Saltar al contenido
CertENS
EN
Implantación

Anexo II: las 73 medidas de seguridad del ENS

Recorrido por las tres familias del Anexo II del RD 311/2022: medidas organizativas, operacionales y de protección, con las más costosas de implantar.

8 min de lectura Diego Aranda · Implantador ENS · CertENS

El Anexo II es el listado de controles de seguridad que debes aplicar para estar adecuado al Esquema Nacional de Seguridad. Son 73 medidas agrupadas en tres marcos, y cada una se aplica con un nivel de exigencia distinto según la categoría del sistema (Básica, Media o Alta). Entender su estructura es el paso imprescindible para planificar la implantación y estimar recursos.

Los tres marcos del Anexo II

Marco organizativo (org) — 4 medidas

  • org.1 Política de seguridad
  • org.2 Normativa de seguridad
  • org.3 Procedimientos de seguridad
  • org.4 Proceso de autorización

Son las medidas de “papel”, pero no por eso triviales. Sin una política de seguridad aprobada por el órgano de gobierno, el resto del trabajo no es defendible en auditoría. Suele ser el primer bloque que se ataca porque no requiere inversión técnica, solo tiempo y decisión.

Marco operacional (op) — 30 medidas

Agrupa las medidas de gestión operativa del sistema:

  • op.pl (Planificación, 6 medidas): análisis de riesgos, arquitectura, adquisición, dimensionamiento, componentes certificados.
  • op.acc (Control de acceso, 7 medidas): identificación, autenticación, autorización, segregación de funciones.
  • op.exp (Explotación, 11 medidas): inventario, configuración, mantenimiento, gestión de cambios, protección frente a código dañino, registro, incidentes.
  • op.ext (Recursos externos, 4 medidas): contratación, acuerdos de nivel de servicio, interconexión.
  • op.nub (Servicios en la nube, 1 medida, nueva en RD 311/2022).
  • op.cont (Continuidad, 3 medidas): análisis de impacto, plan de continuidad, pruebas.
  • op.mon (Monitorización, 3 medidas): detección de intrusiones, sistema de métricas.

Medidas de protección (mp) — 39 medidas

Son los controles sobre los activos concretos:

  • mp.if (Protección de instalaciones): áreas, control de acceso físico, suministro eléctrico, climatización, protección frente a incendios e inundaciones.
  • mp.per (Personal): caracterización del puesto, deberes y obligaciones, concienciación, formación.
  • mp.eq (Equipos): puesto de trabajo, portátiles, medios alternativos.
  • mp.com (Comunicaciones): perímetro seguro, protección de la confidencialidad e integridad, segregación de redes.
  • mp.si (Soportes de información): etiquetado, cifrado, custodia, transporte, borrado y destrucción.
  • mp.sw (Aplicaciones): desarrollo, aceptación y puesta en producción.
  • mp.info (Información): calidad, cifrado, firma electrónica, sellos de tiempo, copias de seguridad.
  • mp.s (Servicios): protección frente a DoS.

Cómo se aplica cada medida según la categoría

Cada medida del Anexo II tiene indicado a qué categoría aplica:

  • B aplica desde Básica (todas las categorías).
  • M aplica desde Media (Media y Alta).
  • A aplica solo en Alta.
  • R1, R2, R3, R4, R5 son refuerzos que se acumulan según la criticidad.

El mismo control puede exigir más madurez cuanto mayor es la categoría. Por ejemplo, op.exp.4 (Mantenimiento y actualizaciones) aplica en las tres categorías, pero en Alta requiere un proceso formal de gestión de vulnerabilidades con ventanas de parcheo acordadas.

Las medidas más costosas de implantar

En los proyectos que hemos llevado, estas son las que más horas consumen y donde suelen aparecer las brechas reales:

1. op.exp.4 — Gestión de vulnerabilidades

Exige inventario de vulnerabilidades, criticidad, ventanas de parcheo y trazabilidad. Implica herramienta, proceso y cultura. La mayoría de las organizaciones tiene algún scanner pero no el ciclo completo documentado.

2. op.mon.1 y op.mon.2 — Detección y correlación

SIEM o similar, con casos de uso definidos, alertas priorizadas y un proceso de revisión. No basta con tener logs: hay que demostrar que alguien los mira.

3. op.cont.3 — Pruebas de continuidad

En Media y Alta se exige ejecutar pruebas documentadas. Un plan de continuidad sin pruebas es un papel.

4. mp.com — Segmentación de red

La arquitectura de red raramente está tan segmentada como exige el ENS. Suele requerir reestructurar VLANs, redefinir perímetros y reescribir reglas de firewall.

5. mp.info.6 — Copias de seguridad

Copias cifradas, probadas, con restauración documentada y con un plazo máximo de recuperación. La mayoría de las organizaciones hace copias pero no prueba restauraciones.

6. op.ext — Cadena de suministro

Inventario de proveedores, análisis de criticidad, cláusulas contractuales, acuerdos de nivel de servicio y derecho de auditoría. Es donde más se tarda porque requiere renegociar con terceros.

Cómo planificar el ataque a las 73 medidas

Un patrón que funciona bien:

  1. Mes 1: marco organizativo (org.1 a org.4) en paralelo al análisis de riesgos.
  2. Mes 2: control de acceso (op.acc) y explotación baja (op.exp inventario y configuración).
  3. Mes 3: comunicaciones (mp.com) y soportes (mp.si).
  4. Mes 4: gestión de vulnerabilidades, monitorización y continuidad.
  5. Mes 5: cadena de suministro y pruebas de continuidad.
  6. Mes 6: revisión final, redacción de la DA y evidencias para auditoría.

No es una receta universal: depende del punto de partida. Una organización que ya tenga ISO 27001 suele tener cubiertas el 60–70 % de las medidas, pero no la documentación en el formato que exige el ENS.

Cómo documentar el cumplimiento

Para cada medida aplicable deberás poder presentar en auditoría:

  1. Cómo se aplica (procedimiento, configuración, contrato).
  2. Responsable.
  3. Evidencia (captura, log, registro, informe).
  4. Frecuencia de revisión si aplica.

La Declaración de Aplicabilidad es el documento que referencia todo esto. Es el mapa que el auditor sigue en la evaluación.

Recomendación final

No intentes abordar el Anexo II en paralelo por todas las ramas. Secuencia el trabajo por familias y cierra cada bloque con evidencias antes de abrir el siguiente. La documentación es lo que más tiempo consume y lo que más brecha genera en auditoría; el tiempo dedicado a procedimentar bien en la fase de implantación se recupera con creces en la fase de auditoría.

Sigue leyendo

Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min
Implantación

Cómo calcular el coste real de certificarse en ENS

Desglose honesto del coste de certificación ENS: consultoría, auditoría, inversión técnica, horas internas y coste recurrente de mantenimiento.

6 min
Implantación

Gestión de activos [op.pl.1] sin morir en el intento

Cómo construir y mantener un inventario de activos útil, mantenible y aprobado en auditoría, sin convertirlo en un Excel monstruo.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu