Das ENS hat drei Kategorien – Basis, Mittel und Hoch – und die zutreffende wird nicht gewählt, sondern abgeleitet. Sie bewerten die fünf Sicherheitsdimensionen Ihres Systems (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachverfolgbarkeit) in den Stufen Niedrig, Mittel oder Hoch und wenden dann die Regel aus Artikel 40 des Real Decreto 311/2022 an: Das System ist Kategorie Hoch, wenn eine Dimension Hoch erreicht; Mittel, wenn eine Mittel erreicht (aber keine Hoch); und Basis, wenn eine Niedrig erreicht (aber keine Mittel oder Hoch). Die richtige Frage ist nicht "Welche Stufe möchte ich?", sondern "Welchen Schaden würde ein Vorfall verursachen?".
Das ist die Frage, mit der fast jeder beginnt, der zum ersten Mal mit dem Spanischen Nationalen Sicherheitsgrundgesetz (ENS) konfrontiert wird, und hier werden die meisten Fehler gemacht: Entweder wird aus Unwissenheit zu niedrig eingestuft, oder man geht "zur Sicherheit" zu hoch und lädt sich Maßnahmen auf, die nicht nötig sind. Dieser Leitfaden ist bewusst praxisorientiert: Er gibt die Regel, einen Entscheidungsbaum und Beispiele nach Diensttyp, damit Sie Ihre Kategorie richtig treffen. Wenn Sie die detaillierte Beschreibung jeder Kategorie und ihrer Anforderungen suchen, finden Sie diese auf meiner Seite zu den ENS-Kategorien Basis, Mittel und Hoch; hier konzentrieren wir uns auf die Entscheidung.
Ángel Ortega Castro begleitet Unternehmen und Einrichtungen bei der Systemkategorisierung aus Kastilien und León und den Kanarischen Inseln, und die Methode ist immer dieselbe: erst die Auswirkung, dann die Stufe, nie umgekehrt.
Wie viele Stufen hat das ENS?
Das ENS definiert drei Sicherheitskategorien für Systeme: Basis, Mittel und Hoch. Es gibt keine vierte und keine Zwischenstufen. Was Nuancen hat, ist der Weg zu jeder Stufe, denn die Kategorie ist das Ergebnis der vorherigen Bewertung von fünf Dimensionen in drei Stufen (Niedrig, Mittel, Hoch).
Es ist wichtig, Konzepte nicht zu verwechseln: Die Dimensionen (welche Garantien das System schützt) werden in Stufen bewertet, und aus diesen Stufen wird die Kategorie des Gesamtsystems abgeleitet.
Die Auswirkungsregel: Wie wird die Kategorie bestimmt?
Der Kern der Entscheidung liegt in Artikel 40 der RD 311/2022. Die Systemkategorie wird durch die anspruchsvollste Dimension festgelegt: Es wird nicht gemittelt, es wird das Maximum genommen. Das ist die Regel, ohne Mehrdeutigkeit:
| Wenn die anspruchsvollste Dimension auf Stufe … liegt | … ist die Systemkategorie |
|---|---|
| Eine Dimension auf HOCH | HOCH |
| Eine auf MITTEL und keine auf Hoch | MITTEL |
| Eine auf NIEDRIG und keine auf Mittel oder Hoch | BASIS |
Die Konsequenz ist wichtig: Es genügt, dass eine einzige Dimension Hoch ist, damit das gesamte System Kategorie Hoch ist, mit allem, was das an Maßnahmen und Verstärkungen in Anhang II bedeutet. Deshalb ist die korrekte Bewertung jeder Dimension – weder zu hoch noch zu niedrig – die rentabelste Entscheidung der gesamten Konformitätsstrategie.
Wie weiß ich, ob mein System Basis, Mittel oder Hoch ist?
Die Stufe jeder Dimension wird durch die Auswirkung bestimmt, die ein Vorfall bei dieser Garantie hätte. Die RD 311/2022 stuft sie so ab:
- Stufe NIEDRIG: Der Vorfall würde einen begrenzten Schaden an den betroffenen Funktionen, Anlagen oder Personen verursachen.
- Stufe MITTEL: Der Vorfall würde einen erheblichen Schaden verursachen.
- Stufe HOCH: Der Vorfall würde einen sehr schweren Schaden verursachen, möglicherweise irreparabel.
