Es gibt keine magische Monatszahl, die für alle gleich ist. Die Anpassung an das ENS (spanisches nationales Sicherheitssystem) ist ein Projekt mit klar definierten Phasen: Bei einem System der Basiskategorie wird es in der Regel in 3 bis 6 Monaten abgeschlossen; bei einer mittleren oder hohen Kategorie ist ein realistischer Zeitraum von 6 bis 12 Monaten (manchmal mehr) bis zur Konformität anzusetzen. Die gesetzliche Frist des Übergangsregimes des RD 311/2022 ist bereits abgelaufen: Vorhandene Systeme hatten 24 Monate ab dem 5. Mai 2022, d.h. bis zum 5. Mai 2024.

Die Frage, die mich am häufigsten erreicht, wenn eine Organisation feststellt, dass sie dem ENS unterliegt, ist nicht „Was muss ich tun?", sondern „Wie lange werde ich brauchen?". Und das ist verständlich: Dahinter steckt ein einzuhaltender Ausschreibungskalender, ein Pflichtenheft, das Konformität verlangt, oder eine nahende Inspektion. In diesem Leitfaden erkläre ich ehrlich, wie lange die Anpassung an das ENS dauert, welche Phasen der Anpassungsplan hat und wie man einen realistischen Zeitplan erstellt, der einen nicht in der Mitte des Projekts stranden lässt.

Ich bin Compliance-Berater und arbeite an der ENS-Anpassung mit Organisationen in Castilla y León und auf den Kanarischen Inseln. Was Sie hier lesen werden, ist anhand der Primärquelle (RD 311/2022 und die CCN-STIC-800-Leitfäden) und der Erfahrung aus realen Projekten verifiziert, bei denen der Zeitplan fast nie dem entspricht, der in der Broschüre steht.

Gibt es eine gesetzliche Frist für die ENS-Anpassung?

Infografik: ENS-Anpassungsfristen — wie lange und wie planen
Infografik: ENS-Anpassungsfristen — wie lange und wie planen. Eigene Erstellung — Summum Marketing.

Ja, es gab eine, und es lohnt sich, sie gut zu verstehen, da sie viel Verwirrung stiftet. Das Königliche Dekret 311/2022 vom 3. Mai, das das ENS regelt, trat am 5. Mai 2022 in Kraft. Seine einzige Übergangsbestimmung gewährte eine Frist von vierundzwanzig Monaten, damit vorhandene Informationssysteme ihre vollständige Anpassung erreichen. Die Rechnung ist einfach: 5. Mai 2022 + 24 Monate = 5. Mai 2024.

Diese Übergangsfrist ist also bereits abgelaufen. Wer sich noch nicht angepasst hat, ist nicht „innerhalb der Frist" — er verstößt gegen eine Verpflichtung, deren Frist vergangen ist. Und hier ist die wichtige Nuance, die Sie nicht übersehen sollten: Das ENS ist keine Regel mit einem „Verfallsdatum" für die Verpflichtung. Wenn Ihre Organisation in den Geltungsbereich fällt, ist die Konformitätspflicht dauerhaft, unabhängig davon, ob eine Übergangsperiode besteht. Was abgelaufen ist, war die Schonfrist für bereits 2022 vorhandene Systeme; jedes neue System muss bereits konform sein.

Für Systeme, die durch einen nachträglichen Grund in den ENS-Geltungsbereich fallen — zum Beispiel ein KMU, das einen Vertrag mit einer spanischen öffentlichen Verwaltung unterzeichnet und durch das Pflichtenheft verpflichtet wird — setzt die praktische „Uhr" der Vertrag oder die Ausschreibung, nicht eine Übergangsbestimmung. Deshalb ist die Frist, die in den meisten Projekten des Privatsektors wirklich zählt, die vom öffentlichen Auftraggeber festgelegte.

Was ist der ENS-Anpassungsplan?

ENS-Anpassungsfristen: wie lange und wie planen
Foto: woodleywonderworks (CC BY 2.0)

Der Anpassungsplan ist das Dokument, das das gesamte Projekt organisiert. Er ist im Leitfaden CCN-STIC-806, der offiziellen Referenz des Nationalen Kryptologischen Zentrums für diese Aufgabe, beschrieben. Es handelt sich nicht um eine bürokratische Formalität: Es ist die Roadmap, die „Ich muss das ENS einhalten" in eine Abfolge von Maßnahmen mit Verantwortlichen und Fristen umwandelt.

