Kit Consulting Cybersicherheit und ISO 27001: geförderte Zertifizierung in Spanien

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Aktualisiert für den Förderzyklus 2026. Detailanalyse der Cybersicherheitskategorien des Kit Consulting (spanischer Beratungszuschuss).

Die Cybersicherheit ist heute eine der größten strategischen Herausforderungen für spanische KMU (kleine und mittlere Unternehmen, im Spanischen PYME). In einem Umfeld zunehmender Bedrohungen, neuer regulatorischer Anforderungen wie der NIS2-Richtlinie und steigender Kundenanforderungen an die ISO-27001-Zertifizierung bietet das Kit Consulting (spanischer Beratungszuschuss) eine konkrete Antwort: drei Beratungsstufen, jede mit einem Fördervolumen von 6.000 €, die in ihrer Kombination das KMU von einem grundlegenden Selbstschutz bis zur formalen ISO-27001-Zertifizierung führen. Dieser Leitfaden erklärt, wie Sie die drei Stufen kombinieren und welche Anforderungen an den digitalen Berater zu stellen sind.

Stufe 1: Cybersicherheit Grundstufe (6.000 €)

Die erste Stufe der Cybersicherheitsberatung im Rahmen des Kit Consulting deckt das diagnostische Grundgerüst ab. Sie umfasst die Analyse der aktuellen Sicherheitslage, die Identifizierung kritischer Schwachstellen, die Überprüfung der bestehenden Sicherheitsrichtlinien und die Erstellung eines unmittelbaren Verbesserungsplans. Diese Stufe ist insbesondere für KMU empfohlen, die noch keine formale Sicherheitsstrategie umgesetzt haben.

Die Beratung umfasst mindestens 40 Stunden Fachleistung über drei Monate. Typische Liefergegenstände sind ein Bericht zur Sicherheitsdiagnose, ein priorisierter Verbesserungsplan, ein Verzeichnis kritischer Vermögenswerte sowie konkrete Empfehlungen für Konfigurationen von Firewall, Endpunktschutz und Datensicherung. Aus regulatorischer Sicht wird in dieser Stufe der Stand der DSGVO-Konformität hinsichtlich der Datensicherheit überprüft, einschliesslich der technischen und organisatorischen Maßnahmen, die Artikel 32 der Verordnung verlangt.

Stufe 2: Cybersicherheit Fortgeschritten (6.000 €)

Die zweite Stufe vertieft die strategische Sicht und schafft die notwendige Grundlage für eine formale Zertifizierung. Sie umfasst die Risikoanalyse nach Methoden wie ISO 27005 oder MAGERIT, den Entwurf der Sicherheitsarchitektur, die Erstellung des Sicherheitsmasterplans und die Bewertung der Sicherheitsanbieter.

Auf dieser Stufe werden auch die regulatorischen Anforderungen aus der NIS2-Richtlinie behandelt, die in Spanien über die Umsetzungsverordnung gilt und kritische und wichtige Einrichtungen verpflichtet. Für KMU, die ihren Kundenkreis um Unternehmen im Anwendungsbereich von NIS2 erweitern möchten, ist diese Stufe häufig die Mindestvoraussetzung, um in Lieferantenfreigaben aufgenommen zu werden.

Liefergegenstände sind in der Regel der formale Risikobericht, der Sicherheitsmasterplan mit Roadmap auf drei Jahre, die priorisierte Liste der zu implementierenden Kontrollen, die Sicherheitsrichtlinien und der Plan zur Sensibilisierung der Mitarbeitenden. Diese Stufe legt die methodische und dokumentarische Grundlage für die anschliessende Zertifizierung.

Stufe 3: Vorbereitung auf die Zertifizierung (6.000 €)

Die dritte Stufe ist die spezifische Vorbereitung auf eine formale Zertifizierung. Die häufigste Zielnorm ist ISO 27001, kann aber auch das ENS (Esquema Nacional de Seguridad) für Unternehmen umfassen, die Lieferanten der spanischen öffentlichen Verwaltung sind.

Die Beratung umfasst die Erstellung der vollständigen Dokumentation des Informationssicherheits-Managementsystems (ISMS): Anwendbarkeitserklärung (SoA), Informationssicherheitsrichtlinie, prozedurale Dokumentation, Aufzeichnungen, Plan der internen Audits und Vorbereitung auf die Managementbewertung. Ferner gehören die Auswahl der akkreditierten Zertifizierungsstelle, die Durchführung des internen Audits und die Begleitung während der eigentlichen Zertifizierungsaudits Stufe 1 und Stufe 2 zum Umfang.

Die Förderung des Kit Consulting deckt die Beratungsstunden ab, nicht die Audithonorare der Zertifizierungsstelle, die separat ausgewiesen werden. Trotzdem ist die Einsparung erheblich: Der Marktpreis einer professionellen Begleitung bis zur Zertifizierung liegt in der Regel zwischen 12.000 € und 25.000 €.

Optimale Strategie: Kombination der drei Stufen

Die effizienteste Strategie besteht darin, die drei Stufen sequenziell zu kombinieren und das gesamte Fördervolumen von 18.000 € auszuschöpfen. Dies setzt voraus, dass das Unternehmen Segment B (50 bis 99 Beschäftigte) oder Segment C (100 bis 249 Beschäftigte) angehört, da im Segment A nur zwei Beratungsleistungen zulässig sind.

Die typische Sequenz lautet: Monate 1 bis 3 für die Grundstufe, mit Diagnose und schnellen Maßnahmen; Monate 4 bis 6 für die fortgeschrittene Stufe, mit formaler Risikoanalyse und Sicherheitsmasterplan; Monate 7 bis 12 für die Zertifizierungsvorbereitung, mit Dokumentationserstellung, internem Audit und schliesslich dem Zertifizierungsaudit. So erreicht das KMU innerhalb von 12 Monaten den Sprung von einem grundlegenden Schutzniveau zur formalen ISO-27001-Zertifizierung, mit voller Förderung der Beratungsleistungen.

Kombination Kit Consulting + Kit Digital für ganzheitliche Cybersicherheit

Die Beratung löst die Strategie und die Dokumentation; sie löst jedoch nicht die technische Umsetzung. Hier kommt das Kit Digital (spanischer Digitalisierungszuschuss) ins Spiel. Die Cybersicherheitskategorie des Kit Digital, mit Höchstbeträgen zwischen 1.125 € und 7.000 € je nach Segment, deckt die Anschaffung und Konfiguration konkreter Lösungen ab: EDR (Endpoint Detection and Response), MDR (Managed Detection and Response), Mehrfaktor-Authentifizierung, Webfilterung, E-Mail-Schutz und verschlüsselte Sicherungen.

Die intelligente Kombination lautet: Das Kit Consulting definiert, welche Kontrollen erforderlich sind; das Kit Digital finanziert ihre Anschaffung; und der gleiche Berater oder Digitalisierungsagent stellt die Kohärenz zwischen Entwurf und Umsetzung sicher. So entsteht ein vollständiger Pfad von der Diagnose bis zur betriebsbereiten Lösung und Zertifizierung, mit kumulierter Förderung der nationalen Programme, die in einigen Fällen 50 Prozent der Gesamtinvestition übersteigt.

Welche Anforderungen muss der digitale Berater für Cybersicherheit erfüllen?

Die Auswahl des digitalen Beraters ist entscheidend, denn nicht jeder Berater verfügt über das Profil, eine ISO-27001-Zertifizierung zu begleiten. Die wichtigsten Kriterien sind folgende: erstens nachgewiesene Erfahrung in formalen ISO-27001-Implementierungen mit Referenzkunden; zweitens persönliche professionelle Zertifizierungen des Beraters, idealerweise ISO 27001 Lead Auditor oder ISO 27001 Lead Implementer, sowie ergänzende Zertifizierungen wie CISA, CISM oder CISSP; drittens praktische Kenntnis der DSGVO, der NIS2-Richtlinie und des ENS sowie der Aufsichtskriterien der AEPD (Agencia Espanola de Proteccion de Datos); viertens die Fähigkeit, die Implementierung über den reinen Beratungszeitraum hinaus zu begleiten, idealerweise als gleichzeitiger Digitalisierungsagent des Kit Digital; fünftens regionale Präsenz, falls das Unternehmen mehrere Standorte hat, oder zumindest die Fähigkeit, hybride Auditprozesse zu führen.

