Relacionado: Ver RGPD para protección de datos. NIS2 para directiva europea. SGSI para implementación. Auditoría de seguridad.
️ ¿Qué es el ENS?
El Esquema Nacional de Seguridad (ENS) es un marco normativo español que:
Establece los principios y requisitos mínimos de seguridad que deben cumplir las administraciones públicas, sus organismos dependientes y los proveedores tecnológicos que les presten servicios.
Fue creado por el Real Decreto 3/2010, y actualizado por el Real Decreto 311/2022, en vigor desde mayo de 2022.
Objetivos del ENS
-
Garantizar la protección de la información y los servicios digitales públicos.
-
Asegurar la confianza digital en los trámites con la administración.
-
Crear un marco común de seguridad que sea interoperable y auditable.
-
Alinear con estándares internacionales (ISO 27001, NIST, NIS2…).
¿A quién se aplica?
-
Administración General del Estado, Comunidades Autónomas, Entidades Locales.
-
Organismos públicos y universidades.
-
Proveedores del sector privado que:
-
Mantienen sistemas en nombre de la administración.
-
Procesan información pública o sensible.
-
Prestan servicios cloud, TIC o de ciberseguridad.
-
Estructura del ENS
1. Principios básicos (art. 10 RD 311/2022)
-
Seguridad integral
-
Gestión de riesgos
-
Prevención, detección, respuesta y recuperación
-
Reevaluación periódica
-
Función diferenciada (segregación de funciones)
2. Requisitos mínimos (art. 11)
Incluyen medidas como:
-
Política de seguridad
-
Análisis de riesgos
-
Gestión de accesos
-
Continuidad de negocio
-
Registro de actividad
-
Protección frente a código malicioso
-
Auditoría de la seguridad
3. Categorías del sistema
Se evalúa cada sistema según su nivel de impacto en:
-
Confidencialidad
-
Integridad
-
Disponibilidad
Esto determina si el sistema es de Categoría Básica, Media o Alta y qué medidas se aplican.
4. Medidas de seguridad (Anexo II del RD 311/2022)
Organizadas en:
-
Marco organizativo (roles, políticas, formación…)
-
Marco operacional (análisis de riesgos, planificación, monitorización)
-
Medidas de protección (control de accesos, cifrado, backup, seguridad física…)
Cada medida tiene una implementación escalonada según la categoría del sistema.
Documentación clave del ENS
-
Política de Seguridad
-
Análisis y gestión de riesgos
-
Plan de adecuación
-
Declaración de aplicabilidad
-
Plan de continuidad
-
Auditoría bienal de conformidad
-
Evidencias de cumplimiento
Cumplimiento ENS para proveedores
Las empresas privadas que prestan servicios a la AAPP deben:
-
Acreditar que sus sistemas cumplen con ENS (según categoría).
-
Pasar una auditoría externa independiente cada 2 años.
-
Contar con SGSI alineado (ISO 27001) o adaptado al ENS.
-
Incluir cláusulas de seguridad en sus contratos públicos.
️ Sanciones por incumplimiento
-
Exclusión de contratos públicos
-
Riesgos legales y reputacionales
-
Invalidez de procedimientos electrónicos
-
Multas si hay afectación a datos personales (combinado con RGPD)
ENS y otras normativas
| Norma | Relación con ENS |
|---|---|
| ISO 27001 | Muy alineado, sirve como base de SGSI |
| RGPD | ENS aporta medidas para proteger datos personales |
| NIS2 | ENS ayuda al cumplimiento en el sector público |
| LOPDGDD | Refuerza la obligación de medidas de seguridad |
Conclusión
El ENS es la norma de referencia en ciberseguridad para el sector público español y para todas las empresas que trabajen con él.
Su aplicación garantiza una gestión estructurada, trazable y proporcionada de la seguridad, basada en riesgos, alineada con estándares internacionales, y auditada obligatoriamente.