RD 311/2022: el nuevo Esquema Nacional de Seguridad explicado

El Real Decreto 311/2022, de 3 de mayo, regula el Esquema Nacional de Seguridad y sustituye completamente al RD 3/2010. Analizamos en detalle su contenido, los cambios que introduce y como adaptarte a la nueva normativa.

Que es el RD 311/2022

El Real Decreto 311/2022, de 3 de mayo, es la norma que regula el Esquema Nacional de Seguridad en Espana. Fue publicado en el Boletin Oficial del Estado (BOE) el 4 de mayo de 2022 y entro en vigor al dia siguiente de su publicacion. Con este Real Decreto, el Gobierno actualizo integramente el marco normativo de seguridad de la informacion del sector publico espanol.

El RD 311/2022 sustituye completamente al anterior RD 3/2010, de 8 de enero, que fue la primera norma reguladora del ENS. Aquel primer decreto, aunque pionero en su momento, habia quedado desfasado frente a un panorama de ciberamenazas que habia evolucionado drasticamente en mas de una decada. La actualizacion de 2015 (RD 951/2015) fue un parche parcial, pero la necesidad de una reforma integral era evidente.

La disposicion transitoria unica del RD 311/2022 establecio un plazo de adaptacion de 24 meses desde su entrada en vigor. Esto significa que todas las organizaciones dentro de su ambito de aplicacion debian tener sus sistemas adaptados al nuevo marco antes de mayo de 2024. A dia de hoy, el plazo ha vencido y el cumplimiento del nuevo ENS es plenamente exigible.

El objetivo fundamental del RD 311/2022 es garantizar la proteccion adecuada de la informacion tratada y los servicios prestados por las entidades de su ambito de aplicacion, mediante medidas de seguridad proporcionales a la naturaleza de la informacion, el nivel de los servicios y los riesgos a los que estan expuestos.

Principales cambios respecto al RD 3/2010

El RD 311/2022 no es una simple revision del texto anterior: es una reescritura integral que moderniza el ENS en todos sus aspectos. Estos son los cambios mas relevantes:

  • Actualizacion a amenazas actuales: el nuevo decreto reconoce el cambio radical del panorama de ciberseguridad desde 2010. Incorpora amenazas como el ransomware, los ataques a la cadena de suministro y las amenazas persistentes avanzadas (APT), que no existian o eran marginales cuando se redacto el RD 3/2010.
  • Nuevas medidas de seguridad: se incorporan familias de medidas completamente nuevas. Destaca la familia op.nub (servicios en la nube), que regula la contratacion y uso de servicios cloud, y el refuerzo de op.mon (monitorizacion del sistema), que exige capacidades de vigilancia continua y deteccion de anomalias.
  • Refuerzo de medidas existentes: las medidas de seguridad del Anexo II se han revisado en profundidad. Muchas medidas que antes eran opcionales o tenian requisitos laxos ahora son obligatorias o exigen controles mas rigurosos, especialmente en las categorias Media y Alta.
  • Perfiles de Cumplimiento Especificos (PCE): el articulo 30 introduce esta figura novedosa. Los PCE permiten al CCN definir conjuntos predefinidos de medidas adaptados a sectores concretos (entidades locales, universidades, etc.), simplificando el proceso de adecuacion para organizaciones con caracteristicas comunes.
  • Notificacion obligatoria de incidentes: el articulo 33 establece la obligacion de notificar los incidentes de seguridad al CCN-CERT. Esta obligacion, que en el RD 3/2010 era mas difusa, ahora queda recogida de forma expresa y con procedimientos definidos.
  • Convergencia con normativa europea: el RD 311/2022 se alinea con la Directiva NIS/NIS2, el Reglamento de Ciberseguridad de la UE y el Reglamento eIDAS. Esta alineacion busca que el cumplimiento del ENS facilite tambien la conformidad con las obligaciones europeas.

Estructura del Real Decreto 311/2022

El RD 311/2022 se estructura en 40 articulos organizados en 7 capitulos, mas disposiciones adicionales, transitorias, una derogatoria y finales. A ello se suman 4 anexos que constituyen el nucleo tecnico del ENS.

Los 7 capitulos

  • Capitulo I (Art. 1-4): Objeto, ambito de aplicacion y definiciones. Establece que regula el ENS y a quien aplica.
  • Capitulo II (Art. 5-11): Principios basicos. Los 7 principios que fundamentan toda la estrategia de seguridad.
  • Capitulo III (Art. 12-16): Politica de seguridad y requisitos minimos. Define las obligaciones organizativas y de gestion.
  • Capitulo IV (Art. 17-29): Seguridad de los sistemas de informacion. Requisitos tecnicos y operacionales detallados.
  • Capitulo V (Art. 33-34): Respuesta a incidentes de seguridad. Notificacion al CCN-CERT y gestion de incidentes.
  • Capitulo VI (Art. 35-37): Actuaciones del CCN. Funciones del Centro Criptologico Nacional en el marco del ENS.
  • Capitulo VII (Art. 38-40): Conformidad con el ENS. Mecanismos de auditoria, certificacion y distintivos de conformidad.

Los 4 anexos

  • Anexo I — Categorias de seguridad: define como categorizar los sistemas en BASICA, MEDIA o ALTA segun el impacto potencial en las dimensiones DACIT.
  • Anexo II — Medidas de seguridad: contiene las 75 medidas de seguridad organizadas en 3 marcos (organizativo, operacional y de proteccion) y 16 familias.
  • Anexo III — Auditoria de seguridad: establece los criterios para la auditoria del cumplimiento, incluyendo frecuencia, alcance y requisitos del proceso.
  • Anexo IV — Glosario de terminos: definiciones de los conceptos clave utilizados en el decreto.

Los 7 principios basicos del ENS (Art. 5-11)

El Capitulo II del RD 311/2022 establece los principios basicos que fundamentan toda la estrategia de seguridad del ENS. Son siete y estan recogidos en los articulos 5 a 11:

  1. 1Seguridad integral (Art. 5): la seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, tecnicos y organizativos relacionados con el sistema. No basta con medidas tecnologicas: las personas, los procesos y las instalaciones fisicas forman parte de la ecuacion.
  2. 2Gestion de riesgos (Art. 6): el analisis y la gestion de riesgos es parte esencial del proceso de seguridad. Las medidas adoptadas deben ser proporcionales a los riesgos identificados, permitiendo un equilibrio entre seguridad y operatividad.
  3. 3Prevencion, reaccion y recuperacion (Art. 7): la seguridad debe cubrir las cuatro fases del ciclo: prevenir los incidentes, detectarlos a tiempo, reaccionar de forma adecuada y recuperar la normalidad lo antes posible.
  4. 4Lineas de defensa (Art. 8): el sistema debe disponer de una estrategia de proteccion basada en multiples capas de seguridad, de forma que cuando una medida falle, existan otras que compensen esa brecha.
  5. 5Vigilancia continua (Art. 9): los sistemas deben estar sujetos a monitorizacion permanente para detectar actividades o comportamientos anomalos y reaccionar ante ellos con celeridad.
  6. 6Reevaluacion periodica (Art. 10): las medidas de seguridad deben reevaluarse y actualizarse periodicamente para adaptarse a la evolucion de los riesgos y de las tecnologias.
  7. 7Diferenciacion de responsabilidades (Art. 11): deben definirse claramente los roles de responsable de la informacion, responsable del servicio, responsable de seguridad y responsable del sistema, evitando la concentracion de funciones incompatibles.

Ambito de aplicacion del RD 311/2022 (Art. 2)

El articulo 2 del RD 311/2022 define un ambito de aplicacion amplio que abarca tanto al sector publico como a determinadas entidades del sector privado:

Sector publico

  • Administracion General del Estado (AGE) y todos sus organismos publicos.
  • Comunidades Autonomas (CCAA) y sus entidades dependientes.
  • Entidades Locales (EELL): ayuntamientos, diputaciones, cabildos, consejos insulares.
  • Universidades publicas.
  • Cualquier otra entidad u organismo del sector publico segun la Ley 40/2015.

