Suchen Kundenbereich
Kostenloses Tool · Compliance

ENS-Selbstdiagnose (spanisches nationales Sicherheitsschema): wie hoch ist Ihr Konformitätsniveau?

Kategorisieren Sie Ihr System nach Anhang I des Königlichen Dekrets 311/2022 und bewerten Sie in weniger als drei Minuten Ihren Reifegrad in den drei Bereichen von Anhang II: organisatorisch, operativ und Schutzmaßnahmen. Ergebnis mit Reifegrad in Prozent je Bereich, konkreten Lücken und nächsten Schritten.

Kostenlos, ohne Anmeldung Sofortiges Ergebnis Ihre Antworten verlassen nie den Browser
Schritt 1 1 / 4

Kategorisieren Sie Ihr System: Anhang I des ENS

Das ENS bewertet die Auswirkung eines Vorfalls in fünf Sicherheitsdimensionen. Markieren Sie das Schadensniveau, das ein Ausfall in jeder Dimension verursachen würde — falls eine Dimension für Ihr System nicht zutrifft, wählen Sie „Betrifft nicht". Ihre endgültige Kategorie entspricht dem höchsten Niveau, das Sie in irgendeiner Dimension erreichen (Art. 40 und Anhang I, RD 311/2022).

Organisatorischer Bereich — die Grundlage (org)

Anhang II fasst 73 Maßnahmen in drei Bereichen zusammen. Diese 4 bilden die Grundlage des organisatorischen Bereichs: ohne sie haben die restlichen technischen Maßnahmen keinen Halt. Markieren Sie Ihre tatsächliche Situation, nicht die gewünschte.

Ja, umgesetzt Teilweise Nein, noch nicht

Operativer Bereich — wie Sie den Betrieb schützen (op)

8 repräsentative Maßnahmen aus den 33, die dieser Bereich fordert, eine pro Familie: Planung, Zugriffskontrolle, Betrieb, externe Ressourcen, Cloud-Dienste, Kontinuität und Überwachung.

Ja, umgesetzt Teilweise Nein, noch nicht

Schutzmaßnahmen — die konkreten Werte (mp)

8 repräsentative Maßnahmen aus den 36, die dieser Bereich fordert, eine pro Familie: Einrichtungen, Personal, Ausrüstung, Kommunikation, Datenträger, Anwendungen, Information und Dienste.

Ja, umgesetzt Teilweise Nein, noch nicht
Orientierendes Ergebnis

Ihr ENS-Konformitätsniveau

Rechtlicher Hinweis: Dieses Ergebnis ist orientierend und wird automatisch aus Ihren Antworten generiert. Es ist keine Anwendbarkeitserklärung und ersetzt nicht das offizielle Audit, wenn Ihre Kategorie es vorschreibt (Art. 28, 31 und 38, RD 311/2022). Bei Zweifeln zu Ihrer ENS-Konformität konsultieren Sie die offizielle Quelle oder vereinbaren Sie einen Termin mit uns.
So funktioniert es

Zwei Anhänge, ein Reifegrad in Prozent.

01

Sie kategorisieren Ihr System

Sie markieren die Auswirkung in den fünf Dimensionen von Anhang I — Vertraulichkeit, Integrität, Nachvollziehbarkeit, Authentizität und Verfügbarkeit. Ihre Kategorie entspricht dem höchsten erreichten Niveau.

02

Sie bewerten die drei Bereiche

20 repräsentative Fragen aus den 73 Maßnahmen von Anhang II, gruppiert in organisatorisch, operativ und Schutzmaßnahmen.

03

Alles läuft in Ihrem Browser

Die Logik ist lokales JavaScript: Keine Antwort wird an einen Server gesendet oder irgendwo gespeichert.

04

Wir gleichen mit dem RD 311/2022 ab

Kategorie (Art. 40, Anhang I) + Anwendbarkeit der Maßnahmen je Bereich (Anhang II) + Audit- oder Selbstbewertungsregime (Art. 31 und 38).

05

Sie erhalten Ihren Reifegrad in %

Je Bereich, mit priorisierten konkreten Lücken und nächsten Schritten, um sie zu schließen — plus Link zur Vertiefung Ihres konkreten Falls.

Warum dieses Tool

Drei Bereiche, 73 Maßnahmen, eine Kategorie, die alles bestimmt.

