· geprüft vom Dokuflex Compliance-Team
Dokuflex ist ein Dokumentenmanagement-System, das an den Anforderungen des spanischen nationalen Sicherheitsrahmenwerks (ENS) Stufe Medium, ISO 27001 und DSGVO ausgerichtet ist. Konzipiert für spanische Behörden, das Gesundheitswesen, Energieversorger und Banken — auch für DACH-Unternehmen mit Tochtergesellschaften oder Verträgen in Spanien. Daten verschlüsselt in der EU, vollständiges Zugriffsaudit und Dokumentennachverfolgung bereit für jede Ausschreibung oder Aufsicht.
Das Esquema Nacional de Seguridad (ENS) — Spaniens nationales Sicherheitsrahmenwerk — ist der regulatorische Rahmen, der die Mindestsicherheitsprinzipien und -anforderungen für die Informationssysteme der spanischen Behörden und ihrer Technologielieferanten festlegt. Geregelt wird er durch das Königliche Dekret 311/2022 vom 3. Mai, das das alte RD 3/2010 aktualisiert und Kontrollen aufnimmt, die mit ISO/IEC 27001 und der EU-Richtlinie NIS2 abgestimmt sind.
Das ENS klassifiziert Systeme in drei Stufen, abhängig von der Auswirkung, die ein Sicherheitsvorfall auf Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachverfolgbarkeit des Dienstes hätte:
Das ENS ist verpflichtend für jede spanische Behörde (Zentral-, Regional- und Lokalverwaltung), deren nachgeordnete Stellen sowie für die Technologieanbieter, die diese bedienen. Seit Inkrafttreten von RD 311/2022 gilt es zudem für Betreiber wesentlicher Dienste und digitaler Dienste im Rahmen von NIS2.
Wenn Ihre Organisation eine spanische Behörde ist oder ein Lieferant, der Verträge mit spanischen Behörden abschließt, ist die ENS-Konformität nicht optional. Artikel 156 des Gesetzes 9/2017 über öffentliche Aufträge (LCSP, spanisches Vergabegesetz) verlangt, dass erfolgreiche Bieter technische und organisatorische Mittel im Einklang mit dem ENS nachweisen. In der Praxis legen öffentliche Ausschreibungsunterlagen regelmäßig ENS Medium als Mindestanforderung fest.
Über die Pflicht im öffentlichen Sektor hinaus ist ein an ENS ausgerichtetes DMS auch in regulierten privaten Branchen dringend empfohlen, in denen Sektoraufsichten und Unternehmenskunden gleichwertige Sicherheitsniveaus verlangen:
Ein Dokumentenmanagement ohne ENS-Ausrichtung schließt Sie faktisch von jeder relevanten spanischen Ausschreibung aus und setzt Sie Sanktionen gemäß Gesetz 39/2015 (elektronisches Verwaltungsverfahren), Gesetz 40/2015 (Rechtsordnung des öffentlichen Sektors) und DSGVO aus.
Dokuflex ist ausgerichtet an den technischen und organisatorischen Anforderungen von ENS Medium, wie sie in Anhang II des Königlichen Dekrets 311/2022 festgelegt sind. Das bedeutet, dass die Plattform die Kontrollen umsetzt, die für Systeme mit Klassifikation Medium über die fünf Dimensionen (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachverfolgbarkeit) verlangt werden. Das Compliance-Team liefert die Anwendbarkeitserklärung und die CCN-STIC-Kontrollmatrix als Teil des technischen Angebots für jede Bereitstellung.
Daten im Ruhezustand verschlüsselt mit AES-256-GCM. Verkehr auf TLS 1.3 mit qualifizierten Cipher-Suites. Schlüsselverwaltung rotiert und je Umgebung getrennt.
Granulares RBAC nach Nutzer, Gruppe, Akte und Feld. MFA für privilegierte Rollen erzwungen. SAML- / OIDC-Integration mit Active Directory, Azure AD und dem spanischen Identitätsdienst Cl@ve.
Jeder Zugriff, Download, jede Änderung und Löschung wird in einem unveränderlichen Protokoll mit qualifiziertem Zeitstempel erfasst. Für Aufsichtsprüfungen exportierbar.
Aufbewahrungsrichtlinien konfigurierbar je Dokumenttyp und Organisationseinheit. Sichere Löschung mit kryptografischer Überschreibung am Ende des Lebenszyklus.
Backups verschlüsselt mit georedundanter Replikation zwischen EU-Regionen. Quartalsweise Wiederherstellungstests. RPO und RTO im SLA dokumentiert.
CCN-CERT-Meldeverfahren im Einklang mit dem Leitfaden CCN-STIC 817. Reaktionsplan und Meldung von Datenpannen innerhalb der 72-Stunden-Frist nach DSGVO.