Gemäß CCN-STIC-806 enthält der Anpassungsplan mindestens folgende Elemente:

  • Die Sicherheitspolitik der Organisation, gemäß Anhang II des ENS.
  • Die verarbeiteten Informationen und ihre Bewertung.
  • Die erbrachten Dienste und ihre Bewertung.
  • Die verarbeiteten personenbezogenen Daten wegen ihrer Verbindung zur DSGVO.
  • Die Systemkategorie (Basis, Mittel oder Hoch) aus der Bewertung.
  • Die Anwendbarkeitserklärung für Anhang-II-Maßnahmen.
  • Die Risikoanalyse und aktuelle Risikokarte.
  • Die Systemunzulänglichkeiten gegenüber den Anforderungen.
  • Den Sicherheitsverbesserungsplan mit seinem Umsetzungszeitplan.

Was sind die Phasen der ENS-Anpassung?

  1. Entscheidung und Start. Die Geschäftsführung genehmigt das Projekt und benennt die ENS-Rollen.
  2. Systemkategorisierung. Informationen und Dienste werden in den fünf Sicherheitsdimensionen bewertet, um die Kategorie zu ermitteln.
  3. Risikoanalyse. Vermögenswerte, Bedrohungen und bestehende Schutzmaßnahmen werden identifiziert.
  4. Anwendbarkeitserklärung. Die anzuwendenden Anhang-II-Maßnahmen werden ausgewählt.
  5. Erstellung des Anpassungsplans. Alles oben Genannte wird im CCN-STIC-806-Dokument zusammengefasst.
  6. Umsetzung der Maßnahmen. Der Verbesserungsplan wird ausgeführt. Dies ist die längste und variabelste Phase.
  7. Verifizierung. Selbstbewertung für Basiskategorie; formelle Prüfung für Mittel und Hoch.
  8. Konformitätserklärung oder -zertifizierung. Der formelle Abschluss.
Orientierender Zeitplan für die ENS-Anpassung nach Phasen, mit geschätzter Dauer und Hauptverantwortlichem. Eigene Erstellung (Summum Marketing) auf Basis von CCN-STIC-806; die Bereiche sind Projektschätzungen, keine gesetzlichen Fristen.
Phase Was gemacht wird Geschätzte Dauer Hauptverantwortlicher
1. Entscheidung und StartGenehmigung der Geschäftsführung und Rollenzuweisung1–3 WochenGeschäftsführung
2. KategorisierungBewertung in 5 Dimensionen und Kategorie2–3 WochenSicherheitsbeauftragter + Informations-/Dienstverantwortlicher
3. RisikoanalyseAktuelle Risikokarte (MAGERIT oder gleichwertig)3–6 WochenSicherheitsbeauftragter
4. AnwendbarkeitserklärungAuswahl der Anhang-II-Maßnahmen2–4 WochenSicherheitsbeauftragter
5. AnpassungsplanCCN-STIC-806-Dokument und Verbesserungsplan2–4 WochenSicherheitsbeauftragter + Berater
6. Umsetzung der MaßnahmenAusführung des Verbesserungsplans3–9 MonateSystemverantwortlicher + IT
7. VerifizierungSelbstbewertung (Basis) oder Prüfung (Mittel/Hoch)4–8 WochenPrüfer / internes Team
8. KonformitätErklärung oder Zertifizierung und Abzeichen2–4 WochenSicherheitsbeauftragter + Zertifizierungsstelle

Wie lange dauert die ENS-Konformität je nach Kategorie?

  • Basiskategorie. Weniger Anhang-II-Maßnahmen, Verifizierung durch Selbstbewertung und Abschluss durch Konformitätserklärung. 3–6 Monate ist erreichbar.
  • Mittlere Kategorie. Mehr Maßnahmen und obligatorische Prüfung durch eine akkreditierte Zertifizierungsstelle. Realistisch sind 6–12 Monate.
  • Hohe Kategorie. Vollständiger Satz verstärkter Maßnahmen und formelle Prüfung. Hier sind 9–12 Monate normal, komplexe Projekte dauern länger.

