ENS (Esquema Nacional de Seguridad)

El ENS (Esquema Nacional de Seguridad) es el marco nacional de ciberseguridad de España, establecido bajo el Real Decreto 311/2022 y modificado por el RD 1125/2024. Establece requisitos de seguridad obligatorios para las organizaciones del sector público y las entidades privadas que manejan datos gubernamentales, definiendo un enfoque basado en el riesgo con tres categorías de seguridad y cinco dimensiones de protección.

¿Quién necesita cumplir con el ENS?

El ENS se aplica a las organizaciones en España que:

• Administración pública: Todos los organismos gubernamentales, agencias y entidades del sector público a nivel nacional, regional y local.

• Contratistas del sector privado: Empresas que prestan servicios a la administración pública o manejan datos gubernamentales.

• Operadores de infraestructuras críticas: Operadores de infraestructuras críticas designados por las autoridades españolas.

• Empresas públicas: Sociedades y entidades públicas de titularidad estatal.

• Proveedores de servicios: Organizaciones que procesan datos personales o prestan servicios electrónicos a entidades públicas.

El cumplimiento es obligatorio para las organizaciones dentro del alcance, con diferentes requisitos basados en la categorización del sistema.

Estructura regulatoria del ENS

El marco se organiza bajo el RD 311/2022 con la siguiente estructura:

Artículos legales (41 en total):

• Disposiciones generales (Arts. 1–4): Ámbito de aplicación, definiciones y conceptos fundamentales.

• Principios básicos (Arts. 5–11): Principios de seguridad y requisitos organizativos.

• Política de seguridad y requisitos (Arts. 12–30): Medidas mínimas de seguridad y marco normativo.

• Auditoría y gestión de incidentes (Arts. 31–34): Requisitos de auditoría y respuesta ante incidentes.

• Reglas de conformidad (Arts. 35–38): Declaración y certificación de conformidad.

• Categorización de sistemas (Arts. 40–41): Metodología de clasificación.

Anexos:

• Anexo I: Criterios de categorización de sistemas (BÁSICA, MEDIA, ALTA).

• Anexo II: 73 medidas de seguridad con identificadores oficiales.

• Anexo III: Requisitos y periodicidad de la auditoría.

Categorías de seguridad

El ENS establece tres categorías de seguridad basadas en el impacto potencial de los fallos de seguridad:

BÁSICA:

• Sistemas con un impacto mínimo en las operaciones de la organización.

• Consecuencias limitadas para la confidencialidad, integridad o disponibilidad de los datos.

• Se requieren medidas de seguridad fundamentales.

• La autoevaluación y la declaración de conformidad son suficientes.

MEDIA:

• Impacto moderado en las operaciones de la organización o en la prestación de servicios.

• Daño potencial a personas u organizaciones.

• Medidas de seguridad reforzadas con requisitos específicos de refuerzo.

• Requiere una auditoría formal cada dos años.

ALTA:

• Sistemas críticos con un impacto potencial grave.

• Daño significativo a los intereses nacionales, la seguridad pública o grandes poblaciones.

• Medidas de seguridad máximas con múltiples niveles de refuerzo.

• Requiere una auditoría formal cada dos años realizada por auditores acreditados.

Cinco dimensiones de seguridad

El ENS organiza las medidas de seguridad en cinco dimensiones, cada una con niveles progresivos (0–3):

Cada categoría (BÁSICA, MEDIA, ALTA) requiere niveles mínimos específicos para cada dimensión. Las categorías superiores exigen niveles de dimensión más altos, con refuerzos (R1, R2, R3) que añaden controles suplementarios.

Las 73 medidas de seguridad

El Anexo II define 73 medidas de seguridad organizadas en tres marcos:

Marco Organizativo:

• Política y organización de la seguridad.

• Funciones y responsabilidades.

• Comités de seguridad y coordinación.

• Seguridad del personal y concienciación.

Marco Operacional:

• Control de acceso y autenticación.

• Gestión de incidentes.

• Continuidad del negocio y recuperación ante desastres.

• Gestión de proveedores y terceros.

Marco de Protección:

• Seguridad en redes y comunicaciones.

• Protección de equipos (endpoints).

• Criptografía y gestión de claves.

• Seguridad física.

Cada medida incluye requisitos específicos por categoría de seguridad, con niveles de refuerzo para las categorías superiores.

Roles clave bajo el ENS

El ENS define cuatro roles críticos para la gobernanza de la seguridad:

• Responsable de la información: Propietario de la información, responsable de los requisitos de clasificación y protección.

• Responsable del servicio: Propietario del servicio, responsable de la prestación y disponibilidad del mismo.

• Responsable de la seguridad: Oficial de seguridad, coordina la implementación y supervisión de la seguridad.

• Responsable del sistema: Administrador del sistema, implementa las medidas técnicas de seguridad.

Serie de guías CCN-STIC

La implementación del ENS se apoya en las guías técnicas CCN-STIC del Centro Criptológico Nacional (CCN-CERT). Las guías clave incluyen:

• CCN-STIC 800: Guía general de implementación del ENS.