Das spanische Nationale Kryptologische Zentrum (CCN) veröffentlicht die CCN-STIC-Leitfäden, in denen technisch beschrieben wird, wie das ENS umzusetzen ist. Drei davon sind für ein Dokumentenmanagement besonders relevant:
Methodik zur Klassifizierung des Systems als Niedrig, Medium oder Hoch auf Basis der Auswirkung über die fünf Sicherheitsdimensionen. Dokuflex begleitet den Kunden bei dieser Bewertung und liefert die für die konkrete Bereitstellung anwendbare Kategorisierung.
Prüfliste, die der externe Auditor anwendet, um zu validieren, dass jede Maßnahme aus Anhang II des ENS umgesetzt ist. Dokuflex liefert Nachweise (Protokolle, Konfigurationen, Richtlinien, Screenshots) in auditierbarem Format.
Definiert konkrete Sicherheitsprofile für gängige Produkte (E-Mail, Dokumentenmanagement, elektronische Signatur). Anwendbar auf die Kontrollmatrix, die Dokuflex in seinem Anwendbarkeitskatalog abdeckt.
Das ENS existiert nicht isoliert. Organisationen, die in Spanien tätig sind, leben mit drei sich ergänzenden Rahmenwerken, von denen jedes einen eigenen Anwendungsbereich hat:
Alle drei Rahmen teilen dieselben grundlegenden Kontrollen (Verschlüsselung, Zugriff, Audit, Vorfallsmanagement), beantworten aber unterschiedliche Fragen: ENS fragt "Kann ich diesen öffentlichen Dienst mit Garantien erbringen?"; ISO 27001 fragt "Steuere ich Sicherheit systematisch?"; die DSGVO fragt "Achte ich die Rechte der Betroffenen?".
Dokuflex ist an allen drei ausgerichtet und ermöglicht, die Kontrollen einmal abzubilden, was die Kosten für die Pflege dreier getrennter Anwendbarkeitserklärungen senkt.
Dokuflex wird in vier Profilen eingesetzt, in denen die Konformität mit ENS, ISO 27001 und DSGVO eine nicht verhandelbare Voraussetzung ist.
Digitale Verwaltungsakten, elektronisches Register, öffentliches Auftragswesen, Endarchiv. Konformität mit den Gesetzen 39/2015 und 40/2015, Integration mit SIR, Benachrichtigungsplattformen und dem zentralen elektronischen Archiv.
Elektronische Patientenakten, Einwilligungserklärungen, Labormanagement und Einwilligung zur Übermittlung an die Forschung. Daten besonderer Kategorien (Art. 9 DSGVO) mit verstärkter Verschlüsselung, klinischer Rollentrennung und vollständigem Audit pro Behandlungsepisode.
Kritische Lieferverträge, regulatorische Dokumentation der CNMC, Investitionsakten unter Sektoraufsicht. Konformität mit der NIS2-Richtlinie, dem spanischen Gesetz 8/2011 zum Schutz kritischer Infrastrukturen und Dokumentennachverfolgbarkeit für europäische Aufsichtsbehörden.
KYC, regulierte Kundenakten (Banco de España, CNMV, SEPBLAC), Hypotheken- und Finanzierungsverträge. DORA-Konformität, Geldwäscheprävention und Dokumentenaufbewahrung für die jeweils gesetzlich geltenden Fristen.
Artikel 156 des Gesetzes 9/2017 über öffentliche Aufträge regelt die Mittel und die Dokumentation, die der erfolgreiche Bieter beibringen muss, um seine technische Leistungsfähigkeit nachzuweisen. Wenn der Auftragsgegenstand die Verarbeitung von Informationen für Behörden umfasst, verlangen die technischen Spezifikationen ausdrücklich, dass der Bieter mit Mitteln arbeitet, die am ENS ausgerichtet sind — typischerweise auf Stufe Medium.
In der Praxis enthalten technische Pflichtenhefte (PPT) regelmäßig Klauseln wie:
"Das eingesetzte Dokumentenmanagement-System muss die Anforderungen des spanischen nationalen Sicherheitsrahmenwerks auf Stufe Medium (RD 311/2022) erfüllen und Maßnahmen zu Verschlüsselung, Zugriffskontrolle, Auditprotokollierung und sicherer Löschung sowie eine Datenhaltung innerhalb des Europäischen Wirtschaftsraums vorsehen."
Dokuflex unterstützt den Bieter dabei, das Pflichtenheft mit folgenden Bausteinen zu erfüllen:
Wenn Sie eine laufende Ausschreibung haben, liefert das Compliance-Team das Dossier innerhalb von 48 Geschäftsstunden.
Das ENS-Audit ist ein regelmäßiger Prozess (mindestens alle zwei Jahre), der überprüft, ob das System die Kontrollen der zugewiesenen Stufe aufrechterhält. Es wird von einer von ENAC akkreditierten Zertifizierungsstelle nach dem Leitfaden CCN-STIC 808 durchgeführt. Das Standardverfahren umfasst fünf Phasen:
CCN-STIC 803 wird angewendet, um das System als Niedrig, Medium oder Hoch über die fünf Sicherheitsdimensionen zu klassifizieren. Das Ergebnis bestimmt die anwendbare Kontrollmatrix.
Der Systemverantwortliche dokumentiert, welche Kontrollen aus Anhang II gelten, wie sie umgesetzt werden und welche Ausnahmen bestehen. Dieses Dokument ist die Grundlage für das gesamte folgende Audit.
Der Auditor prüft Richtlinien, Verfahren, technische Konfigurationen, Protokolle und Belege. Er wendet die Checkliste CCN-STIC 808 an und fordert Screenshots, Aufzeichnungen und funktionale Tests an.
Der Auditor befragt den Systemverantwortlichen, den Informationssicherheitsbeauftragten und die Administratoren. Er führt Zugriffskontroll- und Wiederherstellungstests durch und prüft historische Vorfälle.
Der Abschlussbericht listet Feststellungen (Konformitäten, geringfügige und schwerwiegende Abweichungen) auf und stellt gegebenenfalls die Konformitätserklärung aus. Abweichungen erfordern einen korrigierenden Maßnahmenplan mit Fristen.
Dokuflex begleitet seine Kunden während des gesamten Prozesses, indem es technische Belege (Protokolle, Konfigurationen, Screenshots), die Anwendbarkeitserklärung der Plattform und direkte Unterstützung des Auditors bei den funktionalen Tests am Produkt bereitstellt.
Dokuflex ist ausgerichtet an den technischen und organisatorischen Anforderungen des ENS Medium gemäß RD 311/2022, ISO 27001 und DSGVO. Eine formelle ENS-Medium-Zertifizierung ist ein externer Auditprozess durch eine von ENAC akkreditierte Stelle; sofern sie für eine konkrete Bereitstellung erforderlich ist oder läuft, weisen wir dies ausdrücklich im technischen Angebot aus. Aus Gründen der Transparenz beanspruchen wir keine Zertifizierung, wo nur eine Ausrichtung besteht.
Ja. Dokuflex wurde in öffentlichen Ausschreibungen eingesetzt, die Maßnahmen ausgerichtet an ENS Medium verlangen (Art. 156 LCSP und RD 311/2022). Das Compliance-Team liefert das technische Angebot, die Anwendbarkeitserklärung, die CCN-STIC-Kontrollmatrix sowie Nachweise zu Verschlüsselung, Zugriffskontrolle, Auditprotokoll und sicherer Löschung, wie sie von der Vergabestelle gefordert werden.
RD 311/2022 definiert drei Stufen je nach Auswirkung eines Sicherheitsvorfalls auf den Dienst: Niedrig (begrenzter Schaden), Medium (schwerer Schaden) und Hoch (sehr schwerer oder kritischer Schaden). Jede Stufe ergänzt zusätzliche Kontrollen gegenüber der vorherigen. ENS Medium gilt typischerweise für die Mehrzahl der Dokumentenmanagement-Dienste spanischer Behörden und regulierter Branchen mit sensiblen Daten.
Prüfen Sie fünf Blöcke: 1) vom Anbieter unterzeichnete ENS-Anwendbarkeitserklärung, 2) Verschlüsselung der Daten im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.3), 3) rollenbasierte Zugriffskontrolle und auditierbares Protokoll jedes Zugriffs, 4) dokumentierte Aufbewahrungs- und sichere Löschrichtlinie, 5) physischer Standort der Daten innerhalb der EU und CCN-STIC-Matrix 803/808/850. Verlangen Sie nachprüfbare Belege, keine pauschalen Aussagen.
Daten besonderer Kategorien (Gesundheit, biometrische Daten, ethnische Herkunft, politische Meinungen usw.) erfordern verstärkten Schutz gemäß Art. 32 DSGVO: Verschlüsselung, Pseudonymisierung, strikte Zugriffskontrolle und ein vollständiges Verzeichnis der Verarbeitungstätigkeiten. Dokuflex setzt AES-256-Verschlüsselung, granulare rollenbasierte Zugriffe, ein unveränderliches Protokoll und je Dokumenttyp konfigurierbare Aufbewahrungsrichtlinien ein, um die Verarbeitung dieser Daten abzudecken.
Ja. Die Sicherungskopien werden verschlüsselt (AES-256) in Rechenzentren innerhalb der Europäischen Union gespeichert, mit georedundanter Replikation innerhalb der EU. Es finden keine internationalen Übermittlungen außerhalb des EWR statt, wodurch die Risiken einer Übermittlung in Länder ohne Angemessenheitsbeschluss gemäß Kapitel V DSGVO entfallen.
Allgemeine Informationen ohne Rechtscharakter, erstellt vom Dokuflex Compliance-Team. Für konkrete Fälle wenden Sie sich bitte an Ihre Rechtsberatung oder die zuständige Behörde.
Vereinbaren Sie eine Demo mit dem Dokuflex Compliance-Team oder fordern Sie das technische Angebot ENS Medium an, das bereit zur Einreichung bei der Vergabestelle ist.
Verwandte Lösungen entdecken: