von Fall zu Fall analysieren, ob eine Norm oder ein Vertrag letztlich ENS-Konformität oder einen gleichwertigen Rahmen verlangt.

Quellen

Real Decreto 311/2022, vom 3. Mai, zur Regulierung des Spanischen Nationalen Sicherheitsgrundgesetzes — Artikel 2 (Anwendungsbereich). BOE-A-2022-7191
Gesetz 40/2015, vom 1. Oktober, über das Rechtsregime des öffentlichen Sektors — Artikel 2 (persönlicher Anwendungsbereich und institutioneller öffentlicher Sektor). BOE-A-2015-10566
Gesetz 9/2017, vom 8. November, über öffentliche Aufträge des Sektors öffentliche Einrichtungen. BOE-A-2017-12902
Nationales Kryptologisches Zentrum — ENS-Portal und CCN-STIC-800-Leitfadenreihe (Konformität und Konformitätsprüfung). ens.ccn.cni.es · ccn-cert.cni.es

Inhalt erstellt von Summum Marketing für angelortegacastro.com. Informationsmaterial ohne Rechtsberatungscharakter; ersetzt keine individuelle juristische oder technische Beratung.