ENS

ENS — Esquema Nacional de Seguridad

Real Decreto 311/2022 (versión vigente desde 2022). Marco español de seguridad para sistemas de información del sector público y de sus proveedores. Equivalente a una ISO 27001 con cuerpo legal.

Para: Sector público español, empresas que prestan servicios al sector público y operadores de servicios esenciales

Formación, no asesoramiento legal

Este contenido tiene fines formativos y de concienciación. No sustituye la asesoría jurídica especializada. Para evaluar la aplicación concreta a vuestra organización (alcance, obligaciones, sanciones), consulta con vuestra asesoría legal o DPO.

Contenido

A quién aplica

Administraciones Públicas y sus entes dependientes.
Empresas privadas que prestan servicios a la Administración: si vendes software, hosting, soporte o consultoría a una entidad pública, te aplica el ENS al sistema que da servicio.
Operadores de servicios esenciales según la normativa de ciberseguridad nacional.

Categorías de los sistemas

Cada sistema se clasifica en Básica, Media o Alta según el impacto que tendría un fallo en cinco dimensiones de seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad (DAICT).

Básica: incidentes con bajo impacto.
Media: incidentes que afecten significativamente al servicio público o a derechos de los ciudadanos.
Alta: incidentes con impacto muy grave en función crítica.

La categoría determina el rigor de las medidas exigibles.

Estructura: 73 medidas en 3 marcos

El Anexo II del RD 311/2022 organiza las medidas en:

Marco organizativo (org): política de seguridad, normativa, procedimientos, gestión de personal.
Marco operacional (op): planificación, control de acceso, explotación, recursos externos, continuidad, monitorización.
Medidas de protección (mp): instalaciones, gestión de personal, equipos, comunicaciones, información, servicios.

Cada medida se aplica con un nivel de exigencia (Básico/Medio/Alto) según la categoría del sistema y la dimensión afectada.

Certificación / Declaración

Sistemas Categoría Básica: pueden hacer Autoevaluación.
Sistemas Categoría Media o Alta: requieren certificación por entidad acreditada (ENAC + esquema CCN).
La certificación se renueva periódicamente y debe estar vigente para contratar con el sector público.

El CCN-CERT publica guías (Serie 800) que son la referencia operativa para implementar cada medida.

Relación con otros marcos

NIS2: en sectores y entidades cubiertas por ambos, suelen reconocerse mutuamente las medidas.
ISO 27001: muchas medidas se solapan; tener ISO facilita el ENS pero no lo sustituye.
RGPD: el ENS cubre seguridad del sistema; el RGPD cubre tratamiento de datos personales. Son complementarios.

Pasos para una empresa privada que va a vender a la Administración

Identifica el alcance: qué sistemas tuyos están involucrados en el servicio al cliente público.
Categoriza cada sistema (B/M/A).
Análisis de riesgos según MAGERIT o equivalente.
Declaración de Aplicabilidad (DDA): qué medidas aplican, cuáles se excluyen y por qué.
Plan de adecuación con plazos.
Auditoría y certificación por entidad acreditada (si Cat. Media/Alta).
Mantenimiento: revisión periódica, gestión de incidentes, auditorías de seguimiento.

Desde 2022, el RD 311/2022 introduce además el Perfil de Cumplimiento que algunos sectores deben adoptar (educación, sanidad, etc.).

Aviso: contenido formativo, no asesoramiento legal ni técnico. Para certificaciones reales consulta con un auditor acreditado.

Checklist mínima

Alcance definido por sistemasObligatorio
Qué sistemas están bajo ENS y por qué (servicio público que prestan, datos que tratan).
Categorización formal (Básica / Media / Alta) por sistemaObligatorio
Valoración en las 5 dimensiones (DAICT). Documentada y firmada por el responsable.
Análisis de riesgos según metodología reconocidaObligatorio
MAGERIT recomendada. Inventario de activos, amenazas, valoración de impacto, plan de tratamiento.
Declaración de Aplicabilidad publicada y mantenidaObligatorio
Para cada una de las 73 medidas: aplica / no aplica + justificación. Versión vigente y aprobada.
Política de seguridad aprobada por direcciónObligatorio
Difundida al personal y a proveedores. Revisada periódicamente.
Procedimiento de gestión de incidentes y notificación al CCN-CERTObligatorio
Cualquier incidente significativo debe reportarse al CCN-CERT en el plazo establecido.
Auditoría por entidad acreditada para Cat. Media/AltaRecomendado
Certificación vigente para contratar con la AAPP. Renovación periódica.
Formación y concienciación del personal documentadaObligatorio
Registro de quién ha recibido formación y de qué temática. Plan anual.