Unternehmen, die gemäß dem Spanischen Nationalen Sicherheitsgrundgesetz (ENS) zertifiziert sind, können im öffentlichen Register eingesehen werden, das das Nationale Kryptologische Zentrum (CCN) auf seiner Governance-Plattform führt, zugänglich über die offizielle Website ens.ccn.cni.es. Dort sind sowohl Einrichtungen mit einer Konformitätserklärung (Basiskategorie, per Selbstbewertung) als auch solche mit einer Konformitätszertifizierung (Kategorien Mittel und Hoch, nach Prüfung durch eine von ENAC akkreditierte Stelle) aufgeführt. Wenn ein Unternehmen das ENS-Kennzeichen trägt, muss es in dieser offiziellen Liste nachprüfbar sein; und wenn Ihre Organisation dort erscheinen möchte, führt der Weg über die Anpassung an das ENS und die Einholung des zur Kategorie Ihres Systems passenden Konformitätsdokuments.
Was bedeutet es, dass ein Unternehmen ENS-zertifiziert ist?
Das ENS ist der Cybersicherheitsrahmen, der durch das Real Decreto 311/2022 vom 3. Mai geregelt wird. Es entstand für den öffentlichen Sektor, reicht jedoch unmittelbar in den Privatsektor hinein: Jedes Unternehmen, das Dienstleistungen für eine spanische öffentliche Verwaltung erbringt oder ihr technologische Lösungen liefert, die Informationen im Anwendungsbereich des ENS verarbeiten, muss nachweisen, dass es die Anforderungen erfüllt. Dieser Nachweis erfolgt nicht mündlich. Er konkretisiert sich in einem offiziellen Konformitätsdokument und einem Kennzeichen, das die Einrichtung veröffentlicht und das jedermann überprüfen kann.
Wenn jemand behauptet, „das ENS zu haben", sagt er damit in Wirklichkeit eine von zwei Dingen. Entweder hat er eine Konformitätserklärung abgegeben, die nur für Systeme der Basiskategorie gilt und auf einer Selbstbewertung unter eigener Verantwortung beruht; oder er hat eine Konformitätszertifizierung erhalten, die für die Kategorien Mittel und Hoch obligatorisch ist und eine Prüfung durch eine akkreditierte Zertifizierungsstelle erfordert. Das sind zwei sehr unterschiedliche Garantieniveaus, und es lohnt sich zu wissen, mit welchem der Kunde, der Bürger oder die Vergabestelle, die einen Auftragnehmer prüft, konfrontiert ist.
In meiner Arbeit, Unternehmen auf dem Weg zum ENS zu begleiten, ist dies das Erste, was ich kläre. Es ist nicht dasselbe zu sagen „wir haben uns selbst bewertet und glauben, dass wir die Anforderungen erfüllen", wie „ein unabhängiger, vom nationalen Akkreditierungsorgan akkreditierter Prüfer hat verifiziert, dass wir die Anforderungen erfüllen". Beide Formen sind legitim und in der Norm vorgesehen, entsprechen aber unterschiedlichen Risiko- und Anforderungsniveaus. Wenn Sie den vollständigen Rahmen verstehen möchten, erläutere ich ihn in meinem vollständigen Leitfaden zum Spanischen Nationalen Sicherheitsgrundgesetz.
Wo kann ich ENS-zertifizierte Unternehmen einsehen?
Der zentrale Anlaufpunkt ist die offizielle Website des Nationalen Kryptologischen Zentrums, ens.ccn.cni.es. Über den Konformitätsbereich gelangt man zum Entitätenregister, das das CCN über seine Governance-Plattform veröffentlicht. Dieses Register enthält die Einrichtungen, die dem CCN ihre Konformitätserklärung oder -zertifizierung mitgeteilt haben, und ermöglicht deren Filterung und Abfrage.
Das Verzeichnis unterscheidet nach Systemkategorie (Basis, Mittel und Hoch) und nach Organisationstyp: Allgemeine Staatsverwaltung, autonome Gemeinschaften, lokale Körperschaften, Universitäten, institutioneller öffentlicher Sektor und – was für jene, die private Auftragnehmer suchen, am interessantesten ist – eine spezifische Kategorie zertifizierter Unternehmen. Für jede Einrichtung können Informationen wie das Datum des ersten Zertifikats, das Konformitätsdatum und gegebenenfalls Erneuerungen eingesehen werden. Es ist in der Praxis das Werkzeug, um nachzuprüfen, ob ein Auftragnehmer, der mit dem ENS wirbt, tatsächlich als konform eingetragen ist.