Die Bewertung untersucht die Auswirkung auf die Fähigkeit der Organisation, ihre Ziele zu erreichen, ihre Anlagen zu schützen, ihre Servicepflichten zu erfüllen und Rechtmäßigkeit sowie Personenrechte zu wahren. Es ist kein willkürliches Urteil: Es wird dimension für dimension begründet.
Entscheidungsbaum für die Systemkategorisierung
Wenden Sie diese Sequenz an, eine Dimension nach der anderen. Stellen Sie sich diese Fragen für Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachverfolgbarkeit:
- Würde ein Vorfall in dieser Dimension einen sehr schweren oder irreparablen Schaden verursachen? Wenn ja → Dimension ist HOCH. Stopp: Das gesamte System ist Kategorie Hoch.
- Würde er erheblichen Schaden verursachen (aber nicht irreparablen)? Wenn ja → Dimension ist MITTEL.
- Würde er nur begrenzten Schaden verursachen? Wenn ja → Dimension ist NIEDRIG.
- Gilt die Dimension nicht für das System? Keine Stufe wird zugewiesen.
Wenn Sie alle fünf bewertet haben, nehmen Sie die höchste aufgetretene Stufe: Sie bestimmt die Kategorie. Es ist ein bewusst konservatives System, weil das ENS der Unterbewertung von Risiken vorbeugt.
Beispiele nach Diensttyp
Beispiele helfen bei der Kalibrierung, obwohl jeder reale Fall seine eigene Bewertung erfordert. Diese Tabelle gibt Orientierung, wo verschiedene Dienste in der Regel eingeordnet werden:
| Diensttyp | Kritischste Dimension | Orientierungskategorie |
|---|---|---|
| Institutionelle Informationswebsite (veröffentlicht nur Inhalte) | Integrität / Verfügbarkeit Niedrig | Basis |
| Offizielles E-Government-Portal mit Verwaltungsvorgängen und persönlichen Daten | Vertraulichkeit / Authentizität Mittel | Mittel |
| System mit besonders geschützten Daten (Gesundheit, politische Überzeugungen) | Vertraulichkeit Hoch | Hoch |
| Kritischer Dienst, dessen Ausfall die Bürger betrifft | Verfügbarkeit Hoch | Hoch |
| Benachrichtigungsplattform mit Beweischarakter | Nachverfolgbarkeit / Authentizität Mittel-Hoch | Mittel oder Hoch |
Das Muster ist klar: Sobald besonders geschützte Daten oder ein Dienst ins Spiel kommen, dessen Nichtverfügbarkeit schwere Folgen hätte, steigt die Kategorie. Ein rein informierendes Portal wird selten über Basis hinausgehen.
Was ändert sich zwischen Basis, Mittel und Hoch?
Eine höhere Kategorie ist keine Etikette: Sie ändert den realen Erfüllungsaufwand in drei Bereichen.
- Maßnahmen des Anhangs II. Je höher die Kategorie, desto mehr anwendbare Maßnahmen und vor allem mehr aktive Verstärkungen für jede Maßnahme.
- Verifizierung. Basis lässt Selbstbewertung zu; Mittel und Hoch erfordern eine formelle Prüfung mindestens alle zwei Jahre gemäß Artikel 31.
- Kosten und Zeitplan. Jeder Kategoriesprung erhöht den Implementierungsaufwand und die Evidenzdokumentation.
Daher die Wichtigkeit, nicht zu überdimensionieren: Sich als Kategorie Hoch zu erklären "um auf der sicheren Seite zu sein" verpflichtet Sie, Maßnahmen, Verstärkungen und Prüfungen aufrechtzuerhalten, die Ihr System vielleicht nicht braucht. Die richtige Kategorie ist die, die sich am tatsächlichen Schadenspotenzial ausrichtet – nicht mehr und nicht weniger.
Vollständiges Beispiel: Schritt für Schritt ein offizielles E-Government-Portal kategorisieren
Sehen wir die Methode von Anfang bis Ende angewendet. Stellen Sie sich das offizielle E-Government-Portal einer mittelgroßen Gemeindeverwaltung vor, wo Bürger Anträge stellen, Vorgänge einsehen und Mitteilungen mit rechtlichem Wert erhalten. Wir gehen durch die fünf Dimensionen:
- Vertraulichkeit: Verarbeitet persönliche Bürgerddaten (keine besonders geschützten). Eine Datenpanne würde erheblichen, aber nicht irreparablen Schaden verursachen. → MITTEL.
