ISMS Copilot
Ondersteunde frameworks

ENS (Esquema Nacional de Seguridad)

ENS (Esquema Nacional de Seguridad) is het nationale cybersecurity-framework van Spanje, vastgesteld onder Real Decreto 311/2022 en gewijzigd door RD 1125/2024. Het stelt beveiligingseisen verplicht voor organisaties in de publieke sector en private entiteiten die overheidsgegevens verwerken, waarbij een risicogebaseerde benadering wordt gehanteerd met drie beveiligingscategorieën en vijf beschermingsdimensies.

ISMS Copilot heeft specifieke kennis van de ENS-vereisten. U kunt specifieke vragen stellen over het framework, beleidsregels genereren die zijn afgestemd op de ENS-maatregelen, lacunes in de naleving beoordelen en controles kruiselings koppelen aan ISO 27001:2022 en NIS2.

Wie moet voldoen aan de ENS?

De ENS is van toepassing op organisaties in Spanje die:

  • Openbaar bestuur: Alle overheidsinstanties, agentschappen en entiteiten in de publieke sector op nationaal, regionaal en lokaal niveau

  • Aannemers in de privésector: Bedrijven die diensten verlenen aan het openbaar bestuur of overheidsgegevens verwerken

  • Exploitanten van kritieke infrastructuur: Exploitanten van kritieke infrastructuur die zijn aangewezen door de Spaanse autoriteiten

  • Staatsbedrijven: Publieke bedrijven en entiteiten met overheidseigendom

  • Dienstverleners: Organisaties die persoonsgegevens verwerken of elektronische diensten verlenen aan publieke entiteiten

Naleving is verplicht voor organisaties die binnen de reikwijdte vallen, met verschillende vereisten op basis van de systeemcategorisering.

Regelgevende structuur van de ENS

Het framework is georganiseerd onder RD 311/2022 met de volgende structuur:

Wettelijke artikelen (totaal 41):

  • Algemene bepalingen (artt. 1–4): Reikwijdte, definities en fundamentele concepten

  • Basisprincipes (artt. 5–11): Beveiligingsprincipes en organisatorische vereisten

  • Beveiligingsbeleid en -vereisten (artt. 12–30): Minimale beveiligingsmaatregelen en beleidskader

  • Audit en incidentafhandeling (artt. 31–34): Auditvereisten en incidentrespons

  • Conformiteitsregels (artt. 35–38): Verklaring en certificering van conformiteit

  • Systeemcategorisering (artt. 40–41): Classificatiemethodologie

Bijlagen:

  • Anexo I: Criteria voor systeemcategorisering (BÁSICA, MEDIA, ALTA)

  • Anexo II: 73 beveiligingsmaatregelen met officiële identificatiecodes

  • Anexo III: Auditvereisten en periodiciteit

Beveiligingscategorieën

De ENS stelt drie beveiligingscategorieën vast op basis van de potentiële impact van beveiligingslekken:

BÁSICA (Basis):

  • Systemen met minimale impact op de organisatorische activiteiten

  • Beperkte gevolgen voor de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens

  • Fundamentele beveiligingsmaatregelen vereist

  • Zelfevaluatie en verklaring van conformiteit zijn voldoende

MEDIA (Gemiddeld):

  • Matige impact op organisatorische activiteiten of dienstverlening

  • Potentiële schade voor individuen of organisaties

  • Verbeterde beveiligingsmaatregelen met versterkingsvereisten

  • Vereist elke twee jaar een formele audit

ALTA (Hoog):

  • Kritieke systemen met een ernstige potentiële impact

  • Aanzienlijke schade aan nationale belangen, openbare veiligheid of grote bevolkingsgroepen

  • Maximale beveiligingsmaatregelen met meerdere versterkingsniveaus

  • Vereist elke twee jaar een formele audit door geaccrediteerde auditors

De vijf beveiligingsdimensies

De ENS organiseert beveiligingsmaatregelen over vijf dimensies, elk met progressieve niveaus (0–3):