Sector privado

Las empresas del sector privado quedan obligadas al cumplimiento del ENS cuando presten servicios o provean soluciones tecnologicas a entidades del sector publico. En la practica, esto incluye a proveedores TIC, empresas de desarrollo de software, servicios cloud, consultoras tecnologicas y cualquier entidad que trate informacion del sector publico en virtud de una relacion contractual.

Exclusiones

El RD 311/2022 excluye expresamente de su ambito los sistemas que tratan informacion clasificada, que se rigen por su normativa especifica (Ley de Secretos Oficiales y normativa de la Autoridad Nacional de Seguridad).

Plazos de adaptacion y situacion actual

El calendario de implantacion del RD 311/2022 ha sido claro desde su publicacion:

  • 4 de mayo de 2022: publicacion en el BOE del Real Decreto 311/2022.
  • 5 de mayo de 2022: entrada en vigor. Aplicable de inmediato a nuevos sistemas.
  • Mayo de 2024: fin del plazo transitorio de 24 meses. Todos los sistemas preexistentes debian estar adaptados.

A dia de hoy, el plazo de adaptacion ha vencido. Todas las organizaciones dentro del ambito de aplicacion deben cumplir integramente la nueva version del ENS. Los sistemas que estaban certificados bajo el RD 3/2010 debian migrar su certificacion al nuevo marco. Las nuevas certificaciones solo se emiten ya conforme al RD 311/2022.

Las organizaciones que aun no se hayan adaptado se encuentran en una situacion de incumplimiento normativo que puede tener consecuencias en licitaciones publicas, auditorias de cumplimiento y, en caso de incidente, responsabilidad por falta de diligencia.

Novedades tecnicas destacadas del RD 311/2022

Mas alla de los cambios normativos generales, el RD 311/2022 introduce varias novedades tecnicas que reflejan la evolucion del panorama tecnologico y de amenazas:

Servicios en la nube (op.nub)

Se introduce una familia de medidas completamente nueva para regular el uso de servicios cloud. Las medidas op.nub exigen que la contratacion de servicios en la nube se realice con proveedores que ofrezcan garantias adecuadas, que los datos del sector publico se almacenen en ubicaciones apropiadas y que se mantengan los controles de seguridad sobre la informacion externalizada.

Monitorizacion del sistema (op.mon)

Las medidas de monitorizacion se refuerzan significativamente. El nuevo ENS exige capacidades de vigilancia continua, deteccion de anomalias y correlacion de eventos de seguridad. Para categorias Media y Alta, esto implica en la practica contar con un SOC (Centro de Operaciones de Seguridad) o un servicio equivalente.

Interconexion de sistemas

El RD 311/2022 presta especial atencion a la seguridad de las interconexiones entre sistemas. Cuando dos sistemas de diferente categoria se conectan, deben implementarse controles que protejan al sistema de mayor categoria de los riesgos que introduce la conexion con el de menor nivel.

Cadena de suministro

El nuevo marco refuerza los requisitos de seguridad en la cadena de suministro. Las entidades deben evaluar y gestionar los riesgos de seguridad que introducen sus proveedores, contratistas y subcontratistas, exigiendo garantias de cumplimiento del ENS a lo largo de toda la cadena.

Vigilancia y SOC

El principio de vigilancia continua (Art. 9) se traduce en requisitos operacionales concretos. Para categorias Media y Alta, la organizacion debe contar con capacidades de deteccion y respuesta ante incidentes que, en la practica, requieren servicios de SOC con monitorizacion 24/7 o acuerdos con el CCN-CERT para la prestacion de estos servicios.

Como cumplir el RD 311/2022 hoy con NexENS

Adaptarse al RD 311/2022 puede parecer un reto, pero con la metodologia adecuada y las herramientas correctas, el proceso se simplifica enormemente. Estos son los pasos practicos que recomendamos:

  1. 1Categoriza tus sistemas: evalua cada sistema en las dimensiones DACIT y determina su categoria. Con NexENS, este paso es guiado y gratuito.
  2. 2Genera la Declaracion de Aplicabilidad: identifica que medidas del Anexo II te aplican. NexENS la genera automaticamente en funcion de tu categoria.
  3. 3Implementa las medidas: aplica las medidas de seguridad que te corresponden. Usa el checklist de tareas de NexENS para llevar el control y no dejar nada sin cubrir.
  4. 4Documenta y recopila evidencias: cada medida implementada debe estar respaldada por evidencias documentales. NexENS te indica que evidencias necesitas para cada medida.
  5. 5Preparate para la auditoria: para categoria Media y Alta, necesitaras una auditoria externa. NexENS organiza toda tu documentacion para que el proceso sea lo mas fluido posible.

NexENS te acompana en todo el proceso de adecuacion al RD 311/2022: desde la categorizacion hasta la preparacion de la auditoria. Sin consultoras, sin plantillas genericas, sin hojas de calculo.

Preguntas frecuentes sobre el RD 311/2022

El RD 311/2022 sustituye completamente al RD 3/2010?
Si. El Real Decreto 311/2022 deroga integramente el RD 3/2010, de 8 de enero, y todas sus modificaciones posteriores, incluida la actualizacion de 2015. A partir de su entrada en vigor en mayo de 2022, el nuevo RD es la unica norma que regula el Esquema Nacional de Seguridad. Todas las organizaciones deben adaptarse a este nuevo marco normativo.
Cual es el plazo para adaptarse al RD 311/2022?
La disposicion transitoria unica del RD 311/2022 establecio un plazo de 24 meses desde su entrada en vigor (mayo 2022) para que los sistemas de informacion preexistentes se adaptaran. Ese plazo vencio en mayo de 2024, por lo que actualmente todos los sistemas deben cumplir integramente la nueva version del ENS.
Que son los Perfiles de Cumplimiento Especificos (PCE)?
Los PCE son una novedad del RD 311/2022 recogida en su articulo 30. Permiten al CCN definir conjuntos de medidas de seguridad adaptados a sectores o tipologias de entidades concretas (por ejemplo, entidades locales o universidades). Un PCE simplifica el cumplimiento porque predefine que medidas aplican a ese tipo de organizacion, evitando interpretaciones individuales.
Que cambia en la notificacion de incidentes con el nuevo RD?
El RD 311/2022 refuerza significativamente la obligacion de notificar incidentes de seguridad al CCN-CERT. El articulo 33 establece que las entidades del ambito de aplicacion deben notificar al CCN-CERT los incidentes de seguridad que afecten a sus sistemas, siguiendo los procedimientos y criterios que este establezca. Esto se alinea con la tendencia europea de notificacion obligatoria.
El RD 311/2022 afecta a empresas privadas?
Si, afecta a todas las empresas del sector privado que presten servicios o provean soluciones tecnologicas a entidades del sector publico. El articulo 2 extiende el ambito de aplicacion a los sistemas de informacion de entidades del sector privado cuando, en virtud de una relacion contractual, manejen informacion o presten servicios a entidades del sector publico.
Que relacion tiene el RD 311/2022 con la normativa europea?
El RD 311/2022 se alinea expresamente con el marco normativo europeo de ciberseguridad. Su preambulo menciona la Directiva NIS (y la posterior NIS2), el Reglamento de Ciberseguridad de la UE y el Reglamento eIDAS. Esta convergencia busca que el cumplimiento del ENS facilite tambien el cumplimiento de las obligaciones europeas en materia de seguridad de la informacion.

Cumple el RD 311/2022 paso a paso

Categoriza tu primer sistema en 2 minutos, genera tu Declaracion de Aplicabilidad y empieza a implementar las medidas del nuevo ENS. Sin coste, sin compromiso.

Empezar gratis