Was ist die ENS-Konformitätserklärung, und wann reicht eine Selbstbewertung aus? Im Spanischen Nationalen Sicherheitsgrundgesetz (ENS) gibt es zwei Wege, um die Konformität nachzuweisen: die Konformitätserklärung und das Konformitätszertifikat. Die Erklärung gilt ausschließlich für Systeme der Grundkategorie und wird durch eine Selbstbewertung der Organisation selbst erbracht — ohne externen Auditor. In der mittleren und hohen Kategorie hingegen wird die Konformität ausschließlich durch Zertifizierung nachgewiesen, mit einer Prüfung durch eine von ENAC akkreditierte Stelle. Dies regelt der Real Decreto 311/2022 in Artikel 38. In diesem Artikel erläutere ich den Unterschied, wie Sie Ihre Selbstbewertung im grundlegenden Niveau durchführen und welche Fehler Sie vermeiden sollten.
Was ist die ENS-Konformitätserklärung?
Die Konformitätserklärung ist das Dokument, mit dem eine Organisation formal erklärt, dass ihr Informationssystem — klassifiziert in der Grundkategorie — die Anforderungen des Spanischen Nationalen Sicherheitsgrundgesetzes erfüllt. Es handelt sich um eine Selbsterklärung: Die Organisation unterzeichnet sie selbst, nachdem sie intern geprüft hat, ob die geforderten Sicherheitsmaßnahmen umgesetzt sind.
Das RD 311/2022 legt fest, dass sowohl die Konformitätserklärung als auch das Konformitätszertifikat für Systeme im Geltungsbereich des ENS — ob öffentlich oder privat — vorgeschrieben sind. Beide müssen durch Veröffentlichung des entsprechenden offiziellen Konformitätskennzeichens auf der Website, dem Portal oder dem elektronischen Sitz der Organisation nachgewiesen werden. Es reicht also nicht aus, das Dokument in einer Schublade aufzubewahren: Es muss öffentlich zugänglich sein, damit Dritte jederzeit überprüfen können, dass das System konform ist und in welche Kategorie es fällt.
Ein wesentlicher Grundgedanke sollte dabei klar sein: Die Erklärung ist weder eine Meinung noch eine Absichtserklärung, sondern eine Aussage mit rechtlichen Folgen. Wenn eine Organisation ihre Konformität erklärt und das Kennzeichen veröffentlicht, übernimmt sie formell die Verantwortung dafür, das ENS zu erfüllen — mit allen Konsequenzen, falls das Gegenteil bewiesen wird. Deshalb muss die vorausgehende Selbstbewertung ernsthaft und gründlich durchgeführt werden.
Konformitätserklärung vs. Konformitätszertifikat: Wo liegt der Unterschied?
Der Unterschied liegt im Nachweisweg und hängt direkt von der Systemkategorie ab:
- Konformitätserklärung: gilt ausschließlich in der Grundkategorie. Sie basiert auf einer internen Selbstbewertung. Es ist weder ein externer Auditor noch eine Zertifizierungsstelle erforderlich.
- Konformitätszertifikat: gilt für alle Kategorien (Grund-, mittlere und hohe Kategorie) und ist in der mittleren und hohen Kategorie verpflichtend. Es erfordert eine formelle Prüfung durch eine von ENAC akkreditierte Zertifizierungsstelle.
Anders ausgedrückt: In der Grundkategorie können Sie zwischen der Erklärung (Selbstbewertung) und dem Zertifikat (externe Prüfung) wählen; die Erklärung ist dabei der eigenständige und ausreichende Weg. In der mittleren und hohen Kategorie gibt es keine Wahl — die Konformität ist ausschließlich durch Zertifizierung nachzuweisen. Um festzustellen, in welche Kategorie Ihr System fällt, empfehle ich meinen Leitfaden über den Prozess, die Anforderungen und die Kosten der ENS-Zertifizierung.
Konformitätsweg nach Kategorie
Kann ich mich im grundlegenden Niveau selbst bewerten?
Ja. In der Grundkategorie kann die Organisation ihre Konformität durch ein Selbstbewertungsverfahren feststellen. Das RD 311/2022 sieht vor, dass diese Selbstbewertung im Regelfall die Einhaltung der ENS-Anforderungen mindestens alle zwei Jahre überprüft. Ein externer Auditor ist nicht beteiligt — das bedeutet jedoch nicht, dass es sich um eine reine Formalität handelt: Die Selbstbewertung muss real, dokumentiert und ehrlich sein, denn die Verantwortung liegt vollständig bei der unterzeichnenden Organisation.
