ENS (Esquema Nacional de Seguridad)

ENS (Esquema Nacional de Seguridad) es el marco nacional de ciberseguridad de España, establecido bajo el Real Decreto 311/2022 y modificado por el RD 1125/2024. Establece requisitos de seguridad obligatorios para las organizaciones del sector público y las entidades privadas que manejan datos gubernamentales, instaurando un enfoque basado en riesgos con tres categorías de seguridad y cinco dimensiones de protección.

¿Quién necesita cumplir con el ENS?

El ENS se aplica a las organizaciones en España que son:

• Administración pública: Todos los organismos gubernamentales, agencias y entidades del sector público a nivel nacional, regional y local

• Contratistas del sector privado: Empresas que prestan servicios a la administración pública o manejan datos gubernamentales

• Operadores de infraestructuras críticas: Operadores de infraestructuras críticas designados por las autoridades españolas

• Empresas estatales: Empresas públicas y entidades con participación gubernamental

• Proveedores de servicios: Organizaciones que procesan datos personales o prestan servicios electrónicos a entidades públicas

El cumplimiento es obligatorio para las organizaciones dentro del alcance, con diferentes requisitos basados en la categorización del sistema.

Estructura Regulatoria del ENS

El marco se organiza bajo el RD 311/2022 con la siguiente estructura:

Artículos legales (41 en total):

• Disposiciones generales (Arts. 1–4): Alcance, definiciones y conceptos fundamentales

• Principios básicos (Arts. 5–11): Principios de seguridad y requisitos organizativos

• Política y requisitos de seguridad (Arts. 12–30): Medidas mínimas de seguridad y marco de políticas

• Auditoría y gestión de incidentes (Arts. 31–34): Requisitos de auditoría y respuesta a incidentes

• Reglas de conformidad (Arts. 35–38): Declaración y certificación de conformidad

• Categorización del sistema (Arts. 40–41): Metodología de clasificación

Anexos:

• Anexo I: Criterios de categorización del sistema (BÁSICA, MEDIA, ALTA)

• Anexo II: 73 medidas de seguridad con identificadores oficiales

• Anexo III: Requisitos y periodicidad de las auditorías

Categorías de Seguridad

El ENS establece tres categorías de seguridad basadas en el impacto potencial de las brechas de seguridad:

BÁSICA:

• Sistemas con un impacto mínimo en las operaciones de la organización

• Consecuencias limitadas para la confidencialidad, integridad o disponibilidad de los datos

• Se requieren medidas de seguridad fundamentales

• Autoevaluación y declaración de conformidad suficientes

MEDIA:

• Impacto moderado en las operaciones organizativas o la prestación de servicios

• Posible daño a personas u organizaciones

• Medidas de seguridad mejoradas con requisitos de refuerzo

• Requiere auditoría formal cada dos años

ALTA:

• Sistemas críticos con un impacto potencial grave

• Daños significativos a los intereses nacionales, la seguridad pública o grandes poblaciones

• Medidas de seguridad máximas con múltiples niveles de refuerzo

• Requiere auditoría formal cada dos años por auditores acreditados

Cinco Dimensiones de Seguridad

El ENS organiza las medidas de seguridad en cinco dimensiones, cada una con niveles progresivos (0–3):

Cada categoría (BÁSICA, MEDIA, ALTA) requiere niveles mínimos específicos para cada dimensión. Las categorías superiores exigen niveles de dimensión más altos, con refuerzos (R1, R2, R3) que añaden controles suplementarios.

Las 73 Medidas de Seguridad

El Anexo II define 73 medidas de seguridad organizadas en tres marcos:

Marco Organizativo:

• Política y organización de la seguridad

• Roles y responsabilidades

• Comités de seguridad y coordinación

• Seguridad del personal y concienciación

Marco Operacional:

• Control de acceso y autenticación

• Gestión de incidentes

• Continuidad del negocio y recuperación ante desastres

• Gestión de proveedores y terceros

Marco de Protección:

• Seguridad de redes y comunicaciones

• Protección de endpoints

• Criptografía y gestión de claves

• Seguridad física

Cada medida incluye requisitos específicos por categoría de seguridad, con niveles de refuerzo para categorías superiores.

Roles Clave bajo el ENS

El ENS define cuatro roles críticos para la gobernanza de la seguridad:

• Responsable de la información: Propietario de la información, responsable de los requisitos de clasificación y protección

• Responsable del servicio: Propietario del servicio, responsable de la prestación y disponibilidad del servicio

• Responsable de la seguridad: Oficial de seguridad, coordina la implementación y supervisión de la seguridad

• Responsable del sistema: Administrador del sistema, implementa las medidas técnicas de seguridad

Serie de Guías CCN-STIC

La implementación del ENS se apoya en las guías técnicas CCN-STIC del Centro Criptológico Nacional (CCN-CERT). Las guías clave incluyen:

• CCN-STIC 800: Guía general de implementación del ENS

• CCN-STIC 802: Desarrollo de la política de seguridad

• CCN-STIC 804: Metodología de análisis de riesgos

• CCN-STIC 808: Gestión de incidentes

• CCN-STIC 809: Continuidad del negocio

• CCN-STIC 815: Procedimientos de auditoría

• CCN-STIC 817: Implementación de medidas de seguridad

• CCN-STIC 823–825: Controles técnicos de seguridad

• CCN-STIC 830: Seguridad en la nube

• CCN-STIC 884, 892: Dominios de seguridad especializados

Las versiones actuales se mantienen en ccn-cert.cni.es.

