Paket ISO 27001 + ENS + DSGVO für Ausschreibungen der spanischen öffentlichen Verwaltung in Kastilien-León

Q: Deckt das Programm Kit Digital diese Beratung ab?

Nein. Kit Digital deckt konkrete digitale Lösungen ab (Web, CRM, BI, Basis-Cybersicherheit), aber nicht die strategische Beratung zur Einführung von ISO/ENS. Dafür dient das Programm Kit Consulting (Verordnung TDF/38/2026), das bis zu 24.000 € an strategischer Beratung subventioniert, einschließlich KI-Governance, Cybersicherheit und Normeneinführung.

Q: Kann ein KMU an Ausschreibungen der öffentlichen Verwaltung nur mit Verpflichtungserklärungen teilnehmen?

Bei kleinen Ausschreibungen (unter 30.000 €) akzeptieren manche Verwaltungen feste Zusagen, die Zertifizierungen innerhalb von X Monaten nach Zuschlag zu erlangen. Aber das ist die Ausnahme und hängt von der Vergabestelle ab. Als praktische Regel gilt: Bei jedem Vertrag über 50.000 € werden die Zertifizierungen unterzeichnet und gültig im Umschlag B verlangt.

Unabhaengige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) fuer ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Um sich 2026 an Ausschreibungen der spanischen öffentlichen Verwaltung in Kastilien-León (Castilla y León) zu beteiligen, muss ein IKT-KMU ISO 27001 + ENS Niedrig (Mindestmaß) + dokumentierte DSGVO-Konformität kombinieren. Das komplette Beratungspaket kostet 18.000–28.000 € und ist in 5–7 Monaten abgeschlossen.

Zusammenfassung · TL;DR

Seit Mai 2024 verpflichtet der Königliche Erlass 311/2022 jeden Lieferanten der spanischen öffentlichen Verwaltung zur Zertifizierung nach dem Spanischen Nationalen Sicherheitsgrundgesetz (ENS). Die praktische Realität: ein technologisches KMU, das sich an Ausschreibungen der Regionalregierung von Kastilien-León (Junta de Castilla y León), Provinzräten, Gemeinden oder dem regionalen Gesundheitsdienst SACYL beteiligen will, muss ISO 27001 (Managementsystem für Informationssicherheit), ENS Niedrig oder Mittel (je nach Vertragskategorie) und eine dokumentierte und auditierte DSGVO-Politik kombinieren. Die parallele Einführung der drei kostet 18.000–28.000 € und ist in 5–7 Monaten abgeschlossen. Der Förderbonus Kit Consulting von Red.es subventioniert bis zu 24.000 € in der Beratungsphase.

Im Jahr 2026 kann kein IKT-KMU in Kastilien-León um öffentliche Aufträge konkurrieren, ohne die Compliance-Matrix gelöst zu haben. Die Regionalregierung verlangt Zertifikate; die Ausschreibungen vergeben Punkte; die Vergabestellen weisen Bieter mit unvollständigen Unterlagen standardmäßig ab. Dieser Leitfaden behandelt das effizienteste Paket: ISO 27001 + ENS + DSGVO, in 5–7 Monaten, für weniger als 28.000 €.

Welche Normen verlangt die spanische öffentliche Verwaltung 2026?

Die Wirbelsäule der Compliance für Lieferanten der spanischen öffentlichen Verwaltung sind 2026 drei Normen, die sich überschneiden und gegenseitig verstärken:

ISO 27001 (Managementsystem für Informationssicherheit): freiwilliger internationaler Rahmen, der die Kontrolle über Informationswerte nachweist. Sie ist die Basis, auf der die technische Compliance aufgebaut wird.
Spanisches Nationales Sicherheitsgrundgesetz (ENS): geregelt durch den Königlichen Erlass 311/2022, ist verpflichtend für jede öffentliche Stelle und jeden Lieferanten, der Informationen des spanischen öffentlichen Sektors verarbeitet. Drei Kategorien je nach Wirkung des Dienstes: Niedrig, Mittel und Hoch.
DSGVO + LOPDGDD: die europäische Datenschutz-Grundverordnung (2016/679) und das spanische Organgesetz zu ihrer Umsetzung (2018) sind verpflichtend, sobald personenbezogene Daten verarbeitet werden. Die AEPD sanktioniert.

Der häufigste Fehler von KMU ist, sich nur mit DSGVO zu bewerben (gesetzliches Minimum), wenn die Ausschreibung ausdrücklich ISO 27001 + ENS verlangt. Die Vergabestellen erkennen das beim ersten Durchsehen des Umschlags B und schließen das Angebot als unvollständig aus.

Vergleichstabelle: ISO 27001 vs. ENS vs. DSGVO

Aspekt	ISO 27001	ENS (Königlicher Erlass 311/2022)	DSGVO / LOPDGDD
Charakter	Freiwillig	Verpflichtend für Lieferanten der öffentlichen Verwaltung	Verpflichtend bei personenbezogenen Daten
Anwendungsbereich	International	Spanien (öffentlicher Sektor)	Europäische Union
Fokus	Risikomanagement	Präskriptiv (welche Kontrollen anzuwenden sind)	Schutz der natürlichen Person
Auditor	AENOR · BV · SGS · LRQA · ENAC	Für ENS akkreditierte ENAC-Stellen	Keine Zertifizierung erforderlich · AEPD prüft
Kosten KMU	8.000–18.000 € + 2.500 €/Jahr	6.000–15.000 € + 2.000 €/Jahr	2.000–6.000 € Anpassung
Einführungsdauer	4–6 Monate	3–5 Monate (bei ISO 27001 als Basis)	6–10 Wochen
Verlängerung	Externes Audit alle 3 Jahre + jährliches Folgeaudit	Reevaluierung alle 2 Jahre (Kategorien Mittel/Hoch)	Laufende Überprüfung (Aufzeichnungen)
Bußgelder bei Nichteinhaltung	N/A (Verlust des Zertifikats)	Vertragsverlust + strafrechtliche Verantwortung	Bis zu 20 Mio. € oder 4 % Umsatz

Die Synergie zwischen den drei ist hoch: die parallele Einführung spart 30–40 % der Stunden gegenüber einer getrennten Vorgehensweise, weil sie ein gemeinsames Managementsystem, dieselben Vermögensregister, dieselben Zugriffskontrollen und dieselbe Struktur für interne Audits teilen.

Wie hoch sind die realen Kosten der Einführung des Komplettpakets 2026?

Für ein spanisches IKT-KMU mit 10–40 Beschäftigten, das sich an Ausschreibungen der öffentlichen Verwaltung beteiligen will, sind die realistischen Gesamtkosten des Pakets ISO 27001 + ENS Niedrig + DSGVO:

Posten	KMU 10–25 Beschäftigte	KMU 25–50 Beschäftigte
Externe Beratung Einführung (5 Monate)	14.000–18.000 €	18.000–25.000 €
Externes Audit ISO 27001 (Drittpartei)	2.500–4.000 €	3.500–5.500 €
ENS-Zertifizierung (akkreditierte Stelle)	2.500–4.500 €	4.000–6.500 €
DSGVO-Anpassung (Dokumentation)	1.500–3.000 €	2.500–4.500 €
Werkzeuge (Risikomanager, GRC)	1.200–2.500 €/Jahr	2.500–5.000 €/Jahr
Gesamt Jahr 1	21.700–32.000 €	30.500–46.500 €
Wartung Jahre 2–3	4.500–7.000 €/Jahr	6.500–10.500 €/Jahr

Mit dem Förderbonus Kit Consulting von Red.es (Verordnung TDF/38/2026) kann ein KMU des Segments A bis zu 24.000 € der vorherigen strategischen Beratung subventionieren. Dies reduziert die effektive Auslage im Jahr 1 auf 8.000–22.000 €.

Wie lange dauert es, bis ein KMU für eine Ausschreibung bereit ist?

