Das Spanische Nationale Sicherheitsgrundgesetz (ENS) entstand mit dem Real Decreto 3/2010, de 8 de enero, veröffentlicht im BOE am 29. Januar 2010 zur Umsetzung von Artikel 42 des Gesetzes 11/2007. Jene Norm wurde grundlegend durch das Real Decreto 951/2015 geändert und gilt heute als aufgehoben: Seit dem 5. Mai 2022 regelt das Real Decreto 311/2022, de 3 de mayo das ENS. Wenn Sie nach dem RD 3/2010 suchen, gilt für Sie heute das RD 311/2022. In diesem Artikel zeige ich, wie sich das ENS entwickelt hat, was sich in jeder Version geändert hat und warum die Aktualisierungen erfolgten.
Was war das Real Decreto 3/2010 und warum ist seine Geschichte wichtig?
Wenn jemand nach dem "Real Decreto 3/2010 zum ENS" fragt, kommt das fast immer aus einer veralteten Ausschreibung, einem nicht aktualisierten internen Handbuch oder einer jahrelang weitergegebenen Suchanfrage. Das ist verständlich: Das RD 3/2010 war die Gründungsnorm des Spanischen Nationalen Sicherheitsgrundgesetzes und über zwölf Jahre lang die Referenz in der elektronischen Verwaltungssicherheit. Seine Geschichte zu kennen ist keine juristische Archäologie: Sie hilft zu verstehen, warum das ENS so strukturiert ist, wie es ist, welche Probleme jede Reform lösen sollte und – vor allem – den Fehler zu vermeiden, einen nicht mehr gültigen Text anzuwenden.
Das ENS ist das Rahmenwerk, das die Grundprinzipien und Mindestanforderungen für den Schutz von Informationen und Diensten der öffentlichen Verwaltungen und zunehmend ihrer Technologieanbieter festlegt. Wenn Sie einen Gesamtüberblick über den aktuellen Rahmen suchen, habe ich eine vollständige ENS-Übersicht verfasst; hier konzentriere ich mich auf das, was kaum jemand gut erklärt: die Zeitlinie der Norm.
2010: Die Geburt des ENS mit dem RD 3/2010
Das Real Decreto 3/2010, de 8 de enero, das das Spanische Nationale Sicherheitsgrundgesetz im Bereich der elektronischen Verwaltung regelte, wurde im BOE Nr. 25 vom 29. Januar 2010 (Referenz BOE-A-2010-1330) veröffentlicht und trat am folgenden Tag in Kraft. Seine Entstehung war kein isolierter Akt: Es entsprach einem konkreten gesetzlichen Auftrag.
Dieser Auftrag stand in Artikel 42 des Gesetzes 11/2007, de 22 de junio, über den elektronischen Zugang der Bürger zu öffentlichen Diensten (dem bekannten LAECSP). Absatz 2 dieses Artikels sah die Schaffung eines Nationalen Sicherheitsschemas vor, dessen Ziel die Festlegung einer Sicherheitspolitik bei der Nutzung elektronischer Mittel sein sollte. Mit anderen Worten: Der Gesetzgeber von 2007 sagte "Wir brauchen ein gemeinsames Sicherheitsschema für die gesamte digitale Verwaltung" und die Regierung setzte dies drei Jahre später mit dem RD 3/2010 reglementarisch um.
Was brachte jener Text? Zum ersten Mal in Spanien wurde eine gemeinsame Sicherheitssprache für den öffentlichen Sektor festgelegt: Grundprinzipien (risikobasiertes Sicherheitsmanagement, Prävention, Reaktion und Wiederherstellung, Verteidigungslinien, regelmäßige Neubewertung), Mindestanforderungen und ein nach Stufen organisierter Katalog von Sicherheitsmaßnahmen. Das ENS führte die Idee ein, Systeme nach dem Schadenspotenzial eines Vorfalls auf fünf Dimensionen zu kategorisieren – Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und Nachverfolgbarkeit – und proportionale Maßnahmen auf die jeweilige Kategorie (Basis, Mittel oder Hoch) anzuwenden. Diese Proportionalitätslogik gilt bis heute und ist eines der großen Designstärken, die das RD 3/2010 hinterlassen hat.
2015: Das Real Decreto 951/2015 – die erste große Reform
Fünf Jahre später kam die erste tiefgreifende Reform. Das Real Decreto 951/2015, de 23 de octubre, zur Änderung des Real Decreto 3/2010 wurde im BOE Nr. 264 vom 4. November 2015 (Referenz BOE-A-2015-11881) veröffentlicht. Es hob das ENS nicht auf, sondern änderte es, um es nach fünf Jahren technologischer und normativer Veränderungen zu aktualisieren.