Declaración y Certificación de Conformidad

El ENS ofrece dos vías de conformidad:

Autoevaluación (Declaración de Conformidad):

• Disponible para sistemas de categoría BÁSICA

• La organización realiza una evaluación interna

• Declaración publicada en portales electrónicos según el Art. 38.2

Certificación (Certificación de Conformidad):

• Requerida para las categorías MEDIA y ALTA

• Realizada por auditores acreditados

• Ciclos de auditoría bienales según el Anexo III

• La auditoría regular (Art. 31) puede servir simultáneamente para la certificación

Mapeo entre Marcos de Referencia

El ENS se alinea con marcos internacionales, permitiendo enfoques de cumplimiento integrados:

• ISO 27001:2022: Mapeos a nivel de control entre las medidas del Anexo II y los controles del Anexo A

• Directiva NIS2: Alineación con los requisitos de ciberseguridad a nivel de la UE

• RGPD/LOPDGDD: Integración con la ley española de protección de datos

Esto permite a las organizaciones aprovechar el trabajo de cumplimiento existente de ISO 27001 o NIS2 para las implementaciones del ENS.

Cómo ayuda ISMS Copilot

ISMS Copilot proporciona un apoyo integral para el trabajo de cumplimiento del ENS:

• Orientación específica del marco: Pregunte sobre artículos específicos del ENS, medidas o requisitos de dimensiones

• Contraste de políticas: Compare las políticas y procedimientos existentes con los requisitos del RD 311/2022

• Revisión de la Declaración de Aplicabilidad: Analice la integridad de los documentos de la Declaración de Aplicabilidad

• Identificación de brechas: Identifique brechas de seguridad frente a las medidas del Anexo II

• Revisión preliminar de evidencias: Evalúe las evidencias de auditoría antes de la revisión formal

• Determinación de categoría: Apoyo en las decisiones de categorización del sistema (BÁSICA/MEDIA/ALTA)

• Orientación CCN-STIC: Recomiende las guías apropiadas de la serie 800 para casos específicos

• Mapeo entre marcos: Mapee controles entre ENS, ISO 27001:2022 y NIS2

• Organización del espacio de trabajo: Gestione los proyectos de ENS de forma independiente de otras iniciativas de cumplimiento

La IA distingue entre categorías, comprende los niveles de las dimensiones y conoce los requisitos de refuerzo (R1, R2, R3). Para las matrices exactas de medida × nivel × refuerzo, hace referencia directamente al Anexo II del RD.

Disponibilidad del Plan

El conocimiento sobre el ENS está disponible en todos los planes de ISMS Copilot, incluida la prueba gratuita. El conocimiento del marco no está estratificado por plan: puede acceder a la guía completa del ENS independientemente de su nivel de suscripción.

Primeros Pasos

Para comenzar el trabajo de cumplimiento del ENS en ISMS Copilot:

1. Cree un espacio de trabajo dedicado para su proyecto de cumplimiento del ENS

2. Pida ayuda a la IA para determinar la categoría de su sistema (BÁSICA, MEDIA o ALTA)

3. Genere políticas de seguridad alineadas con las medidas del Anexo II

4. Cargue la documentación de seguridad existente para el análisis de brechas

5. Desarrolle su Declaración de Aplicabilidad mapeando las medidas a su entorno

6. Solicite orientación sobre las guías CCN-STIC relevantes para su implementación

7. Prepare paquetes de evidencias de auditoría para la evaluación formal de conformidad

Limitaciones

ISMS Copilot es un asistente de cumplimiento, no un sustituto de:

• El juicio profesional sobre decisiones de seguridad

• Auditores acreditados para la certificación formal de conformidad

• Asesoría legal para la interpretación regulatoria

• Fuentes primarias (BOE, CCN-CERT, AENOR) para citaciones legalmente vinculantes

Para los sistemas MEDIA y ALTA, las auditorías formales del Anexo III siguen siendo obligatorias. ISMS Copilot acelera la preparación y apoya la mejora continua entre los ciclos de auditoría.

Recursos Relacionados

• Texto oficial del RD 311/2022: BOE (Boletín Oficial del Estado)

• Portal de orientación de CCN-CERT: ccn-cert.cni.es

• Información de certificación de AENOR (Asociación Española de Normalización)

• Gestión de la Seguridad de la Información ISO 27001 (marco relacionado)

• Directiva NIS2 (marco relacionado)