Ein wichtiger Hinweis: Nicht jedes Unternehmen, das die ENS-Anforderungen erfüllt, ist verpflichtet, mit seinem Handelsnamen in einem Suchsystem so sichtbar zu sein, wie man es von einem Handelsverzeichnis erwarten würde. Die zentrale gesetzliche Verpflichtung besteht darin, das entsprechende Kennzeichen auf der Website, dem Portal oder dem elektronischen Sitz der Organisation zu veröffentlichen und die Zertifizierung dem CCN mitzuteilen. Wenn Sie daher einen Dritten überprüfen möchten, empfiehlt es sich, zwei Quellen abzugleichen: die eigene Website des Auftragnehmers (wo das Kennzeichen sichtbar sein muss) und das CCN-Register. Falls es nur in einer davon erscheint, sollten Sie nachfragen.
Was ist das ENS-Konformitätskennzeichen und wie wird es verwendet?
Das Konformitätskennzeichen ist das visuelle Siegel, das den Konformitätsstatus eines bestimmten Systems belegt. Die ENS-Norm und die CCN-Leitfäden unterscheiden zwei Familien:
- Kennzeichen der Konformitätserklärung. Es wird von der für das System verantwortlichen Einrichtung selbst erstellt und veröffentlicht und gilt nur für Systeme der Basiskategorie. Es spiegelt eine Selbstbewertung wider, keine externe Überprüfung.
- Kennzeichen der Konformitätszertifizierung. Es begleitet die nach einer Prüfung erhaltene Zertifizierung, die für die Kategorien Mittel und Hoch obligatorisch ist. Neben ihm erscheint die Kennzeichnung der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
Darüber hinaus gibt es ein Kennzeichen, das die von ENAC akkreditierten Zertifizierungsstellen zur Bewertung und Zertifizierung im Rahmen des ENS ausweist. Das bedeutet: Nicht jeder kann zertifizieren – die prüfende Stelle muss akkreditiert sein, und diese Akkreditierung ist genau das, was dem Siegel seinen Wert verleiht. Wenn Sie ein Zertifizierungskennzeichen sehen, achten Sie darauf, wer es unterstützt; darin liegt der Unterschied zwischen einem Siegel mit Garantie und einer Etikette ohne Substanz.
Die Verwendung des Kennzeichens ist nicht dekorativ. Die Organisation veröffentlicht es, um ihren Konformitätsstatus gegenüber Dritten nachzuweisen, und dieser Status muss real, gültig und überprüfbar sein. Ein Kennzeichen, das im CCN-Register nicht nachgeprüft werden kann oder das zu einem System gehört, dessen Zertifikat abgelaufen ist, ist ein Warnsignal.
Wie wird die ENS-Konformität überprüft?
Die Überprüfung ist ein dreistufiger Prozess, dem jeder ohne technische Kenntnisse folgen kann:
- Suchen Sie das Kennzeichen. Auf der Website, dem Portal oder dem elektronischen Sitz des Unternehmens muss das ENS-Siegel mit der Systemkategorie (Basis, Mittel oder Hoch) und – bei Zertifizierung – der Zertifizierungsstelle sichtbar sein.
- Identifizieren Sie, was zertifiziert wird. Das ENS gilt für Informationssysteme, nicht generisch für das gesamte Unternehmen. Stellen Sie sicher, dass der Geltungsbereich des Zertifikats den für Sie relevanten Dienst abdeckt und nicht ein anderes System derselben Organisation.
- Gleichen Sie im CCN-Register ab. Gehen Sie auf ens.ccn.cni.es und das dortige Entitätenregister, um zu bestätigen, dass die Organisation mit der angegebenen erklärten oder zertifizierten Konformität in der angegebenen Kategorie eingetragen ist und dass die Daten kohärent und aktuell sind.