Was bewegte das RD 951/2015? Drei Punkte, die es wert sind, hervorgehoben zu werden:
Erstens verknüpfte es ausdrücklich die Sicherheitstechnischen Anweisungen und die CCN-STIC-Leitfäden. Bis dahin hatten diese Leitfäden des Centro Criptológico Nacional (CCN) eine diffuse Orientierungsrolle. Die Reform klärte, dass bestimmte technische Anweisungen für die Verwaltungen verbindlich wären und Fragen wie den Sicherheitsstatusbericht, die Vorfallsmeldung, die Konformität oder die Beschaffung von Sicherheitsprodukten regeln würden. Hier wurde der Grundstein für das Leitfadenökosystem gelegt, das heute für die ENS-Implementierung unverzichtbar ist.
Zweitens stärkte es die Rolle des CCN-CERT, der Vorfallsreaktionskapazität des Centro Criptológico Nacional, als Koordinierungsreferenz gegenüber auf den öffentlichen Sektor gerichteten Cyberbedrohungen.
Drittens aktualisierte es Anhang II der Maßnahmen und vereinfachte Anhang III zum Prüfwesen und richtete das ENS am europäischen Kontext aus, insbesondere an der Verordnung (EU) 910/2014 (eIDAS) über elektronische Identifizierung und Vertrauensdienste. Die Begründung des RD 951/2015 war transparent über seinen Zweck: den Schutz der Verwaltungen gegenüber Cyberbedrohungen zu stärken, die sich viel schneller entwickelten als die Norm.
Wichtig zu verstehen: Während des Zeitraums 2015-2022 meinte "das ENS" das RD 3/2010 in seiner durch das RD 951/2015 geänderten Fassung. Es war dieselbe Norm, nicht zwei unterschiedliche Schemas.
2022: Das Real Decreto 311/2022 hebt das RD 3/2010 auf
Der Wendepunkt kam im Mai 2022. Das Real Decreto 311/2022, de 3 de mayo, das das Spanische Nationale Sicherheitsgrundgesetz regelt, wurde im BOE Nr. 106 vom 4. Mai 2022 (Referenz BOE-A-2022-7191) veröffentlicht und trat am 5. Mai 2022 in Kraft. Seine Aufhebungsbestimmung war eindeutig: Es hebt das Real Decreto 3/2010, de 8 de enero, und alle Bestimmungen gleichen oder niedrigeren Rangs auf, die dem Neuen entgegenstehen.
Es gibt ein juristisches Detail, das fast niemand erwähnt und das für das Verständnis der Geschichte entscheidend ist. Das RD 3/2010 entstand aus Artikel 42 des Gesetzes 11/2007. Aber das Gesetz 11/2007 wurde 2015 durch die Gesetze 39/2015 und 40/2015 aufgehoben. Das RD 311/2022 wird nicht mehr auf das alte LAECSP gestützt, sondern auf Artikel 156 des Gesetzes 40/2015, de 1 de octubre, über das öffentlich-rechtliche Regime des öffentlichen Sektors, wo heute die gesetzliche Ermächtigung des ENS sitzt. Die Reform von 2022 war also nicht nur eine technische Aktualisierung, sondern auch eine Erneuerung der rechtlichen Grundlagen des Schemas.
Was hat sich inhaltlich 2022 geändert?
Das RD 311/2022 war kein bloßes Facelifting. Es verfolgt drei erklärte Hauptziele: das ENS an den geltenden normativen Rahmen und den strategischen Kontext anzupassen, die Fähigkeit einzuführen, seine Anforderungen an bestimmte Gruppen oder Systemtypen anzupassen, und eine bessere Reaktion auf Cyberbedrohungen zu ermöglichen. Dies sind die Änderungen mit dem größten praktischen Einfluss:
Die 73 in drei Rahmen reorganisierten Maßnahmen. Anhang II des RD 311/2022 strukturiert die Sicherheitsmaßnahmen in drei Blöcke: den organisatorischen Rahmen (wie Sicherheit geführt wird: Politik, Normenwesen, Verfahren, Genehmigung), den operativen Rahmen (wie Systeme täglich verwaltet werden: Planung, Zugangskontrolle, Betrieb, Kontinuität, Überwachung) und die Schutzmaßnahmen (technische Kontrollen über Einrichtungen, Personal, Geräte, Kommunikation, Medien, Anwendungen, Informationen und Dienste). Insgesamt 73 Maßnahmen, die den früheren Katalog mit klarerer Logik ersetzen.
Spezifische Erfüllungsprofile. Das ist für mich die nützlichste Neuerung. Artikel 30 des RD 311/2022 ermächtigt Erfüllungsprofile, die an konkrete Einrichtungskategorien oder Systemtypen angepasst sind, sodass das ENS proportional angewendet werden kann, ohne auf das Schutzniveau zu verzichten. Das öffnete die Tür zu Profilen für kleine Gemeindeverwaltungen oder bestimmte Dienste – etwas, das das RD 3/2010 mit dieser Flexibilität nicht vorsah.
