Declaracion de Aplicabilidad ENS: que es y como hacerla

La Declaracion de Aplicabilidad (DA) es el documento que determina que medidas de seguridad del Esquema Nacional de Seguridad aplican a tu sistema. Sin ella, no puedes demostrar cumplimiento. Te explicamos todo lo que necesitas saber.

Genera tu DA gratis en 2 minutos

Que es la Declaracion de Aplicabilidad

La Declaracion de Aplicabilidad (DA) es un documento formal que establece que medidas de seguridad del Anexo II del Real Decreto 311/2022 son aplicables a un sistema de informacion concreto. Es, en esencia, el puente entre la categorizacion de tu sistema y la implementacion real de las medidas de seguridad.

El Anexo II del ENS define 75 medidas de seguridad organizadas en tres marcos: organizativo, operacional y de proteccion. No todas las medidas aplican a todos los sistemas. La DA es el documento donde se analiza cada una de esas 75 medidas y se determina si es aplicable o no al sistema en cuestion, teniendo en cuenta su categoria (BASICA, MEDIA o ALTA) y las caracteristicas particulares del entorno.

Piensa en la DA como un inventario personalizado de obligaciones de seguridad. Mientras que el ENS define el marco general, la DA lo concreta para tu caso particular. Es la diferencia entre saber que existen 75 medidas y saber cuales de esas 75 medidas tienes que implementar tu.

Por que es obligatoria la Declaracion de Aplicabilidad

El articulo 28 del Real Decreto 311/2022 establece de forma explicita que las entidades sujetas al ENS deben disponer de una Declaracion de Aplicabilidad. No es una recomendacion ni una buena practica: es un requisito legal.

La DA cumple varias funciones criticas en el proceso de cumplimiento del ENS. En primer lugar, es el punto de partida para implementar las medidas de seguridad. Sin saber que medidas aplican a tu sistema, no puedes planificar su implementacion. En segundo lugar, sirve como referencia para los auditores: es uno de los primeros documentos que solicitan en cualquier proceso de auditoria ENS. Si no la tienes, la auditoria no puede ni empezar.

Ademas, la DA demuestra que la organizacion ha realizado un analisis consciente y deliberado de sus obligaciones de seguridad. No se trata de aplicar todas las medidas a ciegas, sino de demostrar que has evaluado cada una y has tomado una decision informada sobre su aplicabilidad.

Para los sistemas de categoria MEDIA y ALTA, la DA es ademas un documento que debe mantenerse actualizado y que se revisa en cada ciclo de auditoria. Un sistema que cambia de alcance o de categoria sin actualizar su DA esta incumpliendo el ENS, incluso si tiene todas las medidas correctamente implementadas.

Que contiene una Declaracion de Aplicabilidad

Una Declaracion de Aplicabilidad completa debe recoger las 75 medidas de seguridad del Anexo II del RD 311/2022. Para cada una de ellas, el documento debe incluir la siguiente informacion:

Identificacion de la medida

Codigo (por ejemplo, org.1, op.acc.1, mp.com.1), nombre completo y descripcion de la medida segun el Anexo II.

Aplicabilidad

Si la medida aplica o no al sistema. Esta decision depende de la categoria del sistema y de las caracteristicas del entorno.

Nivel de refuerzo

Cada medida puede tener refuerzos (R1, R2, R3...) que incrementan su exigencia. La DA debe indicar que refuerzos aplican segun la categoria.

Justificacion de exclusion

Si una medida no aplica, debe existir una justificacion tecnica documentada. No basta con marcarla como "no aplica" sin mas explicacion.

Adicionalmente, la DA suele incluir el nombre del sistema, su categoria, la fecha de elaboracion, el responsable de seguridad que la firma y un registro de las revisiones realizadas. Todo esto contribuye a que el documento sea auditable y trazable.

Relacion entre la DA y la categoria del sistema

La categoria del sistema es el factor principal que determina que medidas aparecen en la Declaracion de Aplicabilidad. El Anexo II del RD 311/2022 establece para cada medida a que categorias aplica, de forma que cuanto mayor es la categoria, mayor es el numero de medidas y refuerzos exigidos.

AspectoBASICAMEDIAALTA
Medidas aplicables (aprox.)40-4555-6075 (todas)
Refuerzos exigidosNingunoR1 en muchas medidasR1, R2, R3 segun medida
Ejemplo: op.acc.5 (mecanismo autenticacion)Aplica (base)Aplica + R1Aplica + R1 + R2 + R3
Ejemplo: op.cont (continuidad del servicio)No aplicaAplica (base)Aplica + R1 + R2
Ejemplo: mp.com.3 (cifrado comunicaciones)No aplicaNo aplicaAplica

Esta graduacion implica que la DA de un sistema BASICA sera un documento significativamente mas sencillo que la de un sistema ALTA. Sin embargo, en todos los casos el proceso de elaboracion es el mismo: revisar cada medida, determinar si aplica y documentar la decision.

Los 3 marcos de medidas del ENS

Las 75 medidas de seguridad del ENS se organizan en tres grandes marcos. Entender esta estructura es fundamental para elaborar correctamente la Declaracion de Aplicabilidad.

Marco Organizativo (org)

Comprende las medidas de nivel estrategico y de gobierno de la seguridad. Es el marco mas reducido, con una unica familia (org) que incluye 4 medidas fundamentales:

  • org.1 - Politica de seguridad: define la posicion de la organizacion frente a la seguridad
  • org.2 - Normativa de seguridad: desarrolla la politica en normas concretas
  • org.3 - Procedimientos de seguridad: instrucciones operativas detalladas
  • org.4 - Proceso de autorizacion: control de cambios y accesos significativos

Marco Operacional (op)

Agrupa las medidas relacionadas con la operacion diaria de los sistemas. Contiene 7 familias que cubren desde la planificacion hasta la monitorizacion:

op.pl - Planificacion: analisis de riesgos, arquitectura, adquisicion
op.acc - Control de acceso: identificacion, autenticacion, permisos
op.exp - Explotacion: inventario, configuracion, gestion de cambios
op.ext - Servicios externos: contratacion y gestion de proveedores
op.nub - Servicios en la nube: contratacion y uso de cloud
op.cont - Continuidad del servicio: planes de contingencia y recuperacion
op.mon - Monitorizacion: vigilancia y deteccion de incidentes

Medidas de Proteccion (mp)

El marco mas extenso, con 8 familias que cubren la proteccion de los activos del sistema. Abarca desde las instalaciones fisicas hasta los servicios que se prestan:

mp.if - Instalaciones fisicas: areas seguras, control de acceso fisico
mp.per - Gestion del personal: formacion, concienciacion, deberes
mp.eq - Proteccion de equipos: puesto de trabajo, dispositivos moviles
mp.com - Proteccion de comunicaciones: perimetro, cifrado, redes
mp.si - Soportes de informacion: etiquetado, custodia, borrado
mp.sw - Proteccion de aplicaciones: desarrollo seguro, aceptacion
mp.info - Proteccion de la informacion: clasificacion, cifrado, firma
mp.s - Proteccion de servicios: e-mail, web, navegacion, cloud

Como hacer la Declaracion de Aplicabilidad paso a paso

Elaborar la DA puede parecer un proceso complejo, pero se resume en cuatro pasos bien definidos. Lo importante es seguir un orden logico y documentar cada decision.

1

Categorizar el sistema

El primer paso es determinar la categoria del sistema (BASICA, MEDIA o ALTA) en funcion de las dimensiones de seguridad afectadas: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. La categoria determina automaticamente el conjunto base de medidas que aplicaran.

2

Aplicar las reglas del Anexo II

Con la categoria determinada, se revisan las 75 medidas del Anexo II. Cada medida indica a que categorias aplica y con que refuerzos. Se marcan como aplicables o no aplicables siguiendo las tablas del RD 311/2022. Este es el nucleo de la DA.

3

Documentar las exclusiones

Para cada medida que se excluye, se debe redactar una justificacion tecnica. Por ejemplo: "La medida mp.si.1 (etiquetado de soportes) no aplica porque el sistema no utiliza soportes fisicos extraibles para el manejo de informacion". Las justificaciones deben ser concretas y verificables.

4

Revisar periodicamente

La DA no es un documento estatico. Debe revisarse cuando el sistema cambie de alcance, se integren nuevos componentes, se modifique la categoria o se actualice la normativa. Como minimo, se recomienda una revision anual alineada con la revision de la politica de seguridad de la organizacion.

Errores comunes al elaborar la DA

A lo largo de los procesos de auditoria y certificacion ENS, se repiten ciertos errores en la elaboracion de la Declaracion de Aplicabilidad. Conocerlos te ayudara a evitarlos.

No actualizar la DA cuando cambia el sistema

Es el error mas frecuente. La organizacion elabora la DA una vez y la archiva sin revisarla. Cuando el sistema evoluciona (nuevos modulos, cambio de proveedor cloud, ampliacion de usuarios), la DA queda desactualizada y deja de reflejar la realidad. Los auditores detectan esta incoherencia facilmente.

