Saltar al contenido
CertENS
EN
Implantación

Declaración de Aplicabilidad (DA): cómo redactarla sin errores

La DA es el documento central del ENS. Explicamos qué debe contener, cómo estructurarla y qué errores vemos una y otra vez en auditorías.

6 min de lectura Laura Méndez · Lead Auditor CISA · CertENS

La Declaración de Aplicabilidad (DA) es el documento central del Esquema Nacional de Seguridad: recoge qué medidas del Anexo II aplican a tu sistema, cómo se han implementado, por qué aplican así y —muy importante— por qué algunas no aplican. El auditor la usa como mapa para revisar las evidencias. Una DA bien redactada reduce drásticamente las preguntas en auditoría; una DA deficiente, las multiplica.

Qué debe contener una DA

Los elementos mínimos exigibles son:

  1. Identificación del sistema al que aplica la declaración.
  2. Categoría asignada al sistema y dimensiones con sus niveles.
  3. Listado completo de las medidas del Anexo II, indicando si aplica y por qué.
  4. Descripción de cómo se implementa cada medida aplicable.
  5. Justificación para medidas no aplicables.
  6. Referencias a procedimientos y evidencias (no los reproduce, los referencia).
  7. Versión, fecha y aprobación por el Responsable de la Seguridad.

Estructura recomendada

Una DA que funciona bien en auditoría tiene esta estructura:

1. Portada e información básica Nombre del sistema, versión, fecha, aprobado por.

2. Alcance Qué activos, qué servicios y qué información están incluidos. Dibujo o diagrama si ayuda.

3. Categorización Tabla con las cinco dimensiones, nivel asignado y justificación por dimensión.

4. Análisis de riesgos de referencia Identificación del AR vigente y su versión. No se copia aquí, se referencia.

5. Tabla de medidas La parte principal: una fila por cada medida del Anexo II con columnas:

  • Código (org.1, op.acc.3, etc.).
  • Título de la medida.
  • Aplicabilidad (aplica / no aplica / aplica con refuerzos).
  • Refuerzos aplicables según categoría.
  • Descripción de la implementación.
  • Procedimiento o documento de referencia.
  • Responsable.
  • Estado (implementada / en curso / planificada).
  • Evidencias disponibles.

6. Anexos Normalmente un listado de procedimientos y un mapa a controles de otras normas (ISO 27001, NIS2), útil para auditorías cruzadas.

Errores típicos que el auditor detecta enseguida

En los proyectos donde nos hemos encontrado DA existentes al llegar, estos son los problemas más frecuentes:

1. Describir la medida en lugar de cómo se aplica

Error: “Se realizarán copias de seguridad con regularidad.” Corrección: “Copias diarias a las 02:00 sobre repositorio cifrado AES-256 en infraestructura X. Retención 30 días + mensuales 12 meses. Procedimiento PR-OP-06 v2.3.”

El auditor quiere leer la implementación concreta, no una reescritura del Anexo II.

2. “No aplica” sin justificación

No puedes marcar una medida como no aplicable sin explicar por qué. “No aplica porque no procede” no es una justificación. Ejemplo correcto: “mp.if.5 (Protección frente a inundaciones) no aplica: el sistema se aloja en infraestructura cloud y no disponemos de CPD propio. La medida se transfiere al proveedor según su certificación ENS.”

3. Referencias a documentos que no existen

La DA referencia un procedimiento PR-OP-10 que nadie ha redactado. El auditor lo pide, no existe, y ya tienes una no conformidad. Revisa que cada referencia documental tenga su contrapartida real.

4. Ignorar refuerzos

Muchas medidas tienen refuerzos (R1, R2, …) que aplican según la categoría. Si tu sistema es Alta y no explicitas qué refuerzos aplicas, el auditor lo tratará como incompleto.

5. DA sin versión ni fecha de revisión

La DA es un documento vivo. Debe tener versión, fecha de última revisión y fecha de próxima revisión. Sin esto, no es mantenible.

6. DA escrita por consultor externo sin validación interna

Ocurre más de lo que debería. Una DA “bonita” pero que no refleja la realidad operativa es el peor escenario: el auditor detecta las discrepancias en cinco entrevistas.

Cómo hacer que la DA sea mantenible

Dos consejos prácticos:

Documento único vs. documento + hoja de cálculo. La DA formal suele ser un PDF, pero trabajar con una hoja de cálculo (Excel, Google Sheets) como fuente de verdad y exportar PDF a partir de ella es mucho más eficiente. Cada fila una medida, columnas estandarizadas, fácil de actualizar.

Vincula evidencias con hipervínculos. Si vuestro repositorio documental lo permite, incluye hipervínculos desde la columna “evidencia” al fichero concreto (captura, informe, etc.). En auditoría, el auditor acepta navegar en vivo; ahorra horas de envío de correos.

Cuándo actualizar la DA

La DA debe revisarse al menos cuando:

  • Cambia la categorización del sistema.
  • Se incorpora un nuevo servicio o activo al alcance.
  • Cambia el análisis de riesgos.
  • Hay una auditoría (previo y posterior).
  • Se detecta una no conformidad que implica cambio de medida.

Una DA que no se ha tocado en tres años es una DA que no refleja la realidad del sistema.

Recomendación final

La DA no es un entregable de consultoría que firmas y olvidas. Es el documento vivo que demuestra cómo aplicas el ENS en el día a día. Si solo vas a dedicar tiempo a un documento del proyecto, que sea este.

Sigue leyendo

Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min
Implantación

Cómo calcular el coste real de certificarse en ENS

Desglose honesto del coste de certificación ENS: consultoría, auditoría, inversión técnica, horas internas y coste recurrente de mantenimiento.

6 min
Implantación

Gestión de activos [op.pl.1] sin morir en el intento

Cómo construir y mantener un inventario de activos útil, mantenible y aprobado en auditoría, sin convertirlo en un Excel monstruo.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu