El RD 311/2022: principales cambios respecto al RD 3/2010
Análisis comparado del nuevo Esquema Nacional de Seguridad: qué cambia en el Anexo II, qué obligaciones nuevas aparecen y qué plazos debes tener en cuenta.
El Real Decreto 311/2022, de 3 de mayo, derogó el RD 3/2010 y actualizó por completo el Esquema Nacional de Seguridad para alinearlo con el marco europeo de ciberseguridad, las nuevas formas de prestación de servicios (cloud, teletrabajo) y las amenazas que han emergido en la última década. Para quien venía de una adecuación con el marco anterior, el cambio no es cosmético: hay medidas nuevas, medidas renombradas, medidas fusionadas y obligaciones que antes no existían.
El nuevo Anexo II: reorganización y refuerzos
El Anexo II —el corazón operativo del ENS— pasó de 75 a 73 medidas, pero la cifra es engañosa: varias medidas se fusionaron, otras se desdoblaron y se incorporaron controles totalmente nuevos.
Medidas organizativas (org)
Se refuerza la exigencia de que la política de seguridad sea aprobada por el órgano de gobierno y se explicita la obligación de que existan procedimientos documentados de desarrollo, autorización y gestión de riesgos. La figura del Responsable de la Seguridad gana peso y queda claramente separada del Responsable del Sistema.
Marco operacional (op)
Aquí es donde se concentran la mayoría de los cambios técnicos:
- op.exp.4 (Mantenimiento y actualizaciones) exige una gestión de vulnerabilidades mucho más exigente, con plazos de parcheo diferenciados por categoría.
- op.exp.10 (Protección frente a código dañino) incorpora referencia explícita a capacidades EDR en categoría Alta.
- op.nub (Servicios en la nube) es una familia nueva que regula específicamente la contratación de servicios cloud, heredando requisitos de CCN-STIC 823.
- op.cont (Continuidad del servicio) añade pruebas de continuidad documentadas y con frecuencia mínima.
Medidas de protección (mp)
- mp.per.4 (Formación y concienciación) se vuelve más exigente y se desdobla en formación específica por rol.
- mp.com.4 (Protección de la integridad y autenticidad) ya no acepta controles débiles: TLS 1.2+ y algoritmos del catálogo CCN.
- mp.info.9 (Copias de seguridad) exige pruebas de restauración documentadas.
Nuevas obligaciones que conviene destacar
Más allá del Anexo II, hay cambios de calado en el articulado:
1. Cadena de suministro como asunto de primer nivel. El artículo 15 obliga a que los pliegos de contratación incluyan explícitamente el cumplimiento ENS de los proveedores y a que los contratos recojan cláusulas de auditoría. Ya no basta con “que el proveedor cumpla”: hay que demostrarlo documentalmente.
2. Notificación de incidentes al CCN-CERT. Los incidentes que afecten a sistemas ENS deben notificarse al CCN-CERT en los plazos establecidos. El canal principal es LUCIA, y la no notificación es una no conformidad grave en auditoría.
3. Uso obligatorio de productos certificados. La norma refuerza el uso de productos que figuren en el Catálogo de Productos Certificados del CCN (CPSTIC), especialmente en categoría Alta. No todos los productos del mercado valen.
4. Perfiles de cumplimiento. El nuevo ENS introduce la posibilidad de definir “perfiles de cumplimiento” por sector (entidades locales, universidades, etc.), reduciendo el esfuerzo de adaptación para organizaciones con perfiles homogéneos.
5. Declaración de Aplicabilidad estandarizada. El formato de la DA se unifica y se exige que recoja expresamente las medidas del Anexo II, con marcado de aplicación, justificación y referencia a la implementación concreta.
Plazos de adaptación
El régimen transitorio establece plazos distintos según la situación previa:
| Situación | Plazo |
|---|---|
| Entidades ya adecuadas al RD 3/2010 | 24 meses desde el 7 de mayo de 2022 |
| Entidades nuevas | 6 meses desde el inicio de la operación |
| Renovaciones de certificado | Aplicar RD 311/2022 desde la primera auditoría posterior |
En la práctica, desde mayo de 2024 todas las auditorías se realizan ya contra el nuevo marco. Las entidades con certificación previa debieron presentar un plan de adaptación y cerrar las brechas antes de esa fecha.
Qué implica esto para quien ya estaba adecuado
Si tu organización ya tenía el ENS implantado con el RD 3/2010, tres acciones concretas:
- Gap analysis contra el Anexo II de 2022: identificar medidas nuevas, medidas con requisitos reforzados y medidas fusionadas.
- Actualización de la Declaración de Aplicabilidad al nuevo formato.
- Revisión de contratos con proveedores para incorporar cláusulas de cumplimiento ENS y auditoría.
La experiencia nos dice que, incluso en organizaciones maduras, este ejercicio descubre entre 8 y 15 brechas relevantes. No son catastróficas, pero requieren planificación.
Qué implica para quien parte de cero
Para quien se adecúa por primera vez al ENS, el RD 311/2022 es la norma vigente desde el minuto uno: no hay transición que hacer. La diferencia está en el esfuerzo que exigen medidas nuevas como la gestión de vulnerabilidades, los controles de cadena de suministro y la explotación de servicios cloud, que no existían de forma equivalente en el marco anterior.
Siguientes pasos
Si estás analizando el impacto del RD 311/2022 en tu organización, los temas que suelen requerir más atención son los controles de nube (op.nub), la gestión de vulnerabilidades, la cadena de suministro y la documentación. La buena noticia es que la mayoría de estas exigencias reflejan buenas prácticas que las organizaciones maduras ya tenían; la mala es que cualquier brecha aparece con nitidez en la auditoría.