ENS oder ISO 27001 für die Zusammenarbeit mit der Verwaltung? Für Ausschreibungen oder Verträge mit dem spanischen öffentlichen Sektor wird das Spanische Nationale Sicherheitsgrundgesetz (ENS) verlangt, nicht ISO 27001. Das ENS ist gesetzlich verpflichtend (Real Decreto 311/2022) für Systeme, die Informationen des öffentlichen Sektors verarbeiten; ISO 27001 ist freiwillig. Allerdings ist die Einführung von ISO 27001 vor dem ENS in der Regel günstiger, weil ein großer Teil der Kontrollen wiederverwendet werden kann. Dieser Artikel fokussiert sich auf den Aspekt, den kaum jemand erklärt: Was wird in einer Ausschreibung verlangt, in welcher Reihenfolge empfiehlt sich die Einführung der beiden Rahmen und wie vermeiden Sie, zweimal für dasselbe zu zahlen.
Wenn Sie den vollständigen technischen Vergleich suchen (Herkunft, Anwendungsbereich, Kontroll-Mapping, Risikoanalyse), finden Sie diesen in meinem Leitfaden zu den Unterschieden zwischen ENS und ISO 27001. Hier wiederhole ich das nicht: Ich gehe direkt auf die praktische Entscheidung eines Unternehmens ein, das an die Verwaltung verkaufen möchte.
Was verlangt die Verwaltung wirklich: ENS oder ISO 27001?
Die kurze Antwort lautet: das ENS. Das Real Decreto 311/2022, de 3 de mayo, das das Spanische Nationale Sicherheitsgrundgesetz regelt, hat seinen Anwendungsbereich ausdrücklich auf private Betreiber ausgedehnt, die Dienstleistungen erbringen oder Lösungen für öffentliche Einrichtungen bereitstellen, wenn diese Systeme Informationen des öffentlichen Sektors verarbeiten. Das bedeutet: Wenn Ihr Unternehmen Daten oder Systeme einer öffentlichen Stelle verwalten wird, fallen Sie in den ENS-Anwendungsbereich – auch wenn Sie ein Privatunternehmen sind.
ISO 27001 hingegen ist eine freiwillige internationale Norm. Niemand zwingt Sie dazu. Was vorkommt, ist dass viele Ausschreibungen sie würdigen oder als bestimmten Zwecken gleichwertig betrachten, aber sie ersetzt nicht das ENS, wenn das ENS verpflichtend ist. Diese Verwechslung ist der Fehler, der bei einem Vergabegremium am teuersten kommt.
Was sagen die Ausschreibungsunterlagen zum ENS?
In der Praxis erscheint das ENS in öffentlichen Ausschreibungen auf drei verschiedene Arten, und es lohnt sich, diese zu unterscheiden, weil die Konsequenzen sehr unterschiedlich sind:
- Als technische Eignungsanforderung (verpflichtend): Die Ausschreibung verlangt, dass der Bieter die ENS-Konformität in der dem Dienst entsprechenden Kategorie nachweist. Wenn Sie diese nicht haben, werden Sie ausgeschlossen.
- Als bewertbares Zuschlagskriterium (Punkte): Das ENS ist für die Teilnahme nicht verpflichtend, aber die Konformität – oder eine höhere Stufe – bringt Ihnen Punkte gegenüber Mitbewerbern.
- Als Ausführungspflicht (während des Vertrags): Es wird beim Bieten nicht verlangt, aber der Vertrag verpflichtet Sie, die Konformität innerhalb einer Frist ab der Vergabe zu erreichen. Bei Nichterfüllung drohen Vertragsstrafen oder, in gravierenden Fällen, die Vertragsauflösung.
ISO 27001 erscheint in Ausschreibungen meist im „bewertbaren" Bereich oder als Nachweis guter Praxis, kaum als Ausschlusskriterium für öffentliche Aufträge. Wenn Sie also nur ISO 27001 haben und die Ausschreibung das ENS als Eignungsnachweis verlangt, können Sie nicht bieten. Details zur Zertifizierungspraxis in meinem Leitfaden zum ENS-Zertifizierungsprozess, -anforderungen und -kosten.
Kann ich ISO 27001 verwenden, um das ENS zu erfüllen?