Was ist der Unterschied zwischen Konformitätserklärung und -zertifizierung?

  • Konformitätserklärung. Gilt für Systeme der Basiskategorie. Wird von der für das System verantwortlichen Einrichtung nach der Selbstbewertung ausgestellt. Schneller, da kein akkreditierter Dritter erforderlich.
  • Konformitätszertifizierung. Obligatorisch für mittlere und hohe Kategorien (und freiwillig für Basis). Ausgestellt von einer von ENAC akkreditierten Zertifizierungsstelle gemäß Norm UNE-EN ISO/IEC 17065. Das Zertifikat ist zwei Jahre gültig, danach ist eine Erneuerungsprüfung erforderlich.

Wie erstellt man einen realistischen Zeitplan (ohne sich zu täuschen)?

Der häufigste Fehler ist, das ENS als rein dokumentarisches Projekt zu behandeln, das in wenigen Wochen erledigt werden kann. Die Phasen 1 bis 5 sind tatsächlich schnell; das Problem ist Phase 6, die Umsetzung. Diese Faktoren verschieben Ihren Zeitplan wirklich:

  • Ausgangssituation. Wenn Sie bereits über ISO 27001 oder gut etablierte Sicherheitskontrollen verfügen, sind viele Anhang-II-Maßnahmen bereits abgedeckt.
  • Tatsächliche Teamverfügbarkeit. Eine Risikoanalyse wird nicht „zwischen Meetings" erstellt.
  • Abhängigkeiten von Dritten. Migrationen, Lieferantenverträge oder Infrastrukturänderungen führen zu Fristen außerhalb Ihrer Kontrolle.
  • Kategorie und Abschlussweg. Mittel/Hoch fügt die Prüfung und die Buchung der Zertifizierungsstelle hinzu.
  • Verträge und Unterauftragsvergabe. Wenn Ihre Verpflichtung aus der Belieferung einer spanischen öffentlichen Verwaltung stammt, muss sich möglicherweise auch die Lieferkette anpassen.

Meine praktische Empfehlung: Definieren Sie das Zieldatum (das des Pflichtenhefts oder des öffentlichen Auftraggebers) und planen Sie rückwärts von dort aus, mit einem Puffer für Verifizierung und Nachbesserung. Und beginnen Sie so früh wie möglich mit der Kategorisierung, denn bis Sie diese haben, ist jedes versprochene Datum Schall und Rauch.

FAQ — Häufig gestellte Fragen zu ENS-Fristen

Wie lange dauert die ENS-Konformität?

Es hängt hauptsächlich von der Kategorie und der Ausgangssituation ab. Als Projektorientierung: 3–6 Monate für Basiskategorie und 6–12 Monate (oder mehr) für mittlere und hohe Kategorien.

Was ist der Anpassungsplan?

Es ist das im Leitfaden CCN-STIC-806 beschriebene Dokument, das das gesamte Projekt organisiert: Sicherheitspolitik, Bewertung von Informationen und Diensten, Kategorie, Anwendbarkeitserklärung, Risikoanalyse, Unzulänglichkeiten und Verbesserungsplan mit Zeitplan.

Gibt es eine gesetzliche Anpassungsfrist?

Das Übergangsregime des RD 311/2022 gab vorhandenen Systemen 24 Monate ab dem 5. Mai 2022, d.h. bis zum 5. Mai 2024. Diese Frist ist abgelaufen. Die Konformitätspflicht ist dauerhaft; neue Systeme müssen bereits konform sein.

Läuft die Zertifizierung ab?

Die Konformitätszertifizierung (obligatorisch für mittlere und hohe Kategorien) ist zwei Jahre gültig, danach ist eine Erneuerungsprüfung erforderlich.

Quellen

Inhalte erstellt von Summum Marketing zu Informationszwecken. Stellt keine Rechtsberatung dar. Überprüfen Sie stets die aktuelle Version der CCN-STIC-Leitfäden, bevor Sie Ihren Anpassungsplan abschließen.