ENS (Esquema Nacional de Seguridad)

ENS (Esquema Nacional de Seguridad) is het nationale cybersecurity-raamwerk van Spanje, vastgesteld onder Real Decreto 311/2022 en gewijzigd door RD 1125/2024. Het stelt beveiligingsvereisten verplicht voor organisaties in de publieke sector en private entiteiten die overheidsgegevens verwerken, waarbij een risicogebaseerde benadering wordt gehanteerd met drie beveiligingscategorieën en vijf beschermingsdimensies.

Wie moet voldoen aan ENS?

ENS is van toepassing op organisaties in Spanje die:

• Publieke administratie: Alle overheidsinstanties, agentschappen en publieke entiteiten op nationaal, regionaal en lokaal niveau

• Contractanten in de private sector: Bedrijven die diensten verlenen aan de publieke administratie of overheidsgegevens verwerken

• Exploitanten van kritieke infrastructuur: Exploitanten van kritieke infrastructuur die zijn aangewezen door de Spaanse autoriteiten

• Staatsbedrijven: Publieke bedrijven en entiteiten met overheidseigendom

• Dienstverleners: Organisaties die persoonsgegevens verwerken of elektronische diensten verlenen aan publieke entiteiten

Naleving is verplicht voor organisaties die binnen het toepassingsgebied vallen, met verschillende vereisten op basis van de systeemcategorisering.

Regelgevende structuur van ENS

Het raamwerk is georganiseerd onder RD 311/2022 met de volgende structuur:

Wettelijke artikelen (41 in totaal):

• Algemene bepalingen (Art. 1–4): Toepassingsgebied, definities en fundamentele concepten

• Basisprincipes (Art. 5–11): Beveiligingsprincipes en organisatorische vereisten

• Beveiligingsbeleid en vereisten (Art. 12–30): Minimale beveiligingsmaatregelen en beleidskader

• Audit en incidentafhandeling (Art. 31–34): Auditvereisten en incidentrespons

• Conformiteitsregels (Art. 35–38): Verklaring en certificering van conformiteit

• Systeemcategorisering (Art. 40–41): Classificatiemethodologie

Bijlagen:

• Anexo I: Criteria voor systeemcategorisering (BÁSICA, MEDIA, ALTA)

• Anexo II: 73 beveiligingsmaatregelen met officiële identificatiecodes

• Anexo III: Auditvereisten en periodiciteit

Beveiligingscategorieën

ENS stelt drie beveiligingscategorieën vast op basis van de potentiële impact van beveiligingsinbreuken:

BÁSICA (Basis):

• Systemen met minimale impact op de organisatorische activiteiten

• Beperkte gevolgen voor de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens

• Fundamentele beveiligingsmaatregelen vereist

• Zelfbeoordeling en conformiteitsverklaring volstaan

MEDIA (Gemiddeld):

• Matige impact op de organisatorische activiteiten of dienstverlening

• Potentiële schade voor individuen of organisaties

• Verbeterde beveiligingsmaatregelen met versterkingsvereisten

• Vereist elke twee jaar een formele audit

ALTA (Hoog):

• Kritieke systemen met ernstige potentiële impact

• Aanzienlijke schade aan nationale belangen, openbare veiligheid of grote bevolkingsgroepen

• Maximale beveiligingsmaatregelen met meerdere versterkingsniveaus

• Vereist elke twee jaar een formele audit door geaccrediteerde auditors

Vijf beveiligingsdimensies

ENS organiseert beveiligingsmaatregelen over vijf dimensies, elk met progressieve niveaus (0–3):

Elke categorie (BÁSICA, MEDIA, ALTA) vereist specifieke minimumniveaus voor elke dimensie. Hogere categorieën vereisen hogere dimensieniveaus, waarbij versterkingen (R1, R2, R3) aanvullende controles toevoegen.

De 73 beveiligingsmaatregelen

Anexo II definieert 73 beveiligingsmaatregelen, onderverdeeld in drie kaders:

Marco Organizativo (Organisatorisch kader):

• Beveiligingsbeleid en organisatie

• Rollen en verantwoordelijkheden

• Beveiligingscomités en coördinatie

• Beveiliging en bewustzijn van personeel

Marco Operacional (Operationeel kader):

• Toegangscontrole en authenticatie

• Incidentmanagement

• Business continuity en disaster recovery

• Leveranciers- en derdenbeheer

Marco de Protección (Beschermingskader):

• Netwerk- en communicatiebeveiliging

• Endpoint-beveiliging

• Cryptografie en sleutelbeheer

• Fysieke beveiliging

Elke maatregel bevat specifieke vereisten per beveiligingscategorie, met versterkingsniveaus voor hogere categorieën.

Sleutelrollen onder ENS

ENS definieert vier kritieke rollen voor beveiligingsbeheer:

• Responsable de la información: Eigenaar van de informatie, verantwoordelijk voor classificatie en beschermingseisen

• Responsable del servicio: Diensteigenaar, verantwoordelijk voor dienstverlening en beschikbaarheid

• Responsable de la seguridad: Security Officer, coördineert de implementatie en monitoring van de beveiliging

• Responsable del sistema: Systeembeheerder, implementeert technische beveiligingsmaatregelen

CCN-STIC-richtlijnenreeks

De ENS-implementatie wordt ondersteund door technische CCN-STIC-gidsen van het Spaanse Nationaal Cryptologisch Centrum (CCN-CERT). Belangrijke gidsen zijn onder meer:

• CCN-STIC 800: Algemene ENS-implementatiegids

• CCN-STIC 802: Ontwikkeling van beveiligingsbeleid

• CCN-STIC 804: Risicobeoordelingsmethodologie

• CCN-STIC 808: Incidentmanagement

• CCN-STIC 809: Business continuity

• CCN-STIC 815: Auditprocedures

• CCN-STIC 817: Implementatie van beveiligingsmaatregelen

• CCN-STIC 823–825: Technische beveiligingscontroles

• CCN-STIC 830: Cloudbeveiliging

• CCN-STIC 884, 892: Gespecialiseerde beveiligingsdomeinen

Actuele versies worden bijgehouden op ccn-cert.cni.es.

Verklaring en certificering van conformiteit

ENS biedt twee wegen naar conformiteit:

Zelfbeoordeling (Declaración de Conformidad):

• Beschikbaar voor systemen in de categorie BÁSICA

• Organisatie voert interne beoordeling uit

• Verklaring gepubliceerd op elektronische portals volgens Art. 38.2

Certificering (Certificación de Conformidad):

• Vereist voor de categorieën MEDIA en ALTA

• Uitgevoerd door geaccrediteerde auditors

• Tweejaarlijkse auditcycli volgens Anexo III

• Reguliere audit (Art. 31) kan gelijktijdig dienen voor certificering

Mapping tussen raamwerken

ENS sluit aan bij internationale raamwerken, wat geïntegreerde compliance-benaderingen mogelijk maakt:

• ISO 27001:2022: Mappings op control-niveau tussen Anexo II-maatregelen en Annex A-controls

• NIS2-richtlijn: Afstemming met EU-brede cybersecurity-vereisten

• RGPD/LOPDGDD: Integratie met de Spaanse privacywetgeving

Hierdoor kunnen organisaties bestaande compliance-inspanningen voor ISO 27001 of NIS2 benutten voor hun ENS-implementaties.

Hoe ISMS Copilot helpt

ISMS Copilot biedt uitgebreide ondersteuning voor ENS-compliance-werkzaamheden:

• Raamwerkspecifieke begeleiding: Stel vragen over specifieke ENS-artikelen, maatregelen of dimensievereisten

• Beleidsvergelijking: Vergelijk bestaand beleid en procedures met de vereisten van RD 311/2022

• Review van Declaración de Aplicabilidad: Analyseer Statement of Applicability-documenten op volledigheid

• Gap-identificatie: Identificeer beveiligingshiaten ten opzichte van Anexo II-maatregelen

• Voorbereidende review van bewijsmateriaal: Beoordeel auditbewijsmateriaal vóór de formele review

• Systeembepaling: Ondersteuning bij beslissingen over systeemcategorisering (BÁSICA/MEDIA/ALTA)

• CCN-STIC-begeleiding: Advies over de juiste gidsen uit de 800-reeks voor specifieke gevallen

• Mapping tussen raamwerken: Map controls tussen ENS, ISO 27001:2022 en NIS2

• Workspace-organisatie: Beheer ENS-projecten gescheiden van andere compliance-initiatieven

De AI maakt onderscheid tussen categorieën, begrijpt dimensieniveaus en kent de versterkingsvereisten (R1, R2, R3). Voor exacte maatregel × niveau × versterkingsmatrices verwijst het rechtstreeks naar Anexo II van het Koninklijk Besluit.

Beschikbaarheid van het abonnement

ENS-kennis is beschikbaar in alle ISMS Copilot-abonnementen, inclusief het gratis niveau. Voor een volledig overzicht van de toegang per abonnement en de mogelijkheden voor document- en bewijsreview, zie ENS Copilot-toegang en review-mogelijkheden.

Aan de slag

Om te beginnen met ENS-compliance in ISMS Copilot:

1. Maak een speciale workspace aan voor uw ENS-complianceproject

2. Vraag de AI om te helpen bij het bepalen van de categorie van uw systeem (BÁSICA, MEDIA of ALTA)

3. Genereer beveiligingsbeleid dat is afgestemd op de Anexo II-maatregelen

4. Upload bestaande beveiligingsdocumentatie voor een gap-analyse

5. Ontwikkel uw Declaración de Aplicabilidad door maatregelen te mappen op uw omgeving

6. Vraag advies over relevante CCN-STIC-gidsen voor uw implementatie

7. Bereid pakketten met auditbewijsmateriaal voor voor de formele conformiteitsbeoordeling

Beperkingen

ISMS Copilot is een compliance-assistent, geen vervanging voor:

• Professioneel oordeel bij beveiligingsbeslissingen

• Geaccrediteerde auditors voor formele conformiteitscertificering

• Juridisch adviseurs voor de interpretatie van regelgeving

• Primaire bronnen (BOE, CCN-CERT, AENOR) voor juridisch bindende citaten

Voor MEDIA- en ALTA-systemen blijven formele Anexo III-audits verplicht. ISMS Copilot versnelt de voorbereiding en ondersteunt continue verbetering tussen auditcycli.

Gerelateerde bronnen

• Officiële tekst van RD 311/2022: BOE (Boletín Oficial del Estado)

• CCN-CERT-richtlijnenportaal: ccn-cert.cni.es

• AENOR (Spaanse Vereniging voor Normalisatie) certificeringsinformatie

• ISO 27001 Informatiebeveiliging (gerelateerd raamwerk)

• NIS2-richtlijn (gerelateerd raamwerk)