Qué es el Esquema Nacional de Seguridad: guía introductoria 2023
Explicación clara y práctica del ENS: qué regula, a quién obliga, qué significa certificarse y por dónde empezar sin perderse entre siglas.
El Esquema Nacional de Seguridad (ENS) es el marco legal español que establece la política de seguridad en la utilización de medios electrónicos por parte del sector público, regulado por el Real Decreto 311/2022 (que sustituye al RD 3/2010). Pese a nacer como norma para la administración, el ENS es hoy un requisito de facto para cualquier empresa que quiera trabajar con el sector público español o con otras organizaciones que lo exijan contractualmente.
En esta guía introductoria repasamos qué regula el ENS, a quién obliga, qué significa “certificarse” en la práctica y por dónde empezar si tu organización se está planteando adecuarse por primera vez.
Qué regula exactamente el ENS
El ENS establece 73 medidas de seguridad agrupadas en tres marcos —organizativo, operacional y de protección— que cubren todo el ciclo de vida de los sistemas de información: desde la política de seguridad y la organización de responsabilidades hasta los controles técnicos de cifrado, trazabilidad, continuidad y protección de instalaciones.
A diferencia de una norma voluntaria como ISO 27001, el ENS es obligatorio por ley para determinadas entidades y sistemas, y se basa en tres principios rectores:
- Seguridad integral: la seguridad no es una meta, sino un proceso continuo.
- Gestión basada en riesgos: las medidas se aplican en función del análisis de riesgos específico del sistema.
- Proporcionalidad: el rigor de los controles depende de la categoría del sistema (Básica, Media o Alta).
A quién obliga el ENS
La obligación de cumplimiento recae principalmente sobre:
- Administraciones Públicas: AGE, CCAA, EELL, universidades públicas, organismos autónomos, agencias estatales.
- Sector público institucional: entidades del sector público empresarial, fundaciones públicas, consorcios, mutuas colaboradoras.
- Operadores de servicios esenciales cuyos sistemas dependan de la Administración.
- Proveedores privados que presten servicios a cualquiera de las anteriores y que manejen información o servicios alcanzados por el ENS.
Ese último punto es clave: si tu empresa es proveedora TIC de un ayuntamiento, universidad, ministerio o empresa pública, muy probablemente estés obligado a certificarte, aunque no seas una administración pública.
Certificación vs. adecuación: no son lo mismo
Una distinción que confunde a muchas organizaciones en su primer contacto con el ENS:
- Adecuación: cumples con el articulado del RD 311/2022. Es la obligación base.
- Certificación (ENS Media y Alta) o declaración de conformidad (ENS Básica): es el acto formal por el que una entidad acreditada por ENAC evalúa tu sistema y emite un certificado o sello.
Muchas organizaciones se adecúan sin certificarse, pero en la práctica, cuando la adecuación es un requisito en una licitación pública, lo que se exige es el certificado emitido por una entidad ENAC.
Categorías: Básica, Media y Alta
El ENS clasifica los sistemas en tres categorías según el impacto que tendría un incidente sobre las dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad):
| Categoría | Cuándo aplica | Requisitos |
|---|---|---|
| Básica | Impacto bajo en todas las dimensiones | 41 medidas base. Declaración responsable. |
| Media | Impacto medio en al menos una dimensión | 64 medidas. Certificación ENAC. Auditoría bienal. |
| Alta | Impacto alto en al menos una dimensión | 73 medidas con refuerzos. Certificación ENAC. Controles más exigentes. |
La categorización es una decisión formal que debe documentarse antes de empezar a aplicar medidas. No es un ejercicio trivial: una categorización excesiva dispara costes; una categorización insuficiente te dejará fuera de la certificación.
Por dónde empezar
Si nunca has tocado el ENS, este es un itinerario realista para los primeros 90 días:
- Designar responsabilidades: Responsable de la Información, Responsable del Servicio, Responsable de la Seguridad y Responsable del Sistema. En organizaciones pequeñas pueden recaer en las mismas personas, pero deben estar formalmente nombradas.
- Identificar el alcance: qué sistemas, qué información y qué servicios entran en el ámbito ENS. Suele ser más reducido de lo que se piensa al principio.
- Categorizar: aplicar el Anexo I del RD 311/2022 para determinar Básica / Media / Alta por dimensión.
- Análisis de riesgos: con MAGERIT v3 o su implementación oficial (PILAR).
- Declaración de Aplicabilidad (DA): documento que recoge qué medidas del Anexo II se aplican, cómo y por qué (o justificación de no aplicación).
- Plan de adecuación: hoja de ruta con acciones, responsables y plazos.
Plazos y cambios frente al RD 3/2010
El RD 311/2022 introdujo cambios importantes respecto a la norma anterior:
- Nuevo Anexo II con medidas reorganizadas y modernizadas (cloud, teletrabajo, gestión de vulnerabilidades).
- Refuerzo del enfoque de cadena de suministro.
- Plazos concretos: las entidades que ya estaban adecuadas al RD 3/2010 tuvieron 24 meses desde la entrada en vigor (7 de mayo de 2022) para adaptarse; las nuevas, 6 meses desde el inicio de operaciones.
Siguientes lecturas
Si ya tienes claro qué es el ENS y a qué categoría te enfrentas, los siguientes pasos razonables son profundizar en:
- Los cambios concretos del RD 311/2022 frente al RD 3/2010.
- Las 73 medidas del Anexo II y cuáles son las más costosas.
- La Declaración de Aplicabilidad y cómo redactarla sin errores.
Esta guía forma parte de una serie completa sobre implantación, auditoría y certificación ENS. Si estás arrancando un proyecto, conviene establecer desde el principio el alcance y la categoría correctamente: son las dos decisiones que marcan el resto del trabajo.