Die Selbstbewertung muss sich auf die für die Grundkategorie anwendbaren ENS-Maßnahmen stützen (Anhang II des RD 311/2022) und wird in der Praxis mit Unterstützung der CCN-STIC-Leitfäden des Centro Criptológico Nacional durchgeführt, die im Detail erläutern, wie jede Kontrolle zu prüfen ist. Das CCN stellt außerdem Compliance-Werkzeuge zur Verfügung, die diese Überprüfung erleichtern.
Wie führen Sie Ihre ENS-Selbstbewertung Schritt für Schritt durch?
Eine gut durchgeführte Selbstbewertung im grundlegenden Niveau folgt im Wesentlichen dieser Abfolge:
- Geltungsbereich festlegen. Definieren Sie, welches Informationssystem bewertet werden soll: welche Dienste, welche Informationen und welche Infrastruktur einbezogen sind.
- System kategorisieren. Bestätigen Sie, dass das System der Grundkategorie angehört, indem Sie die Sicherheitsdimensionen (Vertraulichkeit, Integrität, Rückverfolgbarkeit, Authentizität und Verfügbarkeit) bewerten. Steigt eine Dimension in eine höhere Stufe, kann das System die Grundkategorie verlassen.
- Risikoanalyse durchführen. Das ENS schreibt vor, Sicherheit risikobasiert zu verwalten. Im grundlegenden Niveau kann es sich um eine vereinfachte Analyse handeln — sie muss jedoch vorhanden und dokumentiert sein.
- Maßnahmen aus Anhang II prüfen. Gehen Sie systematisch alle für die Grundkategorie anwendbaren Maßnahmen durch und erfassen Sie, ob diese umgesetzt, teilweise umgesetzt oder noch ausstehend sind.
- Nachweise dokumentieren. Jede als umgesetzt markierte Maßnahme muss durch einen Nachweis belegt sein: ein Verfahren, eine Richtlinie, ein Protokoll, eine Konfiguration.
- Lücken schließen. Implementieren Sie ausstehende Maßnahmen, bevor Sie die Erklärung abgeben. Konformität zu erklären, während noch Lücken bestehen, ist der schwerwiegendste Fehler.
- Erklärung ausstellen und veröffentlichen. Unterzeichnen Sie die Konformitätserklärung und veröffentlichen Sie das offizielle Kennzeichen auf Ihrer Website oder Ihrem elektronischen Sitz.
Tabelle: Konformitätserklärung vs. Konformitätszertifikat im ENS
Diese Übersicht fasst die wesentlichen Unterschiede zwischen beiden Wegen zusammen:
| Aspekt | Konformitätserklärung | Konformitätszertifikat |
|---|---|---|
| Gültige Kategorien | Nur Grundkategorie | Grund-, mittlere und hohe Kategorie |
| Wer führt sie durch? | Die Organisation selbst (Selbstbewertung) | Von ENAC akkreditierte Zertifizierungsstelle |
| Externer Auditor? | Nein | Ja, verpflichtend |
| Ordentlicher Turnus | Mindestens alle 2 Jahre | Mindestens alle 2 Jahre |
| Zu veröffentlichendes Kennzeichen | Erklärungskennzeichen (Grundkategorie) | Zertifizierungskennzeichen (Systemkategorie) |
| Kosten | Gering (interne Ressourcen) | Höher (externe Prüfung) |
Was ist das ENS-Konformitätskennzeichen?
Das Konformitätskennzeichen ist das offizielle Siegel, das öffentlich bestätigt, dass ein System das ENS erfüllt. Es gibt ein Kennzeichen für die Erklärung und eines für die Zertifizierung; jedes spiegelt die Kategorie des Systems (Grund-, mittlere oder hohe Kategorie) wider. Das RD 311/2022 verpflichtet dazu, es auf der Website, dem Portal oder dem elektronischen Sitz der Organisation zu veröffentlichen: So können Dritte — Bürgerinnen und Bürger, Vergabestellen, andere Behörden — die Konformität nachprüfen. Das Kennzeichen ohne tatsächliche Konformität zu zeigen oder es nach Ablauf weiterhin zu verwenden, stellt eine Unregelmäßigkeit dar.
Wann lohnt sich eine Zertifizierung, obwohl Sie in der Grundkategorie sind?