Das ENS — spanisches nationales Sicherheitsschema, Königliches Dekret 311/2022 vom 3. Mai (BOE-A-2022-7191) — regelt die Sicherheit der Informationssysteme des gesamten spanischen öffentlichen Sektors und erfasst auch private Unternehmen, die aufgrund eines Vertragsverhältnisses Dienstleistungen oder Lösungen für öffentliche Verwaltungen zur Ausübung ihrer Befugnisse erbringen, einschließlich ihrer Lieferkette, wenn eine Risikoanalyse dies erfordert (Art. 2). Die häufigste Verwechslung bei KMU, die sich um einen öffentlichen Auftrag in Spanien bewerben, ist nicht Unkenntnis über die Existenz des ENS, sondern Unklarheit darüber, in welche Kategorie ihr System fällt — und genau diese Kategorie bestimmt, wie viele Maßnahmen und mit welchem Verstärkungsgrad anzuwenden sind.

Anhang I: fünf Dimensionen, die Kategorie entspricht dem höchsten Niveau

Anhang I bewertet die Auswirkung, die ein Vorfall auf fünf Sicherheitsdimensionen hätte: Vertraulichkeit, Integrität, Nachvollziehbarkeit, Authentizität und Verfügbarkeit. Jeder betroffenen Dimension wird ein Niveau zugewiesen — NIEDRIG (begrenzter Schaden, leicht zu beheben), MITTEL (schwerer Schaden, schwer zu beheben) oder HOCH (sehr schwerer oder irreparabler Schaden) — und hier die Regel, die die meisten KMU übersehen: Die Kategorie des gesamten Systems entspricht dem höchsten Niveau, das in irgendeiner einzelnen Dimension erreicht wird. Ist die Verfügbarkeit Ihres Systems nur NIEDRIG, aber die Vertraulichkeit der verarbeiteten Daten HOCH, ist das gesamte System Kategorie HOCH — mit allen 73 Maßnahmen aus Anhang II auf ihrem anspruchsvollsten Verstärkungsniveau (Art. 40 und Anhang I, Abschnitt 4).

Anhang II: organisatorisch, operativ und Schutzmaßnahmen

Die Sicherheitsmaßnahmen verteilen sich auf drei Bereiche: den organisatorischen Bereich [org] mit 4 Maßnahmen, die die Grundlage von allem bilden — Richtlinie, Vorschriften, Verfahren und Genehmigungsprozess; den operativen Bereich [op] mit 33 Maßnahmen in sieben Familien (Planung, Zugriffskontrolle, Betrieb, externe Ressourcen, Cloud-Dienste, Dienstkontinuität und Überwachung); und die Schutzmaßnahmen [mp] mit 36 Maßnahmen in acht Familien, die konkrete Werte schützen — Einrichtungen, Personal, Ausrüstung, Kommunikation, Datenträger, Anwendungen, Information und Dienste. Nicht alle 73 gelten für jedes System gleichermaßen: Jede hat Verstärkungen (R1, R2...), die je nach Ihrer Kategorie aktiviert werden, und die Gesamtheit der angewendeten Maßnahmen wird in der Anwendbarkeitserklärung festgehalten, einem vom Sicherheitsverantwortlichen unterzeichneten Dokument (Art. 28).

Audit oder Selbstbewertung, je nach Kategorie

Hier der zweite Punkt, der den Compliance-Aufwand am stärksten verändert: Systeme der Kategorie NIEDRIG benötigen nur eine Selbstbewertung, um die ENS-Konformität zu erklären, während Systeme der Kategorie MITTEL oder HOCH ein Zertifizierungsaudit benötigen, mit einer ordentlichen Überprüfung mindestens alle zwei Jahre und einer außerordentlichen bei wesentlichen Änderungen am System (Art. 31 und 38). Bei Systemen der Kategorie HOCH kann der Systemverantwortliche, falls das Audit schwerwiegende Mängel feststellt, die Informationsverarbeitung oder Dienstbereitstellung vorübergehend aussetzen, bis diese behoben sind (Art. 31.6). Systeme, die vor Inkrafttreten des RD 311/2022 bereits existierten, hatten 24 Monate Zeit zur Anpassung — eine Frist, die im Mai 2024 ablief — während neue Systeme die Verordnung von ihrer Konzeption an anwenden.

