Que es el Esquema Nacional de Seguridad (ENS)

Guia completa y actualizada sobre el ENS: su origen, a quien obliga, como se estructura y que pasos seguir para cumplirlo. Todo lo que necesitas saber sobre el RD 311/2022 en un solo lugar.

Definicion del ENS

El Esquema Nacional de Seguridad (ENS) es el marco normativo que establece los principios basicos y los requisitos minimos de seguridad que deben cumplir todos los sistemas de informacion del sector publico en Espana. Su objetivo es garantizar la proteccion adecuada de la informacion que manejan las administraciones publicas y las entidades que colaboran con ellas.

Regulado actualmente por el Real Decreto 311/2022, de 3 de mayo, el ENS sustituye al anterior RD 3/2010 y su actualizacion de 2015. Esta nueva version moderniza las medidas de seguridad, las adapta al panorama actual de ciberamenazas e introduce conceptos como los perfiles de cumplimiento especificos, que permiten adaptar las exigencias a sectores concretos.

El ENS se enmarca dentro de la Ley 40/2015 de Regimen Juridico del Sector Publico y complementa al Reglamento General de Proteccion de Datos (RGPD) en lo que respecta a la seguridad de la informacion. No es una recomendacion: es una obligacion legal para todas las entidades dentro de su ambito de aplicacion.

A quien aplica el ENS

El ambito de aplicacion del ENS es amplio. Afecta a todo el sector publico espanol en sentido amplio: Administracion General del Estado, comunidades autonomas, entidades locales (ayuntamientos, diputaciones, cabildos), universidades publicas, organismos autonomos y entidades de derecho publico.

Pero no se queda ahi. Tambien estan obligadas a cumplir el ENS todas las empresas privadas que presten servicios o provean soluciones tecnologicas al sector publico. Esto incluye:

  • Proveedores TIC: empresas de hosting, cloud, desarrollo de software, mantenimiento de sistemas.
  • Consultoras y servicios profesionales que manejen informacion del sector publico.
  • Empresas que participen en licitaciones publicas, donde cada vez mas pliegos exigen la certificacion ENS.
  • Cualquier entidad que trate, almacene o transmita informacion clasificada del sector publico.

En la practica, si tu organizacion tiene algun tipo de relacion con una administracion publica y maneja datos o sistemas de informacion vinculados a esa relacion, el ENS te aplica.

Principios basicos del ENS

El ENS se fundamenta en una serie de principios que guian toda la estrategia de seguridad. Entenderlos es clave para aplicar la normativa correctamente:

  • Seguridad integral: la seguridad no es solo tecnologia. Abarca personas, procesos, instalaciones y sistemas. Un enfoque parcial no es suficiente.
  • Gestion de riesgos: las medidas de seguridad deben ser proporcionales a los riesgos identificados. No se trata de implementar todo, sino de proteger lo que importa segun el impacto potencial.
  • Prevencion, deteccion, respuesta y conservacion: el ENS exige capacidades en las cuatro fases del ciclo de seguridad. No basta con prevenir; hay que detectar incidentes, responder adecuadamente y conservar la informacion.
  • Proporcionalidad: las medidas de seguridad deben ser proporcionadas a la naturaleza de la informacion, al nivel de los servicios prestados y a los riesgos a los que estan expuestos.
  • Mejora continua: la seguridad no es un proyecto con fecha de fin. El ENS requiere un proceso de actualizacion y mejora constante, adaptandose a nuevas amenazas y cambios organizativos.

Estructura del ENS: articulos, anexos y medidas

El RD 311/2022 se organiza en 40 articulos agrupados en capitulos, mas disposiciones adicionales, transitorias, y tres anexos fundamentales:

  • Anexo I — Categorias de seguridad: define como categorizar los sistemas de informacion en funcion del impacto que tendria un incidente de seguridad. El resultado es una de tres categorias: Basica, Media o Alta.
  • Anexo II — Medidas de seguridad: contiene las 75 medidas de seguridad organizadas en 3 marcos y 16 familias. Cada medida tiene requisitos diferentes segun la categoria del sistema.
  • Anexo III — Auditoria de seguridad: establece los criterios para la auditoria del cumplimiento, incluyendo frecuencia y alcance.

Los tres marcos del Anexo II son:

  • Marco organizativo (org): politicas, normativas y procedimientos de seguridad.
  • Marco operacional (op): planificacion, control de acceso, explotacion, servicios externos y continuidad.
  • Marco de proteccion (mp): proteccion de instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, informacion y servicios.

Puedes consultar en detalle las 75 medidas y sus requisitos por categoria en nuestra guia de medidas de seguridad del ENS.

Categorias del ENS: Basica, Media y Alta

El primer paso para cumplir el ENS es categorizar tus sistemas de informacion. La categorizacion determina que medidas de seguridad te aplican y con que nivel de exigencia. El ENS define tres categorias:

  • Categoria BASICA: para sistemas donde un incidente de seguridad tendria un impacto limitado. Las exigencias son menores y basta con una autoevaluacion (no requiere auditoria externa).
  • Categoria MEDIA: para sistemas donde un incidente causaria un perjuicio grave. Requiere auditoria externa cada 2 anos y medidas de seguridad mas exigentes.
  • Categoria ALTA: para sistemas donde un incidente tendria un impacto muy grave o catastrofico. Exige el maximo nivel de medidas de seguridad y auditoria formal obligatoria.

La categoria se determina evaluando el impacto potencial en las cinco dimensiones DACIT: Disponibilidad, Autenticidad, Confidencialidad, Integridad y Trazabilidad. La dimension con el nivel mas alto marca la categoria final del sistema.

Aprende mas sobre el proceso de categorizacion y las dimensiones en nuestra guia de categorias del ENS.

Obligaciones principales del ENS

Cumplir el ENS implica una serie de obligaciones concretas. Estas son las principales:

  • Categorizacion de sistemas: valorar cada sistema de informacion en las dimensiones DACIT y asignarle una categoria (Basica, Media o Alta).
  • Declaracion de Aplicabilidad: elaborar el documento que identifica las medidas de seguridad aplicables a cada sistema. Puedes conocer mas en nuestra guia sobre la Declaracion de Aplicabilidad.
  • Politica de seguridad: aprobar y publicar una politica de seguridad de la informacion que establezca el marco general de actuacion.
  • Analisis de riesgos: realizar un analisis de riesgos que identifique las amenazas y vulnerabilidades de los sistemas, y determinar las medidas de tratamiento adecuadas.
  • Implementacion de medidas: aplicar las medidas de seguridad del Anexo II que correspondan segun la categoria del sistema.
  • Auditoria y certificacion: para categoria Media y Alta, someterse a auditoria ENS cada 2 anos y obtener la certificacion de conformidad.
  • Gestion de incidentes: establecer procedimientos para detectar, gestionar y notificar incidentes de seguridad al CCN-CERT.

Sanciones y riesgos por incumplimiento

El incumplimiento del ENS no es algo que pase desapercibido. Las consecuencias pueden ser significativas tanto para administraciones publicas como para empresas privadas:

  • Responsabilidad administrativa: los responsables de seguridad y los organos directivos pueden ser senalados por el incumplimiento de la normativa, con las consecuencias disciplinarias correspondientes.
  • Exclusion de licitaciones publicas: cada vez mas pliegos de contratacion publica exigen la certificacion ENS a los licitadores. Sin ella, pierdes acceso a un mercado de miles de millones de euros anuales.
  • Riesgo reputacional: un incidente de seguridad en una entidad que no cumplia el ENS amplifica enormemente el dano reputacional.
  • Responsabilidad por danos: en caso de una brecha de seguridad, la falta de diligencia en el cumplimiento del ENS puede derivar en responsabilidad patrimonial de la administracion o contractual del proveedor.

Ademas, el CCN realiza periodicamente revisiones y supervisiones del estado de cumplimiento de las entidades publicas, publicando informes y estadisticas que pueden afectar a la percepcion del nivel de seguridad de cada organizacion.