- Integrität: Eine Verfälschung eines Vorgangs oder Bescheids hätte ernsthafte rechtliche Folgen. → HOCH.
- Verfügbarkeit: Ein Ausfall beeinträchtigt Verwaltungsfristen, obwohl alternative Präsenzwege vorhanden sind. → MITTEL.
- Authentizität: Es muss gewährleistet sein, dass der Antragsteller oder Unterzeichner derjenige ist, der er vorgibt zu sein; ein Versagen würde Betrug ermöglichen. → HOCH.
- Nachverfolgbarkeit: Der Beweischarakter der Mitteilungen hängt von verlässlichen Aufzeichnungen ab. → HOCH.
Die höchste aufgetretene Stufe ist HOCH (in drei Dimensionen). Daher ist das System Kategorie Hoch, auch wenn zwei seiner Dimensionen nur Mittel sind. Das ist genau der Effekt der Maximumregel: Es spielt keine Rolle, dass die Mehrheit Mittel ist; eine Hohe genügt, um die Kategorie festzulegen. Dieses System muss die Hoch-Maßnahmen des Anhangs II mit ihren Verstärkungen implementieren und alle zwei Jahre einer formellen Prüfung unterzogen werden.
Wie viel Aufwand erfordert jede Kategorie?
Eine höhere Kategorie ist nicht kostenlos, und das sollte beim Bewerten berücksichtigt werden, um weder zu unter- noch zu überschätzen. Orientierungshalber wächst der Aufwand so:
| Aspekt | Basis | Mittel | Hoch |
|---|---|---|---|
| Maßnahmen Anhang II | Die wesentlichen | Erweitert | Erweitert + Verstärkungen |
| Verifizierung | Selbstbewertung | Prüfung alle 2 Jahre | Prüfung alle 2 Jahre |
| Evidenzdokumentation | Grundlegend | Detailliert | Umfassend |
| Laufender Verwaltungsaufwand | Niedrig | Mittel | Hoch |
Der relevanteste Sprung in Bezug auf den Aufwand ist in der Regel von Basis zu Mittel, weil dieser die formelle Prüfung einführt. Von Mittel zu Hoch kommt die Steigerung vor allem durch die Verstärkungen und die Tiefe der Evidenz. Deshalb ist eine ehrliche Kategorisierung – weder nach unten aus Bequemlichkeit noch nach oben aus Angst – die Entscheidung mit dem größten Einfluss auf die Gesamtkosten der Konformität.
Wer entscheidet über die Systemkategorie?
Die Kategorisierung ist nicht die alleinige Entscheidung des technischen Teams. Sie ist eine Geschäfts- und Verantwortungsentscheidung: Die Auswirkungsbewertung nimmt der Informations- und Serviceverantwortliche vor – derjenige, der den Wert des Schutzobjekts kennt –, mit Unterstützung des Sicherheitsverantwortlichen, und wird in der Systemdokumentation formalisiert. Das technische Team trägt das Architekturwissen bei, aber wer den Schaden eines Vorfalls bewertet, ist derjenige, der für die Information verantwortlich ist.
Diese Bewertung gilt nicht für immer: Wenn das System sich wesentlich ändert – neue Daten, neue Dienste, neue Kritikalität – muss sie überprüft werden. Eine vor Jahren zugewiesene und nie überprüfte Kategorie ist einer der häufigen Befunde bei Prüfungen.
Häufige Fehler bei der Stufenwahl
- Dimensionen mitteln. Die Kategorie legt die höchste Dimension fest, nicht der Durchschnitt. Eine einzige hohe Dimension macht das gesamte System Hoch.
- "Zur Sicherheit" eine höhere Stufe wählen. Überdimensionierung löst unnötige Maßnahmen, Verstärkungen und Prüfungen aus.
- Das System ohne die Daten bewerten. Die Stufe entsteht aus der Auswirkung auf Information und Dienst, nicht aus der eingesetzten Technologie.
- Nach Änderungen nicht überprüfen. Die Kategorie wird validiert, wenn das System sich weiterentwickelt; sie ist kein Standbild.