Dieser Abgleich vermeidet das häufigste Risiko: ein Siegel als gültig anzuerkennen, das zwar auf einer Website erscheint, aber keine registerliche Grundlage hat, abgelaufen ist oder einen Geltungsbereich betrifft, der nicht der des beauftragten Dienstes ist. Bei einer Ausschreibung oder der Due Diligence eines Vertrags kann diese fünfminütige Prüfung ernsthafte Probleme im Nachhinein vermeiden.
Erklärung versus Zertifizierung: der am häufigsten verwechselte Unterschied
Dies ist die Tabelle, die ich verwende, um es auf einen Blick zu erklären. Sie fasst die beiden ENS-Konformitätswege zusammen und erklärt, warum sie nicht austauschbar sind.
| Kriterium | Konformitätserklärung | Konformitätszertifizierung |
|---|---|---|
| Anwendbare Kategorie | Nur Kategorie BASIS | Kategorien MITTEL und HOCH (obligatorisch); auch freiwillig bei BASIS möglich |
| Wer validiert sie | Die Einrichtung selbst, per Selbstbewertung unter eigener Verantwortung | Eine von ENAC akkreditierte Zertifizierungsstelle, per Prüfung |
| Periodizität | Ordentliche Selbstbewertung mindestens alle 2 Jahre | Ordentliche Zertifizierungsprüfung mindestens alle 2 Jahre |
| Kennzeichen | Kennzeichen der Konformitätserklärung | Kennzeichen der Konformitätszertifizierung, mit Angabe der Zertifizierungsstelle |
| Wo es erscheint | Website/Sitz der Einrichtung und Mitteilung an das CCN; abfragbar im CCN-Register | Website/Sitz der Einrichtung und Mitteilung an das CCN; abfragbar im CCN-Register |
| Aufwand und Garantie | Geringerer Aufwand, Garantie basiert auf der eigenen Organisation | Höherer Aufwand, verstärkte Garantie durch unabhängige akkreditierte Prüfung |
Der praktische Kern: Die Systemkategorie bestimmt den Weg. Wenn Ihr System der Kategorie Mittel oder Hoch angehört, reicht die Selbstbewertung nicht aus – Sie benötigen eine geprüfte Zertifizierung. Und wenn ein Auftragnehmer Ihnen eine Konformitätserklärung für einen Dienst vorlegt, der seiner Art nach in die Kategorie Mittel oder Hoch fallen sollte, liegt dort eine Inkohärenz vor, die Fragen aufwirft.
Wie lange gilt das Zertifikat und was gilt für Prüfungen?
Das Real Decreto 311/2022 sieht vor, dass Systeme im ENS-Anwendungsbereich mindestens alle zwei Jahre einer ordentlichen Regelprüfung unterzogen werden. Für die Kategorien Mittel und Hoch ist diese Prüfung die Grundlage der Konformitätszertifizierung; für Basis wird die Selbstbewertung in demselben zweijährigen Rhythmus überprüft. In der Praxis bedeutet das, dass ein Zertifikat keine ewige Gültigkeit hat: Es hat eine an diesen Zweijahresrhythmus gebundene Laufzeit und muss durch eine neue Prüfung erneuert werden, die bestätigt, dass das System weiterhin konform ist.
Deshalb sind die Daten bei der Überprüfung eines Dritten genauso wichtig wie das Siegel selbst. Ein vier Jahre altes Kennzeichen ohne Hinweis auf eine Erneuerung weist keine aktuelle Konformität nach. Das CCN-Register zeigt die Konformitäts- und Erneuerungsdaten genau deshalb an, damit diese Nachverfolgung möglich ist. Die ENS-Konformität ist keine Momentaufnahme, sondern eine Verpflichtung, die durch periodische Prüfungen, kontinuierliches Risikomanagement und Aktualisierung der Sicherheitsmaßnahmen aufrechterhalten wird.
Wie erscheint mein Unternehmen in der Liste der zertifizierten Einrichtungen?
Wenn Ihr Ziel darin besteht, als konforme Einrichtung eingetragen zu sein – sei es aufgrund vertraglicher Verpflichtungen gegenüber dem öffentlichen Sektor oder aus kommerziellen Gründen – ist der Weg in seiner Logik klar, auch wenn er Arbeit erfordert:
- Kategorisieren Sie Ihre Systeme. Identifizieren Sie, welche Informationssysteme betroffen sind, und bestimmen Sie deren Kategorie (Basis, Mittel oder Hoch) anhand der Auswirkungen auf die Sicherheitsdimensionen. Das entscheidet, ob Ihr Weg eine Erklärung oder eine Zertifizierung ist.