Der realistische Zeitplan in einem KMU mit 10–40 Beschäftigten, mit Geschäftsleitung, die ab Tag 1 eingebunden ist, und einer benannten internen verantwortlichen Person (nicht zwingend Senior, aber mit Zeit):

Monat 1: Ausgangsdiagnose (Vermögensinventar, Karte der DSGVO-Verarbeitungen, Lückenanalyse). Grundpolitik durch die Geschäftsleitung genehmigt.
Monat 2: Risikoanalyse (Methode MAGERIT für ENS, ISO 27005 für ISO 27001). Definition der anwendbaren Kontrollen.
Monat 3: Erstellung von Politiken, Verfahren und Aufzeichnungen. Schulung des Teams (mindestens 8 Stunden).
Monat 4: Einführung technischer Kontrollen (Verschlüsselung, Zugriffskontrolle, Aktivitätsprotokollierung). Internes Audit.
Monat 5: Korrektur von Nichtkonformitäten. Beantragung des externen Audits ISO 27001 und ENS-Zertifizierung.
Monat 6–7: externes Audit, Zertifizierung, abschließende Dokumentation.

Eine Beschleunigung auf 3–4 Monate ist möglich, erfordert aber intensive Widmung des internen Teams und birgt das Risiko größerer Nichtkonformitäten im externen Audit.

Realer Fall: technologisches Weingut aus Valladolid bietet auf SACYL

Ein technologisches Weingut mit 28 Beschäftigten und Sitz in Valladolid stand vor einer SACYL-Ausschreibung (Gesundheitsdienst von Kastilien-León) über 180.000 € für Dienste der Dokumentenverwaltung. Die Ausschreibungsunterlagen verlangten ISO 27001 + ENS Niedrig + von AEPD genehmigtes DSGVO-Protokoll. Das Unternehmen hatte keine der drei.

Parallele Einführung der drei Normen über 5 Monate mit einem Gesamtbudget von 24.000 € (Beratung 16.000 € + externes Audit AENOR 4.000 € + ENS-Zertifizierung 3.000 € + GRC-Werkzeug 1.000 €). Ergebnisse zum Projektabschluss:

ISO 27001 zertifiziert durch AENOR (Akkreditierung ENAC).
ENS Niedrig zertifiziert durch eine vom CCN-CERT akkreditierte Stelle.
DSGVO-Anpassung mit von AEPD genehmigtem Verarbeitungsverzeichnis.
SACYL-Ausschreibung gewonnen (Compliance-Punktzahl 12/12 im Umschlag B).
Zugang zu 6 weiteren ähnlichen Ausschreibungen in Kastilien-León innerhalb von 12 Monaten.

Der direkte ROI des Projekts wurde auf das 7,5-fache des ersten Jahres berechnet (180.000 € Vertragswert / 24.000 € Investition), ohne die Folgeverträge zu zählen, die die Zertifizierung in den darauffolgenden Monaten ermöglichte.

Checkliste: 12 Schritte bis zur Ausschreibung mit vollständiger Compliance

Anfangsdiagnose: vollständiges Inventar der Informationswerte (Server, Datenbanken, Software, Drittparteien).
Karte der Verarbeitungen personenbezogener Daten gemäß Art. 30 DSGVO (Verantwortlicher, Auftragsverarbeiter, Zweck, Rechtsgrundlage, Übermittlungen, Fristen).
Risikoanalyse MAGERIT (für ENS) und Wahrscheinlichkeits-/Wirkungsmatrix (für ISO 27001).
Sicherheitspolitik unterzeichnet von der Geschäftsleitung, kommuniziert an die gesamte Organisation.
Operative Verfahren: Zugriffskontrolle, Vorfallsmanagement, Sicherheitskopien, Änderungsmanagement.
Einführung technischer Kontrollen: Verschlüsselung in Ruhe und bei der Übertragung, MFA, zentrale Protokollierung, Netzwerksegmentierung.
Verpflichtende Schulung aller Beschäftigten (mindestens 8 Stunden) und spezifisch für das Sicherheitskomitee.
Benennung des Datenschutzbeauftragten (DSB), sofern nach Art. 37 DSGVO oder vertraglich erforderlich.
Mitteilung der DSB-Benennung an die AEPD (elektronisches Formular AEPD).
Dokumentiertes internes Audit (Aufzeichnungen, Nichtkonformitäten, Korrekturmaßnahmen).
Antrag auf externes Audit ISO 27001 (AENOR / BV / SGS / LRQA) und ENS-Zertifizierung (akkreditierte Stelle).
Technisches Memorandum des Umschlags B vorbereitet mit Anlagen: Politiken, Zertifikate, DSB-Benennung, Kontinuitätsplan.