• CCN-STIC 802: Desarrollo de la política de seguridad.

• CCN-STIC 804: Metodología de análisis de riesgos.

• CCN-STIC 808: Gestión de incidentes.

• CCN-STIC 809: Continuidad del negocio.

• CCN-STIC 815: Procedimientos de auditoría.

• CCN-STIC 817: Implementación de medidas de seguridad.

• CCN-STIC 823–825: Controles técnicos de seguridad.

• CCN-STIC 830: Seguridad en la nube.

• CCN-STIC 884, 892: Dominios de seguridad especializados.

Las versiones actuales se mantienen en ccn-cert.cni.es.

Declaración y certificación de conformidad

El ENS ofrece dos vías de conformidad:

Autoevaluación (Declaración de Conformidad):

• Disponible para sistemas de categoría BÁSICA.

• La organización realiza una evaluación interna.

• Declaración publicada en portales electrónicos según el Art. 38.2.

Certificación (Certificación de Conformidad):

• Requerida para las categorías MEDIA y ALTA.

• Realizada por auditores acreditados.

• Ciclos de auditoría bienales según el Anexo III.

• La auditoría regular (Art. 31) puede servir simultáneamente para la certificación.

Mapeo entre marcos de trabajo

El ENS se alinea con marcos internacionales, permitiendo enfoques de cumplimiento integrados:

• ISO 27001:2022: Mapeos a nivel de control entre las medidas del Anexo II y los controles del Anexo A.

• Directiva NIS2: Alineación con los requisitos de ciberseguridad a nivel de la UE.

• RGPD/LOPDGDD: Integración con la legislación española de protección de datos.

Esto permite a las organizaciones aprovechar el trabajo de cumplimiento existente de ISO 27001 o NIS2 para las implementaciones del ENS.

Cómo ayuda ISMS Copilot

ISMS Copilot ofrece un apoyo integral para el trabajo de cumplimiento del ENS:

• Orientación específica del marco: Pregunte sobre artículos específicos del ENS, medidas o requisitos de dimensiones.

• Contraste de políticas: Compare las políticas y procedimientos existentes con los requisitos del RD 311/2022.

• Revisión de la Declaración de Aplicabilidad: Analice la exhaustividad de los documentos de la Declaración de Aplicabilidad.

• Identificación de brechas: Identifique brechas de seguridad con respecto a las medidas del Anexo II.

• Revisión preliminar de evidencias: Evalúe las evidencias de auditoría antes de la revisión formal.

• Determinación de la categoría: Apoyo en las decisiones de categorización del sistema (BÁSICA/MEDIA/ALTA).

• Orientación CCN-STIC: Recomendación de las guías apropiadas de la serie 800 para casos específicos.

• Mapeo entre marcos: Mapee controles entre el ENS, ISO 27001:2022 y NIS2.

• Organización del espacio de trabajo: Gestione los proyectos del ENS de forma independiente a otras iniciativas de cumplimiento.

La IA distingue entre categorías, comprende los niveles de las dimensiones y conoce los requisitos de refuerzo (R1, R2, R3). Para obtener matrices exactas de medida × nivel × refuerzo, consulta directamente el Anexo II del RD.

Disponibilidad del plan

El conocimiento sobre el ENS está disponible en todos los planes de ISMS Copilot, incluido el nivel gratuito. Para obtener un desglose completo del acceso al plan y las capacidades de revisión de documentos y evidencias, consulte Capacidades de revisión y acceso de ENS Copilot.

Primeros pasos

Para comenzar el trabajo de cumplimiento del ENS en ISMS Copilot:

1. Cree un espacio de trabajo dedicado para su proyecto de cumplimiento del ENS.

2. Pida a la IA que le ayude a determinar la categoría de su sistema (BÁSICA, MEDIA o ALTA).

3. Genere políticas de seguridad alineadas con las medidas del Anexo II.

4. Suba la documentación de seguridad existente para el análisis de brechas.

5. Desarrolle su Declaración de Aplicabilidad mapeando las medidas a su entorno.

6. Solicite orientación sobre las guías CCN-STIC relevantes para su implementación.

7. Prepare paquetes de evidencias de auditoría para la evaluación formal de conformidad.

Limitaciones

ISMS Copilot es un asistente de cumplimiento, no un sustituto de:

• El juicio profesional en las decisiones de seguridad.

• Auditores acreditados para la certificación formal de conformidad.

• Asesoramiento legal para la interpretación de la normativa.

• Fuentes primarias (BOE, CCN-CERT, AENOR) para citas legalmente vinculantes.

Para los sistemas MEDIA y ALTA, las auditorías formales del Anexo III siguen siendo obligatorias. ISMS Copilot acelera la preparación y apoya la mejora continua entre los ciclos de auditoría.

Recursos relacionados

• Texto oficial del RD 311/2022: BOE (Boletín Oficial del Estado)

• Portal de guías del CCN-CERT: ccn-cert.cni.es

• Información de certificación de AENOR (Asociación Española de Normalización).

• Gestión de la Seguridad de la Información ISO 27001 (marco relacionado)

• Directiva NIS2 (marco relacionado)