- Passen Sie sich an das ENS an. Implementieren Sie die Sicherheitsmaßnahmen, die der Rahmen für Ihre Kategorie erfordert: Sicherheitspolitik, Risikoanalyse, organisatorische, operative und Schutzmaßnahmen. Das ist die längste Phase und die mit dem größten Mehrwert.
- Erklären oder zertifizieren Sie sich. Für Basis: Führen Sie die Selbstbewertung durch und geben Sie Ihre Konformitätserklärung ab. Für Mittel oder Hoch: Beauftragen Sie eine von ENAC akkreditierte Zertifizierungsstelle, Ihr System zu prüfen und das Zertifikat auszustellen.
- Veröffentlichen Sie das Kennzeichen und teilen Sie es dem CCN mit. Bringen Sie das Konformitätssiegel auf Ihrer Website oder Ihrem elektronischen Sitz an und teilen Sie die Zertifizierung dem CCN mit. Das ermöglicht es, dass Ihre Einrichtung im abfragbaren Register erscheint.
- Erhalten Sie die Gültigkeit aufrecht. Erneuern Sie die Zertifizierung durch eine Prüfung mindestens alle zwei Jahre und verwalten Sie die Sicherheit kontinuierlich, um die Konformität nicht zu verlieren.
Überspringen Sie nicht die anfängliche Kategorisierung: Ich habe Projekte erlebt, die sich verteuert und verzögert haben, weil der Geltungsbereich zu Beginn falsch dimensioniert wurde. Wenn Sie die Details zu Phasen, Anforderungen und Größenordnung der Investition sehen möchten, erläutere ich sie in meinem Artikel über den ENS-Zertifizierungsprozess, Anforderungen und Kosten. Und wenn Sie wissen möchten, ob Ihr Unternehmen aufgrund seiner Beziehung zum öffentlichen Sektor wirklich verpflichtet ist, kläre ich das in wann das ENS für Unternehmen und Auftragnehmer verpflichtend ist.
ENS und ISO 27001: warum Sie nach beiden gefragt werden
Es ist häufig, dass ein und dasselbe Leistungsverzeichnis oder ein und derselbe Kunde gleichzeitig das ENS und die ISO/IEC 27001-Zertifizierung fordert. Es sind kompatible, aber unterschiedliche Rahmen: Das ENS ist ein nationales Schema mit verbindlichem Charakter für jene, die mit der spanischen öffentlichen Verwaltung zusammenarbeiten, mit gesetzlich festgelegten Kategorien und Maßnahmen; ISO 27001 ist ein internationaler Standard, freiwillig, der auf einem Informationssicherheitsmanagementsystem basiert. Ein Großteil der Kontrollarbeit überschneidet sich, sodass eine Organisation mit einem ausgereiften ISMS einen Vorteil beim Angehen des ENS hat – und umgekehrt. In realen Projekten plane ich sie gemeinsam, um gemeinsame Nachweise und Prüfungen zu nutzen und den Aufwand zu reduzieren.
Wie ich Ihnen helfe, ins ENS-Register zu gelangen
Ich begleite Unternehmen auf dem gesamten Weg: von der Systemkategorisierung und Risikoanalyse bis zur Anpassung, Prüfungsvorbereitung und Veröffentlichung des Kennzeichens. Ich arbeite persönlich und remote von Castilla y León und den Kanarischen Inseln aus sowie dezentralisiert für das restliche Spanien. Wenn Ihr Unternehmen als ENS-konform eingetragen werden möchte oder Sie Ihre eigenen Auftragnehmer vor der Beauftragung überprüfen müssen, kann ich Ihnen helfen, es richtig und beim ersten Mal zu tun. Einzelheiten dazu finden Sie in meinem Dienst für ENS-Beratung und -Implementierung, und Sie können mir über die Kontaktseite schreiben.
Häufig gestellte Fragen
Wo kann ich ENS-zertifizierte Unternehmen einsehen?