Häufig gestellte Fragen

Was unterscheidet ENS Niedrig, Mittel und Hoch?

Die drei ENS-Kategorien werden nach der Wirkung des Dienstes oder der verarbeiteten Information auf fünf Dimensionen definiert (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Nachvollziehbarkeit). Niedrig: für Dienste mit geringer Wirkung in allen Dimensionen (die meisten generischen IKT-Dienste). Mittel: wenn die Wirkung in mindestens einer Dimension mittel ist (Gesundheitsdienste, Justiz, Steuererhebung). Hoch: Verteidigung, kritische Infrastrukturen. Für 80 % der KMU als Dienstleister der spanischen öffentlichen Verwaltung reicht ENS Niedrig.

Ist die Benennung eines Datenschutzbeauftragten (DSB) für Ausschreibungen verpflichtend?

Nicht automatisch. Die Pflicht zur Benennung eines DSB ergibt sich aus Art. 37 DSGVO und gilt unabhängig davon, ob ausgeschrieben wird oder nicht. Viele Ausschreibungsunterlagen der spanischen öffentlichen Verwaltung verlangen jedoch einen benannten und der AEPD gemeldeten DSB als zusätzliches Kriterium. 2026 verlangen das die meisten Ausschreibungen im Gesundheits-, Bildungs- und Sozialdienstbereich.

Kann man ENS Niedrig ohne vorherige ISO 27001 zertifizieren?

Ja, technisch sind sie unabhängig. Doch die Realität ist, dass ISO 27001 etwa 75 % der Anforderungen von ENS Niedrig abdeckt, sodass sie zu besitzen die ENS-Zertifizierung erheblich vereinfacht.

Was kostet die Aufrechterhaltung der drei Zertifizierungen pro Jahr?

Für ein KMU mit 10–25 Beschäftigten: 4.500–7.000 €/Jahr kombiniert. Umfasst die Folgeauditierung ISO 27001, die Reevaluierung ENS und die jährliche Überprüfung der DSGVO-Politik.

Was passiert, wenn ich während des Vertrags eine Zertifizierung verliere?

Sofortige Aussetzung des Vertrags und mögliche Schadensersatzforderung der Verwaltung. Daher ist es entscheidend, vierteljährliche interne Audits zu pflegen und das Zertifikat nicht ablaufen zu lassen. Die Zertifizierungsstellen weisen 60 Tage im Voraus darauf hin; im KMU empfiehlt es sich, die Erneuerung 90 Tage vorher zu planen.

Deckt das Programm Kit Digital diese Beratung ab?

Nein. Kit Digital deckt konkrete digitale Lösungen ab. Für die strategische Beratung zur Einführung von ISO/ENS dient Kit Consulting (bis zu 24.000 € gefördert).

Kann ein KMU an Ausschreibungen der öffentlichen Verwaltung nur mit Verpflichtungserklärungen teilnehmen?

Nur bei Ausschreibungen unter 30.000 €. Bei größeren Verträgen werden die Zertifizierungen unterzeichnet und gültig im Umschlag B verlangt.

Mini-Glossar

ISMS: Managementsystem für Informationssicherheit (ISO 27001).
ENS: Spanisches Nationales Sicherheitsgrundgesetz. Königlicher Erlass 311/2022.
CCN-CERT: Nationales Kryptologisches Zentrum, Zertifizierungsstelle ENS.
MAGERIT: Methode zur Analyse und zum Management von Risiken von Informationssystemen des CNI.
DSGVO: Verordnung (EU) 2016/679 zum Schutz personenbezogener Daten.
LOPDGDD: spanisches Organgesetz zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte.
DSB: Datenschutzbeauftragter.
Umschlag B: technischer Teil eines Angebots in einer öffentlichen Ausschreibung.
CPSTIC: Katalog der IKT-Sicherheitsprodukte und -dienste des CCN.

Offizielle Quellen

Autor: Ángel Ortega Castro – unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Haeufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte fuer KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR fuer die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es ueber Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.