Dimensie

Spaans

Focus

C

Confidencialidad

Bescherming van informatie tegen ongeoorloofde openbaarmaking

I

Integridad

Handhaving van de nauwkeurigheid en volledigheid van gegevens

T

Trazabilidad

Vastleggen van acties en mogelijk maken van verantwoording

A

Autenticidad

Verifiëren van de identiteit en waarborgen van de herkomst van gegevens

D

Disponibilidad

Zorgen voor tijdige toegang tot informatie en diensten

Elke categorie (BÁSICA, MEDIA, ALTA) vereist specifieke minimumniveaus voor elke dimensie. Hogere categorieën vereisen hogere dimensieniveaus, waarbij versterkingen (R1, R2, R3) aanvullende controles toevoegen.

De 73 beveiligingsmaatregelen

Anexo II definieert 73 beveiligingsmaatregelen, verdeeld over drie kaders:

Marco Organizativo (Organisatorisch kader):

  • Beveiligingsbeleid en organisatie

  • Rollen en verantwoordelijkheden

  • Beveiligingscomités en coördinatie

  • Beveiliging en bewustzijn van personeel

Marco Operacional (Operationeel kader):

  • Toegangscontrole en authenticatie

  • Incidentmanagement

  • Bedrijfscontinuïteit en herstel na rampen

  • Leveranciers- en partnerbeheer

Marco de Protección (Beschermingskader):

  • Netwerk- en communicatiebeveiliging

  • Endpoint-beveiliging

  • Cryptografie en sleutelbeheer

  • Fysieke beveiliging

Elke maatregel bevat specifieke vereisten per beveiligingscategorie, met versterkingsniveaus voor hogere categorieën.

Belangrijke rollen onder de ENS

De ENS definieert vier kritieke rollen voor beveiligingsbeheer:

  • Responsable de la información: Eigenaar van de informatie, verantwoordelijk voor classificatie- en beschermingseisen

  • Responsable del servicio: Eigenaar van de dienst, verantwoordelijk voor de dienstverlening en beschikbaarheid

  • Responsable de la seguridad: Beveiligingsfunctionaris, coördineert de implementatie en monitoring van de beveiliging

  • Responsable del sistema: Systeembeheerder, implementeert technische beveiligingsmaatregelen

CCN-STIC-richtlijnenreeks

De ENS-implementatie wordt ondersteund door de technische gidsen van CCN-STIC van het Spaanse Nationale Cryptologische Centrum (CCN-CERT). Belangrijke gidsen zijn:

  • CCN-STIC 800: Algemene gids voor ENS-implementatie

  • CCN-STIC 802: Ontwikkeling van beveiligingsbeleid

  • CCN-STIC 804: Methodologie voor risicobeoordeling

  • CCN-STIC 808: Incidentmanagement

  • CCN-STIC 809: Bedrijfscontinuïteit

  • CCN-STIC 815: Auditprocedures

  • CCN-STIC 817: Implementatie van beveiligingsmaatregelen

  • CCN-STIC 823–825: Technische beveiligingscontroles

  • CCN-STIC 830: Cloudbeveiliging

  • CCN-STIC 884, 892: Gespecialiseerde beveiligingsdomeinen

Actuele versies worden bijgehouden op ccn-cert.cni.es.

Verklaring en certificering van conformiteit

De ENS biedt twee trajecten voor conformiteit:

Zelfevaluatie (Declaración de Conformidad):

  • Beschikbaar voor systemen in de categorie BÁSICA

  • De organisatie voert een interne beoordeling uit

  • Verklaring gepubliceerd op elektronische portalen volgens art. 38.2

Certificering (Certificación de Conformidad):

  • Vereist voor de categorieën MEDIA en ALTA

  • Uitgevoerd door geaccrediteerde auditors

  • Tweejaarlijkse auditcycli volgens Anexo III

  • Reguliere audit (art. 31) kan tegelijkertijd dienen voor certificering

ISMS Copilot vervangt de formele Anexo III-audit voor MEDIA- en ALTA-systemen niet. Het dient als voorbereidingsondersteuning en assistentie tussen tweejaarlijkse audits. Voor verwijzingen met directe wettelijke verantwoordelijkheid moet u altijd controleren aan de hand van primaire bronnen (BOE, CCN-CERT, AENOR).

Koppeling tussen verschillende frameworks

De ENS sluit aan bij internationale frameworks, wat een geïntegreerde aanpak voor naleving mogelijk maakt:

  • ISO 27001:2022: Koppelingen op control-niveau tussen maatregelen uit Anexo II en Annex A-controles

  • NIS2-richtlijn: Afstemming met EU-brede cybersecurity-vereisten

  • RGPD/LOPDGDD: Integratie met de Spaanse wetgeving op het gebied van gegevensbescherming

Dit stelt organisaties in staat om bestaand werk voor naleving van ISO 27001 of NIS2 te benutten voor ENS-implementaties.

Hoe ISMS Copilot helpt

ISMS Copilot biedt uitgebreide ondersteuning bij ENS-naleving:

  • Framework-specifieke begeleiding: Stel vragen over specifieke ENS-artikelen, maatregelen of dimensievereisten

  • Beleidstoetsing: Vergelijk bestaande beleidsregels en procedures met de vereisten van RD 311/2022

  • Beoordeling van de Verklaring van Toepasselijkheid: Analyseer SoA-documenten op volledigheid

  • Identificatie van lacunes: Identificeer beveiligingslacunes ten opzichte van Anexo II-maatregelen

  • Voorlopige beoordeling van bewijsmateriaal: Beoordeel auditbewijs vóór de formele controle

  • Categoriebepaling: Ondersteuning bij beslissingen over systeemcategorisering (BÁSICA/MEDIA/ALTA)

  • CCN-STIC-begeleiding: Aanbeveling van geschikte gidsen uit de 800-serie voor specifieke gevallen

  • Cross-framework mapping: Koppel controles tussen ENS, ISO 27001:2022 en NIS2

  • Werkruimte-organisatie: Beheer ENS-projecten gescheiden van andere nalevingsinitiatieven

De AI maakt onderscheid tussen categorieën, begrijpt dimensieniveaus en kent de vereisten voor versterking (R1, R2, R3). Voor exacte matrices van maatregel × niveau × versterking verwijst de AI rechtstreeks naar Anexo II van de RD.

Probeer eens te vragen: "Wat zijn de ENS-vereisten voor een systeem in de categorie MEDIA?" of "Koppel ENS Anexo II-maatregelen aan ISO 27001:2022 Annex A-controles" of "Welke CCN-STIC-gids behandelt incidentmanagement?"

Beschikbaarheid per plan

ENS-kennis is beschikbaar in alle ISMS Copilot-plannen, inclusief de gratis proefversie. Framework-kennis is niet onderverdeeld per plan — u hebt toegang tot de volledige ENS-begeleiding, ongeacht uw abonnement.

Aan de slag

Om te beginnen met ENS-naleving in ISMS Copilot:

  1. Maak een speciale werkruimte aan voor uw ENS-nalevingsproject

  2. Vraag de AI om hulp bij het bepalen van de categorie van uw systeem (BÁSICA, MEDIA of ALTA)

  3. Genereer beveiligingsbeleid dat is afgestemd op de maatregelen van Anexo II

  4. Upload bestaande beveiligingsdocumentatie voor een gap-analyse

  5. Ontwikkel uw Verklaring van Toepasselijkheid door maatregelen aan uw omgeving te koppelen

  6. Vraag om advies over relevante CCN-STIC-gidsen voor uw implementatie

  7. Bereid pakketten met auditbewijs voor voor de formele conformiteitsbeoordeling

Beperkingen

ISMS Copilot is een assistent voor naleving en geen vervanging voor:

  • Professionele oordeelsvorming bij beveiligingsbeslissingen

  • Geaccrediteerde auditors voor formele conformiteitscertificering

  • Juridisch advies voor de interpretatie van regelgeving

  • Primaire bronnen (BOE, CCN-CERT, AENOR) voor juridisch bindende verwijzingen

Voor MEDIA- en ALTA-systemen blijven formele Anexo III-audits verplicht. ISMS Copilot versnelt de voorbereiding en ondersteunt continue verbetering tussen de auditcycli.

Gerelateerde bronnen

Was dit nuttig?