Stärkung der Lieferkette. Das neue ENS konzentriert sich auf die Sicherheit der Anbieter und Unterauftragnehmer und erkennt an, dass viele Vorfälle über Dritte eintreten. Deshalb hat sich die ENS-Konformität de facto auf Unternehmen ausgeweitet, die der Verwaltung Dienste erbringen.
Kontinuierliche Überwachung und Vigilanz. Das Prinzip der kontinuierlichen Überwachung und dauerhaften Neubewertung wird stärker einbezogen, gegenüber dem statischen Bild, das den ursprünglichen Ansatz dominierte.
Vorfallsmeldungssystem. Das ENS von 2022 regelt die Meldung an CCN-CERT mit Fristen nach dem Schweregrad des Vorfalls, was die Reaktion auf Angriffe professionalisiert.
Zeitlinie des ENS: RD 3/2010 → RD 951/2015 → RD 311/2022
Für einen Überblick die vollständige Entwicklung des Spanischen Nationalen Sicherheitsgrundgesetzes mit im BOE verifizierten normativen Referenzen:
| Norm | BOE-Datum | Gesetzliche Grundlage | Wichtigste Neuerungen | Aktueller Status |
|---|---|---|---|---|
| RD 3/2010, de 8 de enero | BOE Nr. 25, 29.01.2010 | Art. 42 Gesetz 11/2007 (LAECSP) | Schafft das ENS: Grundprinzipien, Mindestanforderungen, Systemkategorisierung und stufenweise Maßnahmen | Aufgehoben seit 05.05.2022 |
| RD 951/2015, de 23 de octubre | BOE Nr. 264, 04.11.2015 | Ändert RD 3/2010 | Verbindliche CCN-STIC-Leitfäden, Stärkung CCN-CERT, Aktualisierung Anhang II, Angleichung an eIDAS | Wirkungslos: änderte eine aufgehobene Norm |
| RD 311/2022, de 3 de mayo | BOE Nr. 106, 04.05.2022 | Art. 156 Gesetz 40/2015 (LRJSP) | 73 Maßnahmen in 3 Rahmen, Erfüllungsprofile, Lieferkette, kontinuierliche Überwachung | Gültig |
Die Lektüre ist einfach: Es gibt heute nur ein lebendes ENS, das des RD 311/2022. Das RD 3/2010 und seine Änderung von 2015 sind normative Geschichte, nützlich für das Verständnis des Ursprungs, aber nicht als Anforderung anwendbar.
Warum wurde das Spanische Nationale Sicherheitsgrundgesetz aktualisiert?
Wenn ein Auftraggeber fragt, warum eine "funktionierende" Norm geändert werden musste, nenne ich in der Regel drei Gründe. Der erste ist technologisch: 2010 waren Cloud, Massenmobilität, durch Dritte verwaltete Dienste und professionalisiertes Ransomware nicht das, was sie heute sind. Ein Schema, das für eine überwiegend On-Premise-Verwaltung konzipiert wurde, reichte gegenüber verteilten Diensten und professionellen Bedrohungen nicht aus.
Der zweite Grund ist rechtlicher Natur. Das Gesetz 11/2007, das das RD 3/2010 trug, verschwand 2015. Eine Verordnung beizubehalten, die von einem aufgehobenen Gesetz abhängt, ist mindestens unbequem. Das RD 311/2022 verankert das ENS im Gesetz 40/2015, dem natürlichen Sitz des öffentlich-rechtlichen Regimes und seiner elektronischen Beziehungen.
Der dritte ist strategisch. Das ENS hörte auf, eine rein interne Verwaltungsangelegenheit zu sein, und wurde zu einem nationalen Cybersicherheitshebel, der das gesamte Anbieterökosystem mitreißt. Die Reform von 2022 übernimmt diese Realität: Sie weitet ihren Einfluss auf die Lieferkette aus und koordiniert sich besser mit dem europäischen Rahmen (NIS-Richtlinie, später NIS2) und den übrigen Cybersicherheitspflichten. In der Praxis macht das das ENS zu einer Geschäftsanforderung für viele Privatunternehmen, nicht nur zu einer Pflicht öffentlicher Stellen.
Wenn Sie das RD 3/2010 suchten, das müssen Sie jetzt tun
Ich bin sehr direkt, weil das der Fehler ist, den ich am häufigsten sehe. Wenn Sie über eine Ausschreibung, eine Vorlage oder einen Kurs hierher gelangt sind, der das "Real Decreto 3/2010" zitiert, arbeiten Sie nicht mit jenem Text: Er ist aufgehoben. Überprüfen Sie das Datum Ihrer internen Dokumente und migrieren Sie alle Verweise auf das RD 311/2022. Eine Ausschreibung, die noch die "Erfüllung des RD 3/2010" verlangt, verlangt technisch eine inexistente Norm, was zu Auslegungsproblemen führen kann.
Wenn Ihre Organisation das gültige ENS einführen oder ihre Konformität erneuern muss, hat sich das Verfahren gegenüber 2010 geändert: Es stützt sich heute auf Erfüllungsprofile, auf aktualisierte CCN-STIC-Leitfäden und ein reiferes Zertifizierungsschema. Das erkläre ich Schritt für Schritt im Artikel zur ENS-Zertifizierung: Prozess, Anforderungen und Kosten.
Häufig gestellte Fragen
Gilt das RD 3/2010 noch?
Nein. Das Real Decreto 3/2010, de 8 de enero, wurde durch die Aufhebungsbestimmung des Real Decreto 311/2022, de 3 de mayo, das am 5. Mai 2022 in Kraft trat, ausdrücklich aufgehoben. Seit diesem Datum ist das einzige anwendbare Spanische Nationale Sicherheitsgrundgesetz das des RD 311/2022. Jedes Dokument, das noch das RD 3/2010 verlangt, ist nicht aktuell.
Was ist der Unterschied zwischen RD 3/2010 und RD 311/2022?
Das RD 3/2010 war die Gründungsnorm des ENS, gestützt auf Artikel 42 des Gesetzes 11/2007. Das RD 311/2022 hebt es auf und ersetzt es, gestützt auf Artikel 156 des Gesetzes 40/2015. Technisch reorganisiert das von 2022 die Maßnahmen in 73 Kontrollen, gegliedert in drei Rahmen (organisatorisch, operativ und Schutz), führt spezifische Erfüllungsprofile ein, stärkt die Lieferkettensicherheit und kontinuierliche Überwachung und stimmt sich mit dem europäischen Cybersicherheitsrahmen ab.
Wann wurde das ENS geschaffen?
Das Spanische Nationale Sicherheitsgrundgesetz wurde formell mit dem Real Decreto 3/2010, de 8 de enero, geschaffen, veröffentlicht im BOE vom 29. Januar 2010. Sein rechtlicher Ursprung liegt in Artikel 42 des Gesetzes 11/2007, de 22 de junio, das 2007 bereits die Notwendigkeit eines gemeinsamen Sicherheitsschemas für die elektronische Verwaltung vorsah.
Warum wurde das Spanische Nationale Sicherheitsgrundgesetz aktualisiert?
Aus drei kombinierten Gründen: der technologischen Entwicklung (Cloud, Mobilität, Drittanbieterdienste, professionalisierte Cyberbedrohungen), die das Design von 2010 veraltete; der Änderung des rechtlichen Rahmens, da das Gesetz 11/2007, das das RD 3/2010 trug, 2015 aufgehoben und die Ermächtigung auf das Gesetz 40/2015 übertragen wurde; und der strategischen Notwendigkeit, die Sicherheit auf die Lieferkette auszuweiten und sich besser mit dem europäischen Cybersicherheitsrahmen zu koordinieren.
Hat das RD 951/2015 noch Wirkung?
Nicht selbstständig. Das Real Decreto 951/2015 war eine Änderung des RD 3/2010, keine eigenständige Norm. Da das RD 3/2010 durch das RD 311/2022 aufgehoben wurde, verloren die Änderungen von 2015 ihren Gegenstand. Sein heutiger Wert ist historisch: Er zeigt, wie das ENS zwischen 2010 und 2022 verschärft wurde, vor allem in Bezug auf die CCN-STIC-Leitfäden und die Rolle des CCN-CERT.
Gilt das ENS nur für öffentliche Verwaltungen?
Nicht nur. Das ENS verpflichtet direkt den öffentlichen Sektor, aber das RD 311/2022 stärkt die Lieferkettensicherheit, sodass Unternehmen, die der Verwaltung Dienste erbringen, häufig eine ENS-Konformität nachweisen müssen. Deshalb ist es zu einer häufigen Anforderung in Ausschreibungen und öffentlichen Verträgen geworden.
Quellen
- BOE — Real Decreto 3/2010, de 8 de enero (BOE-A-2010-1330)
- BOE — Real Decreto 951/2015, de 23 de octubre (BOE-A-2015-11881)
- BOE — Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191)
- CCN — ENS-Portal: Normenübersicht
- CCN — ENS: Häufig gestellte Fragen
- Portal der elektronischen Verwaltung (administracionelectronica.gob.es)
Inhalt erstellt von Ángel Ortega Castro. Informative Inhalte, aktuell zum Veröffentlichungsdatum; der Programmstatus kann sich ändern. Überprüfen Sie stets den BOE und Red.es für aktuelle Fristen.