Nicht direkt, aber zur Beschleunigung und Kostenreduzierung schon. ISO 27001 und das ENS teilen einen wichtigen Teil ihrer Logik: Beide basieren auf einer Risikoanalyse, verlangen eine von der Leitung genehmigte Sicherheitspolitik, Kontrolldokumentation, Vorfallsmanagement und kontinuierliche Verbesserung. Das bedeutet: Wenn Sie bereits ein ISO-27001-zertifiziertes ISMS haben, ist ein Großteil der ENS-Arbeit bereits erledigt: Richtlinien, Verfahren, Anlagenverzeichnis, Risikoanalyse und Aufzeichnungen können wiederverwendet werden.
Was ISO 27001 nicht macht, ist Ihnen automatisch die ENS-Konformität zu verschaffen. Das ENS hat seinen eigenen Kontrollrahmen (Anhang II der RD 311/2022), seine eigene Kategorisierung nach Stufen und sein eigenes Konformitätsverfahren. Es ist notwendig, was Sie bereits haben auf die ENS-Maßnahmen zu mappen, die fehlenden zu ergänzen und das entsprechende Konformitätsverfahren zu durchlaufen. Aber von ISO 27001 aus zu starten, reduziert den Aufwand erheblich: Man fängt nicht von Null an.
Ist die Einführung von ISO 27001 vor dem ENS günstiger?
Für die meisten Privatunternehmen, die an die Verwaltung verkaufen möchten, ja – aus zwei Gründen. Erstens verschafft Ihnen ISO 27001 ein international anerkanntes Informationssicherheits-Managementsystem, das auch für Privatkunden gilt, nicht nur für den öffentlichen Sektor. Zweitens stützt sich die ENS-Einführung, sobald das ISMS aufgebaut ist, darauf anstatt sich zu verdoppeln.
Die umgekehrte Reihenfolge – ENS zuerst, ISO 27001 danach – ist ebenfalls möglich, aber für ein Privatunternehmen meist weniger effizient: Das ENS ist aus der Perspektive der Verwaltung konzipiert und seine Dokumentation passt nicht immer so gut zu dem, was ISO verlangt. Wenn Ihr Hauptziel das Bieten ist und Sie zusätzlich eine für Privatkunden vermarktbare Zertifizierung möchten, ist die Sequenz ISO 27001 → ENS diejenige, die den Aufwand am besten amortisiert.
Empfohlene Einführungsreihenfolge für Ausschreibungen
Tabelle: Was Sie je nach Situation benötigen
Diese Tabelle fasst die Entscheidung zusammen, je nachdem, wo Ihr Unternehmen steht und was es anstrebt. Sie ist eine eigene Orientierungshilfe und ersetzt nicht die Lektüre der konkreten Ausschreibung:
| Ihre Situation | Brauchen Sie das ENS? | Brauchen Sie ISO 27001? | Empfohlene Reihenfolge |
|---|---|---|---|
| Sie verkaufen nur an Privatkunden | Nein (außer wenn diese öffentliche Daten verarbeiten) | Optional, schafft Vertrauen | ISO 27001, wenn Kunden es verlangen |
| Sie möchten beginnen, an die Verwaltung zu bieten | Ja, wenn die Ausschreibung es verlangt | Als Grundlage empfohlen | ISO 27001 → ENS |
| Die Ausschreibung verlangt ENS als Eignungsnachweis | Ja, für die Teilnahme verpflichtend | Nicht verpflichtend | ENS vorrangig; ISO beschleunigt |
| Die Ausschreibung bewertet ISO 27001 mit Punkten | Je nach Vertrag | Gibt Ihnen Punkte | Beide, wenn Sie auf die Vergabe setzen |
| Sie haben bereits ISO 27001 und möchten bieten | Ja, wenn die Ausschreibung es verlangt | Bereits vorhanden | ISO auf ENS mappen |
Häufige Fehler beim Vergabegremium
Wenn ich Angebote von Unternehmen prüfe, die noch wenig Erfahrung mit Ausschreibungen haben, wiederholen sich die Stolpersteine. Das sind diejenigen, die am häufigsten zum Ausschluss führen oder Punkte kosten:
- ISO 27001 vorlegen, wenn die Ausschreibung das ENS verlangt. Es sind unterschiedliche Rahmen. Das ISO-Zertifikat beweist keine ENS-Konformität, und das Gremium kann das Angebot wegen fehlenden technischen Eignungsnachweises nicht zulassen.