Systemkategorie vs. Erfüllungsprofile
Es ist sinnvoll, eine Nuance vorwegzunehmen, die auftaucht, sobald man tiefer einsteigt: Die Kategorie ist nicht immer das letzte Wort über die anwendbaren Maßnahmen. Die RD 311/2022 führte die spezifischen Erfüllungsprofile ein – Maßnahmensätze, die an einen bestimmten Einrichtungstyp oder Sektor angepasst und vom Centro Criptológico Nacional genehmigt sind. Es gibt Profile beispielsweise für kleine Kommunalbehörden oder bestimmte Sektoren, die den Anforderungen an ihre Realität anpassen sollen.
Das bedeutet, dass zwei Systeme derselben Kategorie mit unterschiedlichen Maßnahmensätzen enden können, wenn auf eines ein spezifisches Profil anwendbar ist. Für die meisten Organisationen ist der Weg jedoch der allgemeine: Dimensionen bewerten, Kategorie ableiten und die entsprechenden Maßnahmen des Anhangs II auswählen. Profile sind eine nachgelagerte Anpassungsschicht, keine Abkürzung, um die Kategorisierung zu umgehen.
Was tun, wenn die Kategorie bekannt ist?
Die Kategorie zu bestimmen ist nicht das Ende, sondern der Ausgangspunkt der Konformität. Mit der bekannten Kategorie ist der übliche Weg:
- Die Bewertung dokumentieren. Halten Sie schriftlich fest, wie Sie jede Dimension bewertet haben und warum; der Prüfer wird das verlangen.
- Die Maßnahmen des Anhangs II auswählen, die für Ihre Kategorie gelten, mit ihren Verstärkungen.
- Die Anwendbarkeitserklärung verfassen und begründen, was Sie anwenden, was Sie ausschließen und welche Kompensationsmaßnahmen Sie verwenden.
- Implementieren und nachweisen, jede Maßnahme mit der sie stützenden Dokumentation ordnen.
- Die Konformität verifizieren: Selbstbewertung bei Kategorie Basis, formelle Prüfung bei Mittel oder Hoch.
Häufig gestellte Fragen zu den ENS-Stufen
Wie viele Stufen hat das ENS?
Das ENS definiert drei Systemkategorien: Basis, Mittel und Hoch. Sie werden durch Bewertung der fünf Sicherheitsdimensionen in drei Stufen (Niedrig, Mittel, Hoch) und Übernahme der anspruchsvollsten abgeleitet.
Wie weiß ich, ob mein System Basis, Mittel oder Hoch ist?
Bewerten Sie die Auswirkung eines Vorfalls auf jede Dimension: Begrenzter Schaden ist Niedrig, erheblicher Schaden ist Mittel und sehr schwerer Schaden ist Hoch. Die Systemkategorie legt die Dimension mit der höchsten Stufe fest, gemäß Artikel 40 der RD 311/2022.
Was ändert sich zwischen Basis, Mittel und Hoch?
Je höher die Kategorie, desto mehr Maßnahmen und Verstärkungen aus Anhang II, anspruchsvollere Verifizierung (Selbstbewertung bei Basis vs. Prüfung alle zwei Jahre bei Mittel und Hoch) und höhere Implementierungs- und Dokumentationskosten.
Wer entscheidet über die Systemkategorie?
Die Auswirkungsbewertung obliegt dem Informations- und Serviceverantwortlichen, mit Unterstützung des Sicherheitsverantwortlichen, und wird in der Systemdokumentation formalisiert. Es ist keine rein technische Entscheidung.
Kann ein System Dimensionen auf verschiedenen Stufen haben?
Ja, das ist der Normalfall: Jede Dimension wird separat bewertet. Die Kategorie des Gesamtsystems bestimmt die Dimension, die die höchste Stufe erreicht.
Muss ich die höchste Kategorie wählen, um auf der sicheren Seite zu sein?
Nein. Eine Überdimensionierung der Kategorie verpflichtet zur Implementierung von Maßnahmen, Verstärkungen und Prüfungen, die das System möglicherweise nicht braucht. Die richtige Kategorie ist die, die sich an der tatsächlichen Auswirkung ausrichtet, begründet dimension für dimension.
Quellen
- Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) — Artikel 40 (Kategorien) und Anhang I.
- ENS-Portal — CCN (ens.ccn.cni.es) — Kategorisierungsleitfäden CCN-STIC 803 und 804.
Inhalt erstellt von Ángel Ortega Castro. Informative Inhalte, aktuell zum Veröffentlichungsdatum; der Programmstatus kann sich ändern. Überprüfen Sie stets den BOE und Red.es für aktuelle Fristen.