ENS vs ISO 27001: ¿son compatibles? ¿cuál primero?
Comparativa práctica entre el Esquema Nacional de Seguridad e ISO 27001: alcance, obligatoriedad, controles, auditoría y cómo combinarlos de forma eficiente.
Es una pregunta que nos llega varias veces al mes: “tenemos ISO 27001, ¿nos sirve para el ENS?”, o al revés, “nos están exigiendo el ENS, ¿deberíamos ir también a por la ISO?”. La respuesta corta es que son compatibles y se complementan, pero no son equivalentes: cubren territorios que se solapan en una gran parte, pero con enfoques, obligatoriedad y granularidad distintas. Este artículo te ayuda a decidir por dónde empezar y cómo combinarlos de forma eficiente.
Qué es cada uno
ISO/IEC 27001 es una norma internacional de gestión de la seguridad de la información. Define un sistema de gestión (SGSI) basado en el ciclo PDCA con un conjunto de 93 controles (Anexo A, versión 2022). Es voluntaria, la certifica una entidad acreditada (en España, normalmente ENAC), y su atractivo es el reconocimiento internacional.
ENS (RD 311/2022) es el marco español de seguridad para el sector público y sus proveedores. Es obligatorio por ley para las entidades incluidas en el artículo 2, establece un Anexo II con 73 medidas, se audita por entidad ENAC en categorías Media y Alta, y su atractivo es que sin ENS no se puede trabajar con gran parte de la administración.
Qué comparten
A nivel de control, el solapamiento es muy alto:
- Política de seguridad y organización.
- Gestión de activos, acceso, criptografía.
- Seguridad física, operacional y de las comunicaciones.
- Desarrollo seguro, cadena de suministro, gestión de incidentes.
- Continuidad y cumplimiento.
En los últimos mapeos que hemos trabajado, entre el 65 % y el 75 % de los controles del Anexo A de ISO 27001:2022 tienen correspondencia directa con medidas del Anexo II del ENS.
En qué se diferencian
Obligatoriedad
- ISO 27001: voluntaria. Se certifica quien quiere diferenciarse o quien lo exige un cliente.
- ENS: obligatoria por ley para sujetos del art. 2 y, vía contrato, para sus proveedores TIC.
Enfoque
- ISO 27001: enfoque de sistema de gestión. Cómo organizas, cómo mejoras, cómo mides.
- ENS: enfoque de medidas de seguridad concretas, con niveles y refuerzos según categoría.
Alcance
- ISO 27001: lo define la organización. Puede ser una línea de negocio, un departamento, una sede.
- ENS: lo define la norma y el tipo de servicio. Alcanzan los sistemas que soportan servicios regulados.
Granularidad técnica
- ISO 27001: los controles son más abiertos (“controles criptográficos apropiados”).
- ENS: los controles son más prescriptivos (“algoritmos del catálogo CCN-STIC 807”, “ventanas de parcheo de X días en categoría Alta”).
Auditoría
- ISO 27001: auditoría de certificación + seguimientos anuales durante 3 años + recertificación.
- ENS: auditoría de certificación + auditoría bienal (cada 2 años).
Reconocimiento
- ISO 27001: internacional.
- ENS: España (con reconocimiento creciente a nivel europeo en licitaciones).
¿Cuál primero?
Depende del contexto:
Si trabajas con el sector público español: ENS primero
Si tu empresa ya tiene clientes o planea licitar en el sector público, el ENS es la prioridad obligada. ISO 27001 sin ENS no te permite trabajar con esos clientes; ENS sin ISO sí.
Si tu negocio es internacional: ISO 27001 primero
Si tu producto se vende fuera de España, ISO 27001 abre más puertas. Posteriormente, si se abre mercado público español, el salto al ENS es asumible porque tienes la base organizativa.
Si tienes ambos objetivos: haz el mapeo desde el día uno
Plantear los dos proyectos en paralelo o consecutivos (ISO → ENS es más natural que al revés en muchos casos) es lo más rentable. Se trabaja una sola política, un solo sistema de gestión, un único SoA/DA cruzados.
Cómo combinarlos eficientemente
El patrón que vemos funcionar:
1. Una única política de seguridad aprobada por dirección que sirva a ambas normas.
2. Un sistema de gestión (SGSI) ISO 27001, con procedimientos, registros y métricas, como marco organizativo.
3. El Anexo II del ENS implementado dentro del SGSI, como conjunto de controles técnico-operativos con sus niveles y refuerzos.
4. Declaración de Aplicabilidad única que cumpla la función de la DA del ENS y el SoA (Statement of Applicability) de ISO 27001, con dos columnas: una para medidas ENS, otra para controles ISO.
5. Análisis de riesgos común en metodología MAGERIT/PILAR, aceptable tanto por ENS como por ISO 27001.
6. Auditoría combinada cuando es posible: algunas entidades ENAC realizan auditorías ENS + ISO 27001 con el mismo equipo, reduciendo costes y solapando evidencias.
Errores típicos al combinar ambas normas
- Duplicar documentación. Dos políticas, dos inventarios, dos registros. Genera inconsistencia.
- Pensar que “tengo ISO, por lo tanto tengo ENS”. Es falso: el ENS obliga a medidas concretas (cadena de suministro, notificación CCN-CERT, uso de productos CPSTIC) que no derivan automáticamente de ISO.
- Pensar que “tengo ENS, por lo tanto tengo ISO”. También falso: ISO pide elementos del SGSI (mediciones, auditoría interna con evidencia formal, mejora continua estructurada) que no son el foco del ENS.
Conclusión práctica
ISO 27001 y ENS son compatibles y se potencian. La decisión de por cuál empezar depende del negocio. En CertENS cada proyecto parte de una conversación clara: quién es el cliente, dónde va a licitar y en qué mercados opera. Con eso decidido, el resto es planificación.