Ein weiterer wichtiger Aspekt ist die Unabhängigkeit des Beraters von der Zertifizierungsstelle. Die ISO/IEC 17021 verbietet ausdrücklich, dass die gleiche Organisation, die das ISMS implementiert, das Zertifizierungsaudit durchführt. Ein seriöser Berater wird Ihnen daher mehrere akkreditierte Zertifizierungsstellen (z. B. ENAC-akkreditierte Stellen in Spanien) vorschlagen und nicht versuchen, beide Rollen zu vereinen.

Regulatorische Neuerungen und Perspektiven

Das Jahr 2026 bringt mehrere Bewegungen mit sich, die den Cybersicherheitsbereich prüfen. Erstens die schrittweise Umsetzung der NIS2-Richtlinie, deren Anforderungen sich indirekt über die Lieferkette auf KMU erstrecken. Zweitens die zunehmende Forderung nach ISO-27001-Zertifizierung in öffentlichen Ausschreibungen und in Verträgen mit großen Unternehmen. Drittens das Inkrafttreten neuer Pflichten im Rahmen des AI Act (EU-Verordnung 2024/1689) für Unternehmen, die KI-Systeme entwickeln oder einsetzen, mit unmittelbaren Auswirkungen auf die Sicherheitsanforderungen der zugrunde liegenden Daten.

Zudem hat die Verordnung TDF/38/2026, veröffentlicht im BOE, die Förderbasis des Kit Consulting flexibilisiert und die Tür für neue Aufrufe geöffnet. Unternehmen, die die Dokumentation vorbereitet und einen Berater identifiziert haben, werden in der Lage sein, beim nächsten verfügbaren Zeitfenster zügig zu handeln. Die Empfehlung von INCIBE (Instituto Nacional de Ciberseguridad) lautet, die Cybersicherheitsplanung nicht von der Eröffnung der Förderaufrufe abhängig zu machen, sondern bereits jetzt mit den verfügbaren Mitteln zu beginnen, um die Risiken nicht zu kumulieren.

Realistische Kostenrechnung für das KMU

Eine Kostenrechnung in einem typischen Projekt sieht wie folgt aus: Beratungsleistungen Kit Consulting in drei Stufen, vollständig gefördert mit 18.000 €; Anschaffung von Sicherheitslösungen über Kit Digital, mit Förderung je nach Segment zwischen 3.000 € und 7.000 €; Zertifizierungsaudit durch die akkreditierte Stelle, mit Kosten in der Regel zwischen 4.000 € und 8.000 € für KMU; jährliche Aufrechterhaltung des ISMS, einschliesslich interner Audits und Ueberwachungsaudits, mit jährlichen Kosten zwischen 2.000 € und 4.000 €. Mit dieser Struktur kann ein KMU die ISO-27001-Zertifizierung mit einer geringen Netto-Eigenbeteiligung erreichen, sofern das Programm ordnungsgemäß gefördert wird.

Praktischer Zeitplan einer ISO-27001-Implementierung mit Kit Consulting

Ein typisches Projekt zur Erlangung der ISO-27001-Zertifizierung mit Förderung des Kit Consulting lässt sich in einen klar definierten Zeitplan über 12 Monate gliedern. In Monat 1 erfolgt die Aufnahme der Beratung Stufe 1 mit Auftaktveranstaltung, Erhebung des aktuellen Standes und Erstellung der ersten Sicherheitsdiagnose. In Monat 2 wird der priorisierte Verbesserungsplan vorgelegt und die ersten Sofortmaßnahmen werden umgesetzt. In Monat 3 wird die Stufe 1 mit Uebergabe des Diagnoseberichts und der Verzeichnisse abgeschlossen.

Die Monate 4 bis 6 widmen sich der Stufe 2, mit Risikoanalyse, Sicherheitsmasterplan und Anbieterbewertung. Die Monate 7 bis 9 widmen sich der Erstellung der ISMS-Dokumentation, dem Aufbau der Anwendbarkeitserklärung und der ersten Schulung der Mitarbeitenden. In Monat 10 erfolgt das interne Audit, in Monat 11 das Zertifizierungsaudit Stufe 1 durch die akkreditierte Stelle und in Monat 12 das Zertifizierungsaudit Stufe 2 mit Erteilung des Zertifikats. Diese Sequenz nutzt die drei Beratungsstufen sequenziell und schöpft das volle Fördervolumen von 18.000 € aus.