Como cumplir el ENS paso a paso

Cumplir el ENS puede parecer abrumador, pero se simplifica cuando lo descompones en pasos concretos. Este es el camino que recomendamos:

  1. 1Categoriza tus sistemas: evalua cada sistema de informacion en las dimensiones DACIT y determina su categoria. Con NexENS, este paso es guiado, automatico y gratuito.
  2. 2Genera la Declaracion de Aplicabilidad: identifica que medidas del Anexo II te aplican. NexENS la genera automaticamente en funcion de tu categoria.
  3. 3Elabora la politica de seguridad: redacta y aprueba tu politica de seguridad de la informacion, adaptada a tu organizacion y contexto.
  4. 4Realiza el analisis de riesgos: identifica amenazas, vulnerabilidades y calcula el riesgo residual. Define las medidas de tratamiento.
  5. 5Implementa las medidas de seguridad: aplica las medidas tecnicas, organizativas y operacionales que te corresponden. Usa el checklist de NexENS para llevar el control.
  6. 6Recopila evidencias: documenta como has implementado cada medida. Las evidencias son esenciales para la auditoria.
  7. 7Auditoria y certificacion: para categoria Media y Alta, contrata una auditoria formal. Para Basica, realiza la autoevaluacion y emite la declaracion de conformidad.

NexENS te acompana en todo este proceso: desde la categorizacion gratuita hasta la gestion de evidencias y la preparacion de la auditoria. Sin consultoras, sin plantillas genericas, sin hojas de calculo.

Preguntas frecuentes sobre el ENS

¿El ENS solo aplica a administraciones publicas?
No. Aunque el ENS nace para regular la seguridad del sector publico, cualquier empresa privada que preste servicios tecnologicos a una administracion publica o que maneje informacion del sector publico tambien esta obligada a cumplirlo. Esto incluye proveedores TIC, empresas de desarrollo de software, servicios cloud, consultoras y cualquier entidad que trate datos en nombre de una administracion.
¿Cual es la diferencia entre el RD 3/2010 y el RD 311/2022?
El RD 311/2022 sustituye completamente al RD 3/2010. Introduce cambios importantes: actualiza las medidas de seguridad para adaptarlas a las amenazas actuales, simplifica algunas obligaciones para categoria Basica, refuerza los requisitos de vigilancia y respuesta ante incidentes, e incorpora la figura del perfil de cumplimiento especifico. Todas las organizaciones deben adaptarse al nuevo marco.
¿Que son las dimensiones DACIT?
DACIT es el acronimo de las cinco dimensiones de seguridad que evalua el ENS: Disponibilidad, Autenticidad, Confidencialidad, Integridad y Trazabilidad. Cada sistema de informacion se valora en estas cinco dimensiones con niveles Bajo, Medio o Alto. La dimension con mayor nivel determina la categoria final del sistema.
¿Cada cuanto hay que auditar el cumplimiento del ENS?
Depende de la categoria del sistema. Los sistemas de categoria Basica solo requieren una autoevaluacion periodica. Los sistemas de categoria Media y Alta deben someterse a una auditoria formal cada dos anos, realizada por un auditor independiente. En todos los casos, se recomienda mantener la documentacion y las evidencias actualizadas de forma continua.
¿Que es la Declaracion de Aplicabilidad?
La Declaracion de Aplicabilidad (DA) es un documento obligatorio del ENS que recoge todas las medidas de seguridad del Anexo II que aplican a tu sistema, junto con la justificacion de aquellas que no aplican. Es el mapa de ruta para tu cumplimiento: define exactamente que medidas debes implementar segun tu categoria y contexto.
¿Puedo certificarme en el ENS?
Si. El CCN (Centro Criptologico Nacional) gestiona el proceso de certificacion a traves del esquema de Certificacion de Conformidad con el ENS. Para sistemas de categoria Media y Alta es obligatorio obtener la certificacion. Para categoria Basica basta con una declaracion de conformidad mediante autoevaluacion. La certificacion la otorgan entidades acreditadas tras una auditoria formal.

Empieza a cumplir el ENS hoy

Categoriza tu primer sistema en 2 minutos. Sin coste, sin compromiso. Descubre tu categoria, las medidas que te aplican y el camino hacia el cumplimiento.

Categoriza tu sistema gratis