Stuft die Selbstdiagnose Sie in Kategorie MITTEL oder HOCH mit erheblichen Lücken ein, finden Sie in den 73 ENS-Maßnahmen mit ihrer Anwendbarkeit erklärt (Quelle auf Spanisch) das vollständige Detail jeder Kontrolle je Bereich, und in Prozess, Anforderungen und Kosten der ENS-Zertifizierung (Quelle auf Spanisch) den nächsten Schritt zum Audit. Den vollständigen Text der Verordnung finden Sie in der Zusammenfassung des geltenden Königlichen Dekrets 311/2022 (Quelle auf Spanisch). All dies ist Teil unseres Bereichs für Rechts- und Regelkonformität, in dem wir auch NIS2, DORA, die DSGVO und den AI Act behandeln. Und wenn Sie noch nicht wissen, ob diese anderen Vorschriften auch für Sie gelten, prüft unser Schwestertool welche Vorschrift gilt für mich? alle auf einmal.

Häufig gestellte Fragen

Bevor Sie die Selbstdiagnose starten.

Was ist das ENS und für wen gilt es?+

Das ENS (Esquema Nacional de Seguridad, spanisches nationales Sicherheitsschema) ist das Königliche Dekret 311/2022 vom 3. Mai, das die Sicherheit der Informationssysteme des gesamten spanischen öffentlichen Sektors regelt. Es gilt auch für private Unternehmen, die aufgrund eines Vertragsverhältnisses Dienstleistungen oder Lösungen für öffentliche Verwaltungen zur Ausübung ihrer Befugnisse erbringen — einschließlich der Lieferkette dieser Auftragnehmer, wenn die Risikoanalyse dies erfordert (Art. 2).

Wie wird bestimmt, ob mein System Kategorie niedrig, mittel oder hoch ist?+

Bewertet wird die Auswirkung eines Vorfalls auf fünf Sicherheitsdimensionen — Vertraulichkeit, Integrität, Nachvollziehbarkeit, Authentizität und Verfügbarkeit (Anhang I) — wobei jeder das Niveau NIEDRIG, MITTEL oder HOCH zugewiesen wird. Die Kategorie des Systems entspricht dem höchsten in irgendeiner Dimension erreichten Niveau: Erreicht eine einzige Dimension HOCH, ist das gesamte System Kategorie HOCH, auch wenn die anderen niedriger sind (Art. 40 und Anhang I, Abschnitt 4).

Wie viele Sicherheitsmaßnahmen fordert Anhang II, und muss ich alle umsetzen?+

Anhang II listet 73 Maßnahmen in drei Bereichen: organisatorisch (4), operativ (33) und Schutzmaßnahmen (36). Nicht alle gelten gleichermaßen: Jede Maßnahme hat Verstärkungen (R1, R2...), die je nach Kategorie des Systems aktiviert werden. Die Gesamtheit der angewendeten Maßnahmen und Verstärkungen wird in der Anwendbarkeitserklärung festgehalten, die vom Sicherheitsverantwortlichen unterzeichnet wird (Art. 28).

Brauche ich ein externes Audit, oder reicht eine Selbstbewertung?+

Das hängt von der Kategorie ab: Systeme der Kategorie NIEDRIG benötigen nur eine Selbstbewertung, um die Konformität zu erklären, während Systeme der Kategorie MITTEL oder HOCH ein Zertifizierungsaudit benötigen, mit einer ordentlichen Überprüfung mindestens alle zwei Jahre (Art. 31 und 38, RD 311/2022).

Ist dieses Ergebnis eine offizielle ENS-Zertifizierung?+

Nein. Es handelt sich um eine automatische Orientierung auf Basis Ihrer Antworten, die Ihnen zeigen soll, wo Sie anfangen sollten — keine Anwendbarkeitserklärung und keine Konformitätszertifizierung. Sie ersetzt nicht das offizielle Audit, wenn Ihre Kategorie es vorschreibt. Und es wird nichts gespeichert: Der Test läuft vollständig in Ihrem Browser mit JavaScript, ohne dass eine Antwort an einen Server gesendet wird.

Sollen wir Ihr Ergebnis besprechen?

Lassen Sie uns das gemeinsam durchgehen.

Vereinbaren Sie eine kostenlose 30-minütige Sitzung. Wir besprechen Ihr Ergebnis, klären, welche Lücke in Ihrem Fall am wichtigsten ist, und welche konkreten Schritte zuerst folgen — Kategorisierung, Anwendbarkeitserklärung oder Audit-Vorbereitung.

Kostenlosen Termin vereinbaren →