ISMS Copilot
Unterstützte Frameworks

ENS (Esquema Nacional de Seguridad)

ENS (Esquema Nacional de Seguridad) ist das nationale Cybersicherheits-Framework Spaniens, das durch das Real Decreto 311/2022 eingeführt und durch RD 1125/2024 geändert wurde. Es schreibt Sicherheitsanforderungen für Organisationen des öffentlichen Sektors sowie für private Einrichtungen vor, die Regierungsdaten verarbeiten, und legt einen risikobasierten Ansatz mit drei Sicherheitskategorien und fünf Schutzdimensionen fest.

ISMS Copilot verfügt über spezielles Wissen zu den ENS-Anforderungen. Sie können framework-spezifische Fragen stellen, Richtlinien generieren, die auf ENS-Maßnahmen abgestimmt sind, Compliance-Lücken bewerten und Kontrollen mit ISO 27001:2022 und NIS2 abgleichen.

Wer benötigt ENS-Compliance?

ENS gilt für Organisationen in Spanien, die:

  • Öffentliche Verwaltung: Alle staatlichen Stellen, Behörden und Einheiten des öffentlichen Sektors auf nationaler, regionaler und lokaler Ebene

  • Auftragnehmer des Privatsektors: Unternehmen, die Dienstleistungen für die öffentliche Verwaltung erbringen oder Regierungsdaten verarbeiten

  • Betreiber kritischer Infrastrukturen: Betreiber kritischer Infrastrukturen, die von den spanischen Behörden benannt wurden

  • Staatliche Unternehmen: Öffentliche Unternehmen und Einheiten in Regierungsbesitz

  • Dienstanbieter: Organisationen, die personenbezogene Daten verarbeiten oder elektronische Dienste für öffentliche Einrichtungen bereitstellen

Die Einhaltung ist für Organisationen im Geltungsbereich obligatorisch, wobei die Anforderungen je nach Systemkategorisierung variieren.

ENS-Regulierungsstruktur

Das Framework ist unter RD 311/2022 mit der folgenden Struktur organisiert:

Gesetzesartikel (insgesamt 41):

  • Allgemeine Bestimmungen (Art. 1–4): Geltungsbereich, Definitionen und grundlegende Konzepte

  • Grundprinzipien (Art. 5–11): Sicherheitsprinzipien und organisatorische Anforderungen

  • Sicherheitspolitik und Anforderungen (Art. 12–30): Mindestsicherheitsmaßnahmen und politischer Rahmen

  • Audit und Incident Handling (Art. 31–34): Audit-Anforderungen und Vorfallreaktion

  • Konformitätsregeln (Art. 35–38): Erklärung und Zertifizierung der Konformität

  • Systemkategorisierung (Art. 40–41): Klassifizierungsmethodik

Anhänge:

  • Anexo I: Kriterien für die Systemkategorisierung (BÁSICA, MEDIA, ALTA)

  • Anexo II: 73 Sicherheitsmaßnahmen mit offiziellen Kennungen

  • Anexo III: Audit-Anforderungen und Periodizität

Sicherheitskategorien

ENS legt drei Sicherheitskategorien fest, basierend auf den potenziellen Auswirkungen von Sicherheitsverletzungen:

BÁSICA (Einfach):

  • Systeme mit minimalen Auswirkungen auf den Organisationsbetrieb

  • Begrenzte Folgen für die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten

  • Grundlegende Sicherheitsmaßnahmen erforderlich

  • Selbstbewertung und Konformitätserklärung ausreichend

MEDIA (Mittel):

  • Moderate Auswirkungen auf den Organisationsbetrieb oder die Dienstleistungserbringung

  • Potenzieller Schaden für Einzelpersonen oder Organisationen

  • Erweiterte Sicherheitsmaßnahmen mit Verstärkungsanforderungen

  • Erfordert alle zwei Jahre ein formelles Audit

ALTA (Hoch):

  • Kritische Systeme mit schwerwiegenden potenziellen Auswirkungen

  • Erheblicher Schaden für nationale Interessen, die öffentliche Sicherheit oder große Bevölkerungsgruppen

  • Maximale Sicherheitsmaßnahmen mit mehreren Verstärkungsstufen

  • Erfordert alle zwei Jahre ein formelles Audit durch akkreditierte Auditoren

Fünf Sicherheitsdimensionen

ENS organisiert Sicherheitsmaßnahmen über fünf Dimensionen, jeweils mit progressiven Stufen (0–3):

Dimension

Spanisch

Fokus

C

Confidencialidad

Schutz von Informationen vor unbefugter Offenlegung

I

Integridad

Aufrechterhaltung der Richtigkeit und Vollständigkeit der Daten

T

Trazabilidad

Aufzeichnung von Aktionen und Ermöglichung von Verantwortlichkeit

A

Autenticidad

Überprüfung der Identität und Sicherstellung der Datenherkunft

D

Disponibilidad

Sicherstellung des rechtzeitigen Zugriffs auf Informationen und Dienste

Jede Kategorie (BÁSICA, MEDIA, ALTA) erfordert spezifische Mindeststufen für jede Dimension. Höhere Kategorien erfordern höhere Dimensionsstufen, wobei Verstärkungen (R1, R2, R3) zusätzliche Kontrollen hinzufügen.

Die 73 Sicherheitsmaßnahmen

Anexo II definiert 73 Sicherheitsmaßnahmen, die in drei Rahmen unterteilt sind:

Marco Organizativo (Organisatorischer Rahmen):

  • Sicherheitspolitik und Organisation

  • Rollen und Verantwortlichkeiten

  • Sicherheitsausschüsse und Koordination

  • Personalsicherheit und Sensibilisierung

Marco Operacional (Operativer Rahmen):

  • Zugriffskontrolle und Authentifizierung

  • Vorfallmanagement

  • Geschäftskontinuität und Disaster Recovery

  • Lieferanten- und Drittanbietermanagement

Marco de Protección (Schutzrahmen):

  • Netzwerk- und Kommunikationssicherheit

  • Endpunktschutz

  • Kryptographie und Schlüsselmanagement

  • Physische Sicherheit

Jede Maßnahme umfasst spezifische Anforderungen pro Sicherheitskategorie, mit Verstärkungsstufen für höhere Kategorien.

Schlüsselrollen unter ENS

ENS definiert vier kritische Rollen für die Sicherheits-Governance:

  • Responsable de la información: Informationseigentümer, verantwortlich für Klassifizierungs- und Schutzanforderungen

  • Responsable del servicio: Serviceeigentümer, verantwortlich für die Erbringung und Verfügbarkeit des Dienstes

  • Responsable de la seguridad: Sicherheitsbeauftragter, koordiniert die Umsetzung und Überwachung der Sicherheit

  • Responsable del sistema: Systemadministrator, implementiert technische Sicherheitsmaßnahmen

CCN-STIC-Leitfaden-Serie

Die ENS-Implementierung wird durch technische CCN-STIC-Leitfäden des spanischen nationalen kryptologischen Zentrums (CCN-CERT) unterstützt. Wichtige Leitfäden sind:

  • CCN-STIC 800: Allgemeiner ENS-Implementierungsleitfaden

  • CCN-STIC 802: Entwicklung der Sicherheitspolitik

  • CCN-STIC 804: Risikoanalose-Methodik

  • CCN-STIC 808: Vorfallmanagement

  • CCN-STIC 809: Geschäftskontinuität

  • CCN-STIC 815: Audit-Verfahren

  • CCN-STIC 817: Implementierung von Sicherheitsmaßnahmen

  • CCN-STIC 823–825: Technische Sicherheitskontrollen

  • CCN-STIC 830: Cloud-Sicherheit

  • CCN-STIC 884, 892: Spezialisierte Sicherheitsbereiche

Aktuelle Versionen werden unter ccn-cert.cni.es bereitgestellt.

Erklärung und Zertifizierung der Konformität

ENS bietet zwei Konformitätswege an:

Selbstbewertung (Declaración de Conformidad):

  • Verfügbar für Systeme der Kategorie BÁSICA

  • Organisation führt interne Bewertung durch

  • Erklärung veröffentlicht auf elektronischen Portalen gemäß Art. 38.2

Zertifizierung (Certificación de Conformidad):

  • Erforderlich für die Kategorien MEDIA und ALTA

  • Durchgeführt von akkreditierten Auditoren

  • Zweijährige Audit-Zyklen gemäß Anexo III

  • Das reguläre Audit (Art. 31) kann gleichzeitig zur Zertifizierung dienen

ISMS Copilot ersetzt nicht das formelle Audit gemäß Anexo III für MEDIA- und ALTA-Systeme. Er dient als Vorbereitungsunterstützung und Hilfe zwischen den zweijährlichen Audits. Bei Zitaten mit direkter rechtlicher Verantwortung ist immer ein Abgleich mit Primärquellen (BOE, CCN-CERT, AENOR) vorzunehmen.