- Eine ENS-Kategorie nachweisen, die unter der des Dienstes liegt. Das ENS ist nach Stufen kategorisiert (Basis, Mittel, Hoch). Wenn der Vertrag Informationen der Kategorie Mittel betrifft und Sie nur Basis-Konformität nachweisen, erfüllen Sie die Anforderung nicht.
- Erklärung und Zertifizierung verwechseln. Auf der Basisstufe wird die ENS-Konformität durch eine Konformitätserklärung (Selbstbewertung) nachgewiesen; auf Mittel- und Hochstufe durch Zertifizierung mit Prüfung durch eine akkreditierte Stelle. Eine Erklärung dort vorzulegen, wo die Ausschreibung eine Zertifizierung verlangt, ist ein Ausschlussgrund.
- Das Konformitätskennzeichen nicht veröffentlichen. Die RD 311/2022 verpflichtet dazu, die Konformität durch das offizielle Kennzeichen auf der Website oder dem offiziellen E-Government-Portal nachzuweisen. Manche Ausschreibungen prüfen das.
- Die Konformität für „wenn wir gewinnen" aufschieben. Wenn die Ausschreibung sie als Eignungsnachweis verlangt, muss sie vor Einreichung des Angebots vorhanden sein, nicht nach der Vergabe.
Fristen und Vertragsstrafen: das ENS als Ausführungspflicht
Bei manchen Verträgen wird das ENS nicht beim Bieten verlangt, sondern als Pflicht während der Ausführung auferlegt. In diesen Fällen legt die Ausschreibung in der Regel eine Frist ab Vertragsschluss fest, um die Konformität zu erreichen – in der Regel einige Monate – und verknüpft die Nichterfüllung mit Vertragsstrafen oder, in gravierenden Fällen, mit der Vertragsauflösung.
Hier macht ein vorhandenes ISO-27001-Fundament den Unterschied: Wenn Sie bereits von einem ausgereiften ISMS ausgehen, ist es machbar, die ENS-Konformität innerhalb der vertraglichen Frist zu erreichen; wenn Sie bei laufender Uhr von Null anfangen, ist das Risiko, den Meilenstein nicht zu erfüllen, real. Deshalb ist das Erste, was ich mir anschaue, wenn ein Unternehmen sagt, es wolle „in die Verwaltung einsteigen", nicht die erste Ausschreibung, sondern ob es sinnvoll ist, zuerst die ISO-27001-Grundlage aufzubauen, um bei jedem Ausführungstermin nicht auf dem Spiel zu stehen.
Praxisbeispiel: ein technologisches KMU, das bieten möchte
Stellen Sie sich ein Software-Entwicklungs-KMU mit zehn Personen vor, das bisher nur mit Privatkunden gearbeitet hat und Verträge mit einer Landesregierung anstrebt. Der Dienst wird Verwaltungsdaten hosten und verarbeiten, sodass das ENS gilt. Wo anfangen?
Der sinnvolle Weg ist: (1) Ein ISMS gemäß ISO 27001 einführen, das auch für Privatkunden Vertrauen schafft; (2) den öffentlichen Dienst kategorisieren, um zu wissen, welche ENS-Stufe benötigt wird; (3) die bereits eingeführten ISO-Kontrollen auf die ENS-Maßnahmen mappen und die fehlenden ergänzen; und (4) das Konformitätsverfahren durchlaufen – Erklärung oder Zertifizierung je nach Stufe. Mit dieser Sequenz verdoppelt das KMU keine Dokumentation, erhält eine vermarktbare Zertifizierung und tritt Ausschreibungen mit der ENS-Konformität in Ordnung an.
Was, wenn ich beides brauche? So zahlen Sie nicht zweimal dasselbe
Viele Unternehmen, die gleichzeitig mit Privatkunden und der Verwaltung arbeiten, brauchen letztlich beide Rahmen. Der Schlüssel zur Vermeidung von Doppelaufwand ist die Einführung eines einzigen Managementsystems, das beide gleichzeitig abdeckt: eine einzige Sicherheitspolitik, eine einzige Risikoanalyse, ein gemeinsames Anlagenverzeichnis und ein gemeinsamer Dokumentationskörper mit den spezifischen Anhängen, die jeder Rahmen verlangt.
Diese Konvergenz ist genau das, was ich im Paket ISO 27001 + ENS + DSGVO für öffentliche Ausschreibungen in Kastilien und León anbiete: Anstatt drei separate Projekte ein einziges System, das alle drei Rahmen erfüllt und koordiniert geprüft wird. Wenn Sie aus Kastilien und León oder den Kanarischen Inseln operieren, begleite ich den gesamten Prozess, von der Erstdiagnose bis zur Konformität.
Schlussfolgerung: ENS zum Eintreten, ISO 27001 zum Aufbauen
Wenn Ihr Ziel die Zusammenarbeit mit der Verwaltung ist, ist das ENS die Tür: Ohne es können Sie in vielen Fällen nicht einmal bieten. ISO 27001 ist das Fundament, auf dem man sinnvollerweise baut, weil es den Aufwand für das ENS reduziert und auch außerhalb des öffentlichen Sektors gilt. Die rentabelste Sequenz für ein Privatunternehmen ist in der Regel ISO 27001 zuerst, dann ENS, und wenn beide benötigt werden, diese in einem einzigen Managementsystem zu integrieren, um denselben Aufwand nicht zweimal zu bezahlen.
Der Fehler, den ich immer wieder sehe, ist, die Konformität als ein Formalität kurz vor einer konkreten Ausschreibung zu behandeln. So funktioniert es nicht: Weder das ENS noch ISO 27001 lassen sich in zwei Wochen improvisieren, denn beide verlangen Nachweise – genehmigte Richtlinien, analysierte Risiken, funktionierende Kontrollen –, die Zeit in Betrieb benötigen, um geprüft werden zu können. Vorausschauend zu handeln, die richtige Reihenfolge zu wählen und ein einziges System aufzubauen, das für mehrere Ausschreibungen gilt, ist das, was die Konformität in einen Wettbewerbsvorteil verwandelt, anstatt in ein Rennen gegen die Uhr.
Häufig gestellte Fragen
Brauche ich das ENS oder ISO 27001?
Das hängt davon ab, für wen Sie arbeiten. Für Ausschreibungen oder Verträge mit dem spanischen öffentlichen Sektor ist das ENS verpflichtend (Real Decreto 311/2022). ISO 27001 ist freiwillig, international und nützlich für Privatkunden; es ersetzt nicht das ENS, wenn dieses verpflichtend ist.
Kann ich ISO 27001 verwenden, um das ENS zu erfüllen?
Nicht automatisch, aber als Grundlage: Beide teilen Sicherheitspolitik, Risikoanalyse und Vorfallsmanagement. Mit ISO 27001 als Basis wird der ENS-Aufwand erheblich reduziert, aber das Mapping und die Deckung der spezifischen ENS-Maßnahmen aus Anhang II ist dennoch erforderlich.
Was wird für die Arbeit mit der Verwaltung verlangt?
Üblicherweise die ENS-Konformität in der dem Dienst entsprechenden Kategorie. Sie kann als Eignungsanforderung (verpflichtend für das Bieten), als bewertbares Kriterium (Punkte) oder als Ausführungspflicht des Vertrags erscheinen. Jede Ausschreibung muss gelesen werden.
Ist die Einführung von ISO 27001 vor dem ENS günstiger?
Für die meisten Privatunternehmen ja. Das ISMS von ISO 27001 gilt innerhalb und außerhalb des öffentlichen Sektors, und einmal aufgebaut, stützt sich die ENS-Einführung darauf anstatt sich zu verdoppeln. Die Sequenz ISO 27001 → ENS amortisiert den Aufwand in der Regel besser.
Quellen
- Real Decreto 311/2022, de 3 de mayo, Spanisches Nationales Sicherheitsgrundgesetz (BOE-A-2022-7191).
- CCN-CERT — Häufig gestellte Fragen zum ENS (ens.ccn.cni.es).
- AEPD — Konformitätserklärung mit dem Spanischen Nationalen Sicherheitsgrundgesetz.
Inhalt erstellt von Ángel Ortega Castro. Informative Inhalte, aktuell zum Veröffentlichungsdatum; der Programmstatus kann sich ändern. Überprüfen Sie stets den BOE und Red.es für aktuelle Fristen.