Im Entitätenregister, das das Nationale Kryptologische Zentrum (CCN) über seine offizielle Website ens.ccn.cni.es und seine Governance-Plattform veröffentlicht. Dort können Einrichtungen mit erklärter oder zertifizierter Konformität abgefragt, nach Kategorie (Basis, Mittel, Hoch) und Organisationstyp gefiltert werden – einschließlich einer spezifischen Kategorie für zertifizierte Unternehmen – sowie Zertifizierungs- und Erneuerungsdaten eingesehen werden.
Was bedeutet es, wenn ein Unternehmen das ENS besitzt?
Es bedeutet, dass ein Informationssystem dieses Unternehmens die Anforderungen des ENS erfüllt und diese Erfüllung in einem offiziellen Konformitätsdokument formalisiert wurde. Bei der Basiskategorie durch eine auf Selbstbewertung basierende Erklärung; bei Mittel oder Hoch durch eine Zertifizierung nach einer Prüfung durch eine von ENAC akkreditierte Stelle. Es entspricht nicht dem Nachweis, dass das gesamte Unternehmen sicher ist: Was nachgewiesen wird, ist das konkrete, im Geltungsbereich enthaltene System.
Wie wird die ENS-Konformität überprüft?
Suchen Sie das Konformitätskennzeichen auf der Website oder dem elektronischen Sitz des Unternehmens, überprüfen Sie, welches System und welche Kategorie es abdeckt, und gleichen Sie diese Informationen im CCN-Register unter ens.ccn.cni.es ab. Überprüfen Sie auch die Daten, da die Konformität an den zweijährigen Prüfzyklus gebunden ist und mindestens alle zwei Jahre erneuert werden muss.
Was ist der Unterschied zwischen Konformitätserklärung und -zertifizierung?
Die Konformitätserklärung gilt nur für die Basiskategorie und basiert auf einer Selbstbewertung der Einrichtung selbst. Die Konformitätszertifizierung ist für die Kategorien Mittel und Hoch obligatorisch, erfordert eine von einer von ENAC akkreditierten Zertifizierungsstelle durchgeführte Prüfung und bietet eine durch diese unabhängige Überprüfung gestärkte Garantie.
Wie oft muss das ENS-Zertifikat erneuert werden?
Das Real Decreto 311/2022 sieht eine ordentliche Regelprüfung mindestens alle zwei Jahre vor. Bei den Kategorien Mittel und Hoch stützt diese Prüfung die Zertifizierung, und für Basis wird die Selbstbewertung im selben zweijährigen Rhythmus überprüft. In der Praxis muss das Zertifikat alle zwei Jahre erneuert werden, um die aktuelle Konformität aufrechtzuerhalten.
Wie erscheint mein Unternehmen in der Liste der zertifizierten Einrichtungen?
Kategorisieren Sie Ihre Systeme, passen Sie sich den ENS-Maßnahmen an, erhalten Sie die Erklärung (Basis) oder die geprüfte Zertifizierung (Mittel/Hoch), veröffentlichen Sie das Kennzeichen auf Ihrer Website oder Ihrem elektronischen Sitz und teilen Sie die Zertifizierung dem CCN mit. Diese Mitteilung ermöglicht es, dass Ihre Einrichtung im abfragbaren Register erscheint. Erneuern Sie danach die Konformität mindestens alle zwei Jahre.
Ist das ENS für mein Unternehmen verpflichtend, wenn ich mit der Verwaltung zusammenarbeite?
Im Allgemeinen ja: Privatunternehmen, die Dienstleistungen erbringen oder Lösungen an dem ENS unterliegende Einrichtungen des öffentlichen Sektors liefern, müssen die Konformität der betreffenden Systeme nachweisen. Die geforderte Kategorie – und damit ob Sie eine Erklärung oder Zertifizierung benötigen – hängt vom Dienst und den verarbeiteten Informationen ab. Es empfiehlt sich, das Leistungsverzeichnis oder den Vertrag zu prüfen und die Kategorisierung von Anfang an sorgfältig vorzunehmen.
Quellen
- BOE. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
- CCN. ENS — Konformität (offizielle Website ens.ccn.cni.es)
- CCN. ENS — Konformitätskennzeichen
- CCN. ENS — Zertifizierung und Zertifizierungsstellen
- CCN. Öffentliches Register der Einrichtungen mit ENS-Konformität
- CCN-CERT. Leitfaden CCN-STIC 809: Konformitätserklärung und -zertifizierung mit dem ENS