Framework-übergreifendes Mapping

ENS ist auf internationale Frameworks abgestimmt, was integrierte Compliance-Ansätze ermöglicht:

  • ISO 27001:2022: Mappings auf Kontrollebene zwischen Anexo II-Maßnahmen und Anhang A-Kontrollen

  • NIS2-Richtlinie: Abstimmung mit EU-weiten Cybersicherheitsanforderungen

  • RGPD/LOPDGDD: Integration mit dem spanischen Datenschutzrecht

Dies ermöglicht es Organisationen, bestehende Arbeiten zur Compliance nach ISO 27001 oder NIS2 für ENS-Implementierungen zu nutzen.

Wie ISMS Copilot hilft

ISMS Copilot bietet umfassende Unterstützung für die ENS-Compliance-Arbeit:

  • Framework-spezifische Anleitung: Fragen Sie nach spezifischen ENS-Artikeln, Maßnahmen oder Dimensionsanforderungen

  • Richtlinienabgleich: Vergleichen Sie bestehende Richtlinien und Verfahren mit den Anforderungen von RD 311/2022

  • Überprüfung der Declaración de Aplicabilidad: Analysieren Sie Erklärungen zur Anwendbarkeit auf Vollständigkeit

  • Lückenidentifikation: Identifizieren Sie Sicherheitslücken gegenüber den Maßnahmen in Anexo II

  • Vorläufige Prüfung von Nachweisen: Bewerten Sie Audit-Nachweise vor der formellen Prüfung

  • Bestimmung der Kategorie: Unterstützung bei Entscheidungen zur Systemkategorisierung (BÁSICA/MEDIA/ALTA)

  • CCN-STIC-Anleitung: Empfehlung geeigneter Leitfäden der 800er-Serie für spezifische Fälle

  • Framework-übergreifendes Mapping: Zuordnung von Kontrollen zwischen ENS, ISO 27001:2022 und NIS2

  • Organisation des Arbeitsbereichs: Verwalten Sie ENS-Projekte getrennt von anderen Compliance-Initiativen

Die KI unterscheidet zwischen Kategorien, versteht Dimensionsstufen und kennt Verstärkungsanforderungen (R1, R2, R3). Für exakte Matrizen aus Maßnahme × Stufe × Verstärkung bezieht sie sich direkt auf Anexo II des RD.

Versuchen Sie zu fragen: „Was sind die ENS-Anforderungen für ein System der Kategorie MEDIA?“, „Ordne ENS Anexo II-Maßnahmen den ISO 27001:2022 Anhang A-Kontrollen zu“ oder „Welcher CCN-STIC-Leitfaden deckt das Incident Management ab?“

Verfügbarkeit im Abonnement

ENS-Wissen ist in allen ISMS Copilot-Abonnements verfügbar, einschließlich der kostenlosen Testversion. Das Framework-Wissen ist nicht nach Plänen gestaffelt – Sie können unabhängig von der Abonnementstufe auf die vollständige ENS-Anleitung zugreifen.

Erste Schritte

Um mit der ENS-Compliance-Arbeit in ISMS Copilot zu beginnen:

  1. Erstellen Sie einen dedizierten Arbeitsbereich für Ihr ENS-Compliance-Projekt

  2. Bitten Sie die KI um Hilfe bei der Bestimmung der Kategorie Ihres Systems (BÁSICA, MEDIA oder ALTA)

  3. Generieren Sie Sicherheitsrichtlinien, die auf die Maßnahmen in Anexo II abgestimmt sind

  4. Laden Sie vorhandene Sicherheitsdokumentationen für eine Gap-Analyse hoch

  5. Entwickeln Sie Ihr Mapping der Declaración de Aplicabilidad für Ihre Umgebung

  6. Fordern Sie Anleitungen zu relevanten CCN-STIC-Leitfäden für Ihre Implementierung an

  7. Bereiten Sie Pakete mit Audit-Nachweisen für die formelle Konformitätsbewertung vor

Einschränkungen

ISMS Copilot ist ein Compliance-Assistent und kein Ersatz für:

  • Fachliches Urteilsvermögen bei Sicherheitsentscheidungen

  • Akkreditierte Auditoren für die formelle Konformitätszertifizierung

  • Rechtsberatung zur regulatorischen Interpretation

  • Primärquellen (BOE, CCN-CERT, AENOR) für rechtlich bindende Zitate

Für MEDIA- und ALTA-Systeme bleiben formelle Audits nach Anexo III obligatorisch. ISMS Copilot beschleunigt die Vorbereitung und unterstützt die kontinuierliche Verbesserung zwischen den Audit-Zyklen.

Zugehörige Ressourcen

War das hilfreich?