Aufrechterhaltung des ISMS nach der Zertifizierung

Die ISO-27001-Zertifizierung hat eine Geltungsdauer von drei Jahren und erfordert jährliche Ueberwachungsaudits sowie eine Rezertifizierung nach Ablauf des Zyklus. Dies bedeutet, dass die Aufrechterhaltung des ISMS eine kontinuierliche Aufgabe ist und keine punktuelle Maßnahme. Die typischen Wartungstätigkeiten umfassen die jährliche Risikobewertung, die Aktualisierung der Anwendbarkeitserklärung, die periodischen internen Audits, die Managementbewertungssitzung, die kontinuierliche Schulung der Mitarbeitenden und die Verwaltung von Sicherheitsvorfällen.

Die Aufrechterhaltung kann durch ein internes Team mit der entsprechenden Qualifikation erfolgen oder an einen externen Anbieter delegiert werden. In KMU ohne eigenes Sicherheitspersonal ist die Externalisierung an einen spezialisierten Berater häufig die wirtschaftlich rationale Option. Die jährlichen Wartungskosten liegen in der Regel zwischen 2.000 € und 4.000 €, einschliesslich interner Auditstunden, Dokumentationsaktualisierung und Vorbereitung der Ueberwachungsaudits.

Verhältnis zur NIS2-Richtlinie und zur Lieferantenkette

Die NIS2-Richtlinie der Europäischen Union, in Spanien über die entsprechende Umsetzungsverordnung verbindlich, verpflichtet kritische und wichtige Einrichtungen zu strengen Sicherheitsanforderungen, einschliesslich Meldepflichten an die zuständigen Behörden und Lieferantenkontrolle. Dies hat eine indirekte Auswirkung auf das KMU: Auch wenn das KMU nicht direkt unter NIS2 fällt, wird es zur Konformität verpflichtet, wenn es Lieferant einer im Anwendungsbereich befindlichen Einrichtung ist. Große Unternehmen und öffentliche Verwaltungen verlangen zunehmend von ihren Lieferanten formale Sicherheitsnachweise, einschliesslich ISO-27001-Zertifizierung oder gleichwertige.

Das bedeutet, dass die ISO-27001-Zertifizierung nicht mehr ein zusätzliches Differenzierungsmerkmal ist, sondern in vielen Sektoren eine Mindestvoraussetzung für die Aufrechterhaltung der wichtigsten kommerziellen Konten. KMU, die diese Konformitätsschwelle vorausschauend antizipieren, sichern ihre Markposition; KMU, die warten, bis ihre Kunden sie verlangen, riskieren den Verlust von Verträgen oder die Fristverkürzung für die Konformität.

Ergänzende Werkzeuge für das ISMS

Die Implementierung des ISMS profitiert von ergänzenden Werkzeugen, die über das Kit Digital finanziert werden können. Zu diesen Werkzeugen gehören: GRC-Plattformen (Governance, Risk, Compliance) zur strukturierten Verwaltung der Sicherheitsdokumentation und der Risikoanalyse; SIEM-Plattformen (Security Information and Event Management) zur zentralen Ereignisueberwachung; Schwachstellenscanner zur periodischen automatisierten Auditierung; Lösungen für Identitäts- und Zugriffsmanagement (IAM) mit Multi-Faktor-Authentifizierung und Privilegienverwaltung; sowie sichere Sicherungs- und Notfallwiederherstellungslösungen. Diese Werkzeuge werden über die Kategorie der fortgeschrittenen Cybersicherheit des Kit Digital für die Segmente IV und V abgedeckt, mit Höchstbeträgen bis zu 9.000 €.

Wenn Sie als KMU in Spanien die ISO-27001-Zertifizierung anstreben oder Ihre Cybersicherheitslage konsolidieren möchten, hilft Ihnen das Kit Consulting, die Strategie zu finanzieren, und das Kit Digital deckt die technologische Umsetzung ab. Sprechen wir darüber, wie sich diese Programme an Ihren konkreten Reifegrad anpassen lassen.

Autor: Angel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Quellen: AENOR · BOE · ISO

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro