Im Jahr 2025 verwaltete das INCIBE 122.223 Cybersecurity-Vorfälle in Spanien – ein Anstieg von 26 % gegenüber dem Vorjahr, wie der im Februar 2026 veröffentlichte Jahresbericht „Balance de Ciberseguridad 2025" belegt. In diesem Umfeld ist die Wahl eines Cybersecurity-Anbieters keine rein technische Entscheidung, die man an die IT-Abteilung delegiert: Sie ist eine Unternehmensentscheidung mit direkten Auswirkungen auf die Betriebskontinuität, den Ruf und die rechtliche Compliance des Unternehmens. Sich beim Anbieter zu irren bedeutet nicht nur zu viel zu bezahlen – es bedeutet, mitten in einem Sicherheitsvorfall festzustellen, dass derjenige, der Sie schützen sollte, dazu nicht in der Lage war.
Dieser Artikel ist ein praxisorientierter Leitfaden für Technologieverantwortliche, Geschäftsführungen und Einkaufsabteilungen, die einen Sicherheitspartner in Spanien evaluieren und beauftragen müssen. Wir sprechen nicht über Marketing oder Versprechen: Wir sprechen über überprüfbare Zertifizierungen, objektive Bewertungskriterien, den normativen Rahmen, der die Entscheidung beeinflusst, und über die Warnsignale, die einen Kandidaten vor Vertragsschluss disqualifizieren sollten.
Warum die Wahl des Cybersecurity-Anbieters heute eine Geschäftsentscheidung ist
Jahrelang glich die Vergabe von IT-Sicherheitsleistungen dem Kauf eines Antivirusprogramms: ein technischer Aufwand, nahezu Wartungscharakter, der mit dem günstigsten Angebot erledigt wurde. Diese Zeit ist vorbei. Die Daten des INCIBE selbst beschreiben ein Szenario, in dem die Bedrohung massiv und systematisch ist – und keineswegs anekdotisch.
Im „Balance de Ciberseguridad 2025" führte Malware die Vorfallstatistik mit 55.411 Fällen an, gefolgt von Online-Betrug mit 45.445 Fällen, wobei Phishing mit 25.133 registrierten Vorfällen die dominierende Methode darstellte. Der kostenlose Beratungsdienst „Tu Ayuda en Ciberseguridad" (Hotline 017) beantwortete im Jahresverlauf 142.767 Anfragen – ein Anstieg von 44,9 % gegenüber 2024. Es gibt nicht nur mehr Angriffe: Es sind mehr Unternehmen und Bürger betroffen, die dringend Hilfe benötigen.
Für Entscheidungsträger ist die Asymmetrie entscheidend. Ein Angreifer muss nur einmal Erfolg haben; Ihr Anbieter muss es immer. Als das INCIBE-CERT im Jahr 2025 insgesamt 237.028 relevante, potenziell ausnutzbare Schwachstellen entdeckte und meldete, beschrieb es damit die reale Angriffsfläche spanischer Organisationen. Wenn Ihr Sicherheitspartner nicht in der Lage ist, Schwachstellen in diesem Umfang zu identifizieren, zu priorisieren und zu beheben, ist sein Vertrag wertlos.
Dazu kommt eine erfreuliche Nachricht: Die Auswahl ist groß. Laut der im März 2026 von INCIBE und CONETIC vorgestellten „Studie zur Cybersecurity-Industrie in Spanien 2025" verfügt das Land über 3.431 Cybersecurity-Unternehmen – 4,47 % aller Technologieunternehmen des Landes –, ein Sektor, der 2024 einen Umsatz von 6,351 Milliarden Euro erzielte und rund 165.000 Fachkräfte beschäftigt, was 25,5 % der spanischen IKT-Beschäftigung entspricht. Spanien ist zudem der viertgrößte europäische Cybersecurity-Markt mit einem Anteil von 12 % am kontinentalen Umsatz; der Sektor rechnet zwischen 2026 und 2029 mit einem durchschnittlichen Jahreswachstum von 14,25 %.
Die Schlussfolgerung ist unbequem: Das Angebot ist riesig und heterogen. Es reicht von großen Systemintegratoren über spezialisierte Beratungsfirmen bis hin zu Wiederverkäufern, die kaum Mehrwert liefern. 3.431 Anbieter zur Auswahl erleichtern die Entscheidung nicht – sie erschweren sie. Deshalb brauchen Sie eine Methode.
Welche Zertifizierungen muss ein seriöser Cybersecurity-Anbieter vorweisen (ENS, ISO 27001, ENAC)?
Die erste objektiv überprüfbare Hürde zur Vorselektion von Kandidaten sind Zertifizierungen. Sie sind kein dekoratives Siegel, sondern der Beweis, dass ein unabhängiger Dritter die Prozesse des Anbieters geprüft hat. In Spanien konzentriert sich die seriöse Diskussion auf drei Referenzrahmen.
ISO/IEC 27001: der Standard für Informationssicherheitsmanagement
Die Zertifizierung ISO/IEC 27001:2022 belegt, dass das Unternehmen ein Informationssicherheits-Managementsystem (ISMS) betreibt – nicht nur gute Werkzeuge einsetzt. Die aktuelle Fassung von 2022 umfasst 93 Maßnahmen aus Anhang A, gegliedert in vier Bereiche (Organisatorisch, Personell, Physisch und Technologisch). In Spanien wird sie von einer durch ENAC (Entidad Nacional de Acreditación) akkreditierten Zertifizierungsstelle gemäß ISO/IEC 17021-1 ausgestellt – in einem Rahmen, der durch Organisationen wie AENOR betrieben wird.
Zwei Details, die viele Einkäufer übersehen:
- Die Zertifizierung wird alle drei Jahre erneuert und erfordert jährliche Überwachungsaudits. Ein Unternehmen, das Ihnen ein vier Jahre altes Zertifikat ohne zwischenzeitliches Audit vorlegt, ist faktisch nicht mehr zertifiziert.
- Entscheidend ist nicht nur, dass der Anbieter zertifiziert ist, sondern der im Zertifikat ausgewiesene Geltungsbereich. Eine ISO 27001, deren Geltungsbereich ausschließlich die „interne Verwaltung" abdeckt, erstreckt sich nicht auf die Leistung, die Sie in Anspruch nehmen werden.
Wenn Ihre Organisation eine Zertifizierung anstrebt – oder diese Reife von Ihrem Anbieter einfordert – lohnt es sich, den Prozess im Detail zu verstehen. Bei Technova begleiten wir Unternehmen in unserem Service zur Implementierung und Zertifizierung nach ISO 27001, von der Lückenanalyse bis zum abschließenden Audit.
Esquema Nacional de Seguridad (ENS): Pflicht bei der Zusammenarbeit mit dem öffentlichen Sektor
Das Real Decreto 311/2022 vom 3. Mai regelt das Esquema Nacional de Seguridad (ENS). Es ist Pflichtlektüre, wenn Ihr Unternehmen Leistungen für die öffentliche Verwaltung erbringt oder erbringen möchte – in diesem Fall ist die ENS-Konformität keine Option mehr.
Das Dekret legt drei Sicherheitskategorien mit unterschiedlichen Anforderungen fest:
| ENS-Kategorie | Form der Akkreditierung | Anwendungsfall |
|---|---|---|
| Básica (Grundlegend) | Konformitätserklärung per Selbstbewertung | Systeme mit geringeren Auswirkungen |
| Media (Mittel) | Formelle Zertifizierung durch ENAC-akkreditierte Stelle | Spürbare Auswirkungen auf Dienste oder Daten |
| Alta (Hoch) | Formelle Zertifizierung durch ENAC-akkreditierte Stelle | Sehr schwerwiegende Auswirkungen; wesentliche Dienste |
Die Unterscheidung ist bei der Anbieterbewertung entscheidend: Eine Konformitätserklärung per Selbstbewertung (Grundkategorie) ist nicht gleichwertig mit einer durch einen Dritten auditierten Zertifizierung (mittlere und hohe Kategorie). Wenn ein Anbieter behauptet, „ENS-konform zu sein", ohne die Kategorie oder den Zertifizierer zu nennen, fragen Sie nach. Der Unterschied zwischen Selbstbewertung und Zertifizierung durch eine ENAC-akkreditierte Stelle ist erheblich.
Die Rolle von ENAC als Qualitätsgarant
Sowohl bei ISO 27001 als auch beim ENS der mittleren und hohen Kategorie verleiht der Name ENAC dem Zertifikat echte Glaubwürdigkeit. Die ENAC-Akkreditierung garantiert, dass die Zertifizierungsstelle kompetent und unparteiisch ist. Ein Zertifikat, das von einer nicht akkreditierten Stelle ausgestellt wurde, hat einen deutlich geringeren Marktwert. Prüfen Sie stets, ob hinter dem Siegel eine ENAC-akkreditierte Stelle steht – und nicht nur ein Logo.
Bewertungskriterien: SOC/MDR 24x7, Branchenerfahrung und verifizierbare Referenzen
Sobald der Zertifizierungsfilter passiert ist, beginnt der Teil, der einen verteidigungsfähigen Anbieter von einem reinen Rechnungssteller unterscheidet. Hier bewerten Sie echte operative Fähigkeiten.
Kontinuierliche Erkennung und Reaktion: SOC und MDR 24x7
Angriffe respektieren Ihre Geschäftszeiten nicht. Viele werden bewusst freitags am Abend, an Feiertagen oder im August gestartet – wenn die internen Teams personell auf ein Minimum reduziert sind. Deshalb ist die 24x7-Erkennung und -Reaktion heute das Kriterium, das seriöse Anbieter am deutlichsten vom Rest unterscheidet.
Es lohnt sich, die Begriffe zu differenzieren:
- SOC (Security Operations Center): das Betriebszentrum, das kontinuierlich überwacht, Ereignisse korreliert und Bedrohungen erkennt.
- MDR (Managed Detection and Response): der verwaltete Dienst, der nicht nur erkennt, sondern in Ihrem Namen reagiert und den Vorfall eindämmt – mit vertraglich festgelegten Reaktionszeiten.
Die entscheidende Frage lautet nicht „Haben Sie ein SOC?", sondern: „Was tun Sie um 3 Uhr morgens an einem Sonntag, wenn ein kritischer Alarm ausgelöst wird?" Ein reifer Anbieter antwortet mit vertraglich vereinbarten Erkennungs- und Eindämmungszeiten (SLA), nicht mit guten Absichten. Einen Einblick in die Funktionsweise eines solchen Dienstes bietet unsere Seite zum verwalteten SOC- und MDR-Dienst 24x7.
Branchenerfahrung und Ausrichtung auf NIS2
Ein Anbieter, der Unternehmen Ihrer Branche geschützt hat, kennt Ihre spezifischen Bedrohungen: Der Schutz einer Industrieanlage mit OT-Systemen unterscheidet sich grundlegend von dem einer Finanzinstitution oder eines Betreibers wesentlicher Dienste. Diese Erfahrung beweist man mit konkreten Fällen – nicht mit allgemeinen Formulierungen.
Die INCIBE-Daten unterstreichen die Bedeutung dieses Punktes: Im Jahr 2025 bearbeitete das INCIBE-CERT 401 Vorfälle im Bereich essenzieller und wichtiger Betreiber im Rahmen der NIS2-Richtlinie. Wenn Ihr Unternehmen zu einem der betroffenen Sektoren gehört, benötigen Sie einen Partner, der bereits nach dieser regulatorischen Logik arbeitet – keinen, der sie gemeinsam mit Ihnen erst entdeckt.
Verifizierbare Referenzen – keine Marketingaussagen
Fordern Sie Referenzen an und überprüfen Sie diese. Begnügen Sie sich nicht mit Logos auf einer Website. Bitten Sie darum, mit einem echten Kunden mit ähnlichem Profil sprechen zu können, fragen Sie nach der Reaktion des Anbieters bei einem konkreten Vorfall und prüfen Sie die Kontinuität der Geschäftsbeziehung. Ein Anbieter, der jährlich seine Kundenbasis wechselt, hat ein Problem, das früher oder später Ihr Problem wird.
Zusammenfassend empfehlen wir, folgende Bewertungskriterien zu gewichten:
| Kriterium | Was zu prüfen ist | Warum es wichtig ist |
|---|---|---|
| 24x7-Abdeckung | SOC/MDR mit Erkennungs- und Reaktions-SLA | Angriffe kennen keine Geschäftszeiten |
| Zertifizierungen | Gültige ISO 27001 und ENS (falls zutreffend) über ENAC | Nachweis auditierter Prozesse |
| Branchenerfahrung | Fälle in Ihrer Branche und unter NIS2, falls zutreffend | Branchenspezifische, keine generischen Bedrohungen |
| Referenzen | Verifizierbare Kunden mit ähnlichem Profil | Evidenz statt Marketing |
| Transparenz | SLA, Eskalation und Berichte schriftlich | Definiert, was im Vorfall passiert |
| Team | Profile und Fluktuation des technischen Personals | Sicherheit wird von Menschen geleistet |
NIS2 und ENS: wie der Regulierungsrahmen bestimmt, welche Anbieter geeignet sind
Hier gibt es einen Punkt, den viele Unternehmen zu spät erkennen: Die Regulierung verpflichtet nicht nur Sie selbst – sie bestimmt auch, welche Anbieter zulässig sind.
Die NIS2-Richtlinie der Europäischen Union erweitert die Anzahl der Sektoren und Einrichtungen, die Cybersecurity-Anforderungen erfüllen müssen, erheblich und gliedert sie in „essentielle" und „wichtige" Einrichtungen. Die Frist zur nationalen Umsetzung endete am 17. Oktober 2024, ohne dass Spanien seine Umsetzungsgesetzgebung abgeschlossen hatte. Um diese Lücke zu schließen, verabschiedete der Ministerrat im Januar 2025 den Vorentwurf des Gesetzes zur Koordinierung und Governance der Cybersicherheit, wie das Departamento de Seguridad Nacional (DSN) und Analysten wie ECIJA sowie Verbände wie ASEPEC berichteten.
Was dieser Vorentwurf vorsieht, hat direkte Auswirkungen auf die Anbieterwahl: Essentielle Einrichtungen werden zur Zertifizierung verpflichtet, wichtige Einrichtungen zur Zertifizierung oder Selbstbewertung. Anders ausgedrückt: Fällt Ihr Unternehmen unter den NIS2-Rahmen, können Sie Ihre Sicherheit nicht an einen Anbieter auslagern, der nicht das Reifeniveau nachweisen kann, das das Gesetz von Ihnen einfordert.
Die Schnittstelle zum ENS ist ebenfalls relevant. Wenn Sie mit der öffentlichen Verwaltung zusammenarbeiten und Systeme der mittleren oder hohen Kategorie verwalten, haben wir bereits gesehen, dass das RD 311/2022 eine Zertifizierung durch eine ENAC-akkreditierte Stelle verlangt. Beide Rahmen kombiniert, ist die Botschaft für Einkäufer eindeutig: Stellen Sie sicher, dass das zertifizierbare Reifegrad Ihres Anbieters mindestens dem entspricht, das die Regulierung von Ihnen verlangt. Jemanden zu beauftragen, der unterhalb Ihres eigenen Compliance-Niveaus liegt, überträgt das rechtliche Risiko auf Ihre Organisation.
Für einen ganzheitlichen Blick darauf, wie Compliance, Erkennung und Reaktion in einer kohärenten Strategie zusammengefasst werden, können Sie unseren übergreifenden Ansatz zu Cybersecurity-Dienstleistungen für Unternehmen einsehen.
Schlüsselfragen, die Sie vor Vertragsschluss stellen sollten
Ein gutes Vertriebsgespräch im Bereich Cybersecurity sollte den Anbieter leicht in Verlegenheit bringen: Wenn alle Antworten einfach kommen, stellen Sie nicht die richtigen Fragen. Diese Fragen zeigen am besten die echte Reife eines Kandidaten.
- Welche Zertifizierungen haben Sie derzeit und was ist ihr genauer Geltungsbereich? Fordern Sie das Zertifikat, das Datum des letzten Überwachungsaudits und die ENAC-akkreditierte Stelle, die es ausgestellt hat, an.
- Wie ist Ihr SOC aufgebaut und welche Erkennungs- und Reaktions-SLA vereinbaren Sie vertraglich? Die Zeitverpflichtungen müssen im Vertrag stehen – nicht im Angebot.
- Was passiert genau, wenn Sie einen schwerwiegenden Vorfall außerhalb der Geschäftszeiten feststellen? Fordern Sie das Eskalationsverfahren und die Entscheidungsverantwortung um 3 Uhr morgens an.
- Wer gehört zum Team, das mein Konto betreuen wird, und wie hoch ist die Fluktuation? Sicherheit wird von Menschen ausgeführt – zu wissen, wer sie sind und ob sie bleiben, ist wichtig.
- Können Sie mir eine verifizierbare Referenz eines Kunden aus meiner Branche nennen? Und rufen Sie diese anschließend an.
- Wie helfen Sie mir, NIS2 und/oder das ENS entsprechend meiner Situation einzuhalten? Eine konkrete Antwort zeigt, dass der Anbieter Ihren regulatorischen Rahmen kennt.
- Welche Berichte erhalte ich, in welcher Häufigkeit und in welchem Format? Kontinuierliche Transparenz ist Teil des Dienstes, kein Aufpreis.
- Was geschieht am Ende des Vertrags mit meinen Daten, Logs und Konfigurationen? Portabilität und ein geordneter Ausstieg müssen von Anfang an vereinbart sein.
Beantwortet ein Anbieter diese acht Fragen konkret und schriftlich, haben Sie es mit einem ernsthaften Kandidaten zu tun. Antwortet er mit Allgemeinheiten, Marketingfloskeln oder Ausweichmanövern, haben Sie bereits wertvolle Informationen gewonnen.
Warnsignale: Wann Sie einen Cybersecurity-Anbieter ausschließen sollten
Genauso wichtig wie zu wissen, was Sie suchen, ist zu wissen, was Sie zum Aufstehen und Gehen bewegen sollte. Dies sind die zuverlässigsten Warnsignale, die wir bei der Prüfung von Sicherheitsverträgen beobachten.
- Ungenaue oder abgelaufene Zertifizierungen. „Wir sind im Zertifizierungsprozess" – jahrelang wiederholt; Zertifikate ohne Überwachungsaudit; Siegel von nicht ENAC-akkreditierten Stellen.
- Versprechen absoluter Sicherheit. Niemand Seriöses garantiert 100-prozentigen Schutz. Wer verspricht, dass Sie „niemals angegriffen werden", versteht das Problem nicht – oder täuscht Sie.
- Fehlende SLA schriftlich fixiert. Wenn Erkennungs- und Reaktionszeiten nicht im Vertrag erscheinen, existieren sie nicht. Gute Absichten lassen sich vor Gericht nicht einfordern.
- Intransparenz über Team und Unterauftragsvergabe. Wenn der Anbieter nicht bereit ist, Ihnen zu sagen, wer Ihre Sicherheit operativ betreuen wird oder ob der SOC an einen Dritten ausgelagert ist, sollten Sie vom Schlimmsten ausgehen.
- Der Preis als einziges Argument. Im Bereich Cybersecurity bedeutet günstig oft: automatisierte Überwachung ohne Analysten im Hintergrund. Die Einsparung verpufft beim ersten echten Vorfall.
- Keine verifzierbaren Referenzen. Logos auf der Website, aber kein Kunde, mit dem Sie sprechen können. Das Schweigen ist eine Antwort.
- Unkenntnis des Regulierungsrahmens. Ein Anbieter, der nicht erklären kann, wie NIS2 oder das ENS ihn betreffen, wird Ihnen nicht dabei helfen können, diese einzuhalten.
Jedes dieser Signale rechtfertigt für sich ein kritisches Gespräch. Zwei oder mehr zusammen rechtfertigen den Ausschluss des Kandidaten.
Fazit: Machen Sie die Auswahl zu einem Prozess – nicht zu einer Bauchentscheidung
Mit 122.223 vom INCIBE im Jahr 2025 verwalteten Vorfällen und mehr als 3.400 auf dem spanischen Markt konkurrierenden Anbietern darf die Wahl eines Cybersecurity-Unternehmens nicht von einem überzeugenden Vertriebsgespräch oder dem günstigsten Preis abhängen. Die richtige Entscheidung entsteht aus einer Methode: nach überprüfbaren Zertifizierungen filtern (ISO 27001 und ENS über ENAC), echte operative Fähigkeiten bewerten (SOC/MDR 24x7, Branchenerfahrung und geprüfte Referenzen), die Reife des Anbieters an Ihren Verpflichtungen unter NIS2 und dem ENS ausrichten und die Fragen stellen, die denjenigen, der wirklich schützt, von demjenigen unterscheiden, der nur Rechnungen stellt.
Wenn Sie diesen Prozess gerade beginnen und eine Arbeitsgrundlage benötigen, laden Sie unsere ISO 27001-Readiness-Checkliste herunter: Sie hilft Ihnen, Ihre eigene Reife zu messen, bevor Sie diese von einem Dritten einfordern. Wenn Sie es vorziehen, dass wir Sie bei der Bewertung, Beauftragung oder Prüfung Ihres Sicherheitspartners begleiten, sprechen Sie mit dem Team von Technova Partners: Wir helfen Ihnen, eine Risikoentscheidung in eine informierte Entscheidung zu verwandeln.