Auch wenn im grundlegenden Niveau die Erklärung durch Selbstbewertung ausreicht, gibt es Situationen, in denen es sich lohnt, freiwillig eine externe Zertifizierung anzustreben:
- Für öffentliche Ausschreibungen. Manche Ausschreibungsunterlagen verlangen eine Zertifizierung selbst für Dienste der Grundkategorie oder bewerten sie mit mehr Punkten als die Erklärung. Wenn Ihr Geschäftsmodell von öffentlichen Aufträgen abhängt, verschafft Ihnen das Zertifikat eine stärkere Position.
- Zur Stärkung des Kundenvertrauens. Eine Erklärung unterzeichnet das Unternehmen selbst; ein Zertifikat wird von einem unabhängigen Dritten ausgestellt. Gegenüber anspruchsvollen Kunden bietet die Zertifizierung mehr Garantien.
- Wenn Sie mit einem Kategorienwechsel rechnen. Sollte Ihr System in absehbarer Zeit in die mittlere Kategorie wechseln — etwa durch wachsendes Datenvolumen oder steigende Sensibilität der verarbeiteten Informationen —, vermeiden Sie durch eine frühzeitige Zertifizierung, den Weg später vollständig neu beschreiten zu müssen.
Es handelt sich um keine Pflicht, aber es lohnt sich, diese Option zu prüfen, bevor Sie automatisch den kostengünstigeren Weg wählen. Die Erklärung spart heute Kosten; das Zertifikat kann Ihnen morgen entgangene Chancen ersparen.
Was kostet eine Selbstbewertung, und wie lange dauert sie?
Der größte Vorteil der Konformitätserklärung durch Selbstbewertung liegt in den Kosten: Da kein externer Auditor erforderlich ist, beschränken sich die Ausgaben auf die internen Ressourcen — oder auf den begleitenden Berater — für Kategorisierung, Risikoanalyse, Maßnahmenprüfung und Nachweisdokumentation. Es fällt keine Gebühr einer Zertifizierungsstelle an.
Die Dauer hängt vor allem vom Ausgangspunkt ab. Wenn die Organisation bereits über geordnete Richtlinien, Verfahren und Kontrollen verfügt, kann die Selbstbewertung eines Systems der Grundkategorie in wenigen Wochen abgeschlossen werden. Beginnt sie bei null, liegt der Zeitaufwand weniger in der Selbstbewertung selbst als in der Implementierung der noch ausstehenden Maßnahmen, die die Selbstbewertung zutage fördert: Sie können keine Konformität erklären, bevor diese Lücken geschlossen sind. Deshalb sollte man "sich selbst bewerten" nicht mit "ein Formular ausfüllen" verwechseln — der eigentliche Aufwand liegt darin, die Sicherheit tatsächlich umzusetzen.
Wie oft muss die Erklärung erneuert werden?
Das RD 311/2022 legt fest, dass die Konformitätsüberprüfung im Regelfall mindestens alle zwei Jahre durchzuführen ist. Das heißt: Die Selbstbewertung — ebenso wie die Zertifizierungsprüfung — hat eine zweijährige Gültigkeit. Es handelt sich nicht um ein einmalig erworbenes Siegel, das dauerhaft gilt. Spätestens alle zwei Jahre muss erneut geprüft werden, ob die Maßnahmen weiterhin umgesetzt sind und das System konform bleibt, und die Erklärung sowie ihr Kennzeichen müssen erneuert werden. Treten in diesem Zeitraum wesentliche Änderungen am System auf, ist die Überprüfung vorzuziehen. Details zum Überprüfungszyklus finden Sie in meinem Leitfaden zur Vorbereitung der ENS-Prüfung.
Häufige Fehler bei der ENS-Selbstbewertung im grundlegenden Niveau
Dies sind die Fehler, die ich am häufigsten beobachte, wenn eine Organisation zum ersten Mal eine Selbstbewertung durchführt:
- Fehlerhafte Systemkategorisierung. Anzunehmen, das System sei „grundlegend", ohne die Sicherheitsdimensionen korrekt bewertet zu haben. Ist eine Dimension auf mittlerem oder hohem Niveau, ist die Erklärung ungültig und eine Zertifizierung erforderlich.
- Erklärung ohne Risikoanalyse. Die Risikoanalyse ist im ENS nicht optional — auch nicht im grundlegenden Niveau.
- Maßnahmen als umgesetzt markieren ohne Nachweis. Eine Selbstbewertung ohne dokumentarische Belege ist nicht haltbar.
- Keine Aktualisierung. Die Selbstbewertung läuft nach zwei Jahren ab; ein veraltetes Kennzeichen beizubehalten bedeutet Nicht-Konformität.
- Kennzeichen nicht veröffentlichen. Die Konformität muss öffentlich nachgewiesen werden — das interne Dokument allein reicht nicht aus.
Wenn Ihr System wächst oder die Kategorie wechselt, empfehle ich auch, die Vorbereitung einer ENS-Prüfung zu lesen — denn dann wechseln Sie von der Selbstbewertung zur externen Zertifizierung.
Konformitätserklärung und Zusammenarbeit mit der öffentlichen Verwaltung
Für Privatunternehmen, die Dienstleistungen für den öffentlichen Sektor erbringen, ist die Konformitätserklärung oft der zugänglichste Einstiegsweg. Wenn die zu erbringende Leistung der Grundkategorie angehört und die Ausschreibungsunterlagen die Erklärung akzeptieren, können Sie Ihre Konformität nachweisen, ohne eine Zertifizierungsstelle einzuschalten — das senkt Kosten und verkürzt Fristen. Allerdings gilt: Jede Ausschreibung hat ihre eigenen Anforderungen. Bei manchen Vergaben — selbst für grundlegende Dienste — wird eine Zertifizierung verlangt oder mit mehr Punkten bewertet, weshalb es sich lohnt, die Ausschreibungsunterlagen genau zu lesen, bevor Sie den Nachweisweg wählen. Was Sie niemals tun sollten: eine Erklärung einreichen, wo die Ausschreibung ein Zertifikat verlangt — das führt zum Ausschluss. Wenn Sie sich mit der vorangehenden Kategorisierung befassen möchten — die darüber entscheidet, ob Sie erklären können oder zertifizieren müssen —, behandle ich dieses Thema in meinem Leitfaden zur ENS-Zertifizierung.
Fazit
Im grundlegenden Niveau ermöglicht Ihnen das ENS, die Konformität durch eine Erklärung nachzuweisen — mittels einer internen Selbstbewertung ohne externen Auditor —, die mindestens alle zwei Jahre zu erneuern und durch das offizielle Kennzeichen öffentlich nachzuweisen ist. In der mittleren und hohen Kategorie gibt es keinen Umweg: Die Konformität erfordert eine Zertifizierung durch eine akkreditierte Prüfung. Die Selbstbewertung ist zugänglich, aber kein symbolischer Akt: Sie erfordert eine korrekte Kategorisierung, eine Risikoanalyse, die Überprüfung der Maßnahmen aus Anhang II und die Sicherung von Nachweisen. Sorgfältig durchgeführt ist sie ein vollkommen valider Weg, um zu belegen, dass Ihre Organisation das Spanische Nationale Sicherheitsgrundgesetz erfüllt.
Häufig gestellte Fragen
Was ist die ENS-Konformitätserklärung?
Es ist das Dokument, mit dem eine Organisation formal erklärt, dass ihr System der Grundkategorie die ENS-Anforderungen erfüllt — nach einer internen Selbstbewertung. Es gilt ausschließlich in der Grundkategorie und muss durch Veröffentlichung des offiziellen Konformitätskennzeichens nachgewiesen werden.
Worin unterscheidet sie sich vom Konformitätszertifikat?
Die Erklärung basiert auf einer Selbstbewertung der Organisation selbst und gilt nur in der Grundkategorie. Das Zertifikat erfordert eine formelle Prüfung durch eine von ENAC akkreditierte Stelle und ist für alle Kategorien gültig — in der mittleren und hohen Kategorie ist es verpflichtend.
Kann ich mich im grundlegenden Niveau selbst bewerten?
Ja. Im grundlegenden Niveau lässt das ENS ein Selbstbewertungsverfahren zu, das die Konformität mindestens alle zwei Jahre überprüft. Es ist kein externer Auditor erforderlich, aber die Selbstbewertung muss real, dokumentiert und auf die Maßnahmen aus Anhang II des RD 311/2022 gestützt sein.
Was ist das ENS-Konformitätskennzeichen?
Es ist das offizielle Siegel, das die Konformität mit dem ENS öffentlich bestätigt. Es gibt ein Kennzeichen für die Erklärung und eines für die Zertifizierung, das jeweils die Systemkategorie widerspiegelt. Das RD 311/2022 verpflichtet zur Veröffentlichung auf der Website oder dem elektronischen Sitz der Organisation.
Quellen
- Real Decreto 311/2022, vom 3. Mai, zur Regelung des Spanischen Nationalen Sicherheitsgrundgesetzes (BOE-A-2022-7191) — Art. 38, Verfahren zur Feststellung der Konformität.
- CCN-CERT — Häufig gestellte Fragen zum ENS (ens.ccn.cni.es).
- AEPD — Konformitätserklärung mit dem Spanischen Nationalen Sicherheitsgrundgesetz.