Excluir medidas sin justificacion

Marcar una medida como "no aplica" sin una justificacion tecnica valida es una no conformidad en auditoria. Cada exclusion debe tener una razon concreta y documentada. Las justificaciones genericas como "no es relevante" o "no aplica a nuestra organizacion" no son aceptables.

No considerar los refuerzos

Muchas organizaciones identifican correctamente las medidas aplicables pero ignoran los refuerzos. Un sistema de categoria MEDIA no solo debe aplicar mas medidas que uno BASICA, sino que muchas de esas medidas deben implementarse con refuerzos adicionales (R1, R2). Omitir los refuerzos supone un cumplimiento incompleto.

Copiar la DA de otro sistema

Cada sistema de informacion tiene caracteristicas propias. Copiar la DA de un sistema similar puede ahorrar tiempo, pero frecuentemente lleva a errores: medidas que se excluyen sin razon o medidas que se incluyen sin necesidad. La DA debe ser un analisis individualizado del sistema concreto.

Como NexENS genera tu DA automaticamente

Elaborar la Declaracion de Aplicabilidad manualmente implica revisar las 75 medidas del Anexo II, cruzarlas con la categoria del sistema, determinar los refuerzos aplicables y redactar las justificaciones de exclusion. Es un proceso que puede llevar horas o incluso dias si no tienes experiencia previa con el ENS.

NexENS automatiza todo este proceso. Una vez que te registras y categorizas tu sistema respondiendo a unas preguntas sencillas sobre las dimensiones de seguridad, la herramienta genera automaticamente tu Declaracion de Aplicabilidad completa:

  • Filtra las 75 medidas segun la categoria de tu sistema (BASICA, MEDIA o ALTA)
  • Asigna automaticamente los refuerzos correspondientes a cada medida
  • Incluye justificaciones predeterminadas para las medidas excluidas, que puedes personalizar
  • Te permite exportar el documento en PDF, listo para entregar a los auditores
  • Se actualiza automaticamente si cambias la categoria o el alcance del sistema

El proceso completo toma menos de 2 minutos. Puedes empezar gratis, sin tarjeta de credito, y tener tu Declaracion de Aplicabilidad lista para descargar.

Genera tu Declaracion de Aplicabilidad gratis

Categoriza tu sistema, obtiene la DA automatica con todas las medidas filtradas por tu categoria y exportala en PDF. Sin consultoras, sin complicaciones.

Genera tu DA gratis en 2 minutos

Preguntas frecuentes sobre la Declaracion de Aplicabilidad

Que es exactamente la Declaracion de Aplicabilidad del ENS?
Es un documento formal que lista las 75 medidas de seguridad del Anexo II del RD 311/2022 e indica cuales son aplicables a tu sistema de informacion concreto, en funcion de su categoria (BASICA, MEDIA o ALTA). Para cada medida se especifica si aplica, con que nivel de refuerzo, y si no aplica se justifica la exclusion.
Es obligatoria la Declaracion de Aplicabilidad?
Si. El articulo 28 del RD 311/2022 establece que todo sistema sujeto al ENS debe contar con una Declaracion de Aplicabilidad actualizada. Es uno de los primeros documentos que solicitan los auditores en cualquier proceso de certificacion o verificacion de cumplimiento.
Cada cuanto hay que actualizar la DA?
La DA debe revisarse siempre que haya cambios significativos en el sistema: nuevas funcionalidades, cambio de categoria, integracion con nuevos servicios externos o modificaciones en la infraestructura. Como minimo, se recomienda revisarla anualmente coincidiendo con la revision de la politica de seguridad.
Puedo excluir medidas de seguridad del ENS?
Si, pero solo cuando exista una justificacion tecnica valida. Por ejemplo, si tu sistema no maneja soportes fisicos de informacion, puedes excluir las medidas de la familia mp.si (soportes de informacion). Toda exclusion debe quedar documentada y justificada en la propia DA.
Que diferencia hay entre la DA para categoria BASICA y ALTA?
Un sistema de categoria BASICA aplica un subconjunto reducido de medidas (aproximadamente 40-45 de las 75), sin refuerzos adicionales. Un sistema de categoria ALTA debe aplicar todas las medidas con todos sus refuerzos, lo que supone requisitos mucho mas exigentes en areas como control de acceso, cifrado, monitorizacion y continuidad del servicio.
NexENS genera la DA automaticamente?
Si. Una vez que categorizas tu sistema en NexENS, la herramienta genera automaticamente la Declaracion de Aplicabilidad con todas las medidas filtradas por tu categoria, los refuerzos correspondientes y las justificaciones predeterminadas. Puedes personalizarla y exportarla en PDF. El proceso completo toma menos de 2 minutos.