Certificado ENS Media vs Alta: diferencias, requisitos y cuál necesitas

Las tres categorías del ENS: Básica, Media y Alta

El Esquema Nacional de Seguridad no es un marco de "talla única". Reconoce que no todos los sistemas tienen el mismo impacto potencial si se ven comprometidos y, en consecuencia, establece tres niveles de exigencia: Básica, Media y Alta.

La categoría de un sistema no la elige libremente la empresa ni su consultor: se determina mediante un proceso formal de valoración de activos conforme a la metodología recogida en el Anexo I del RD 311/2022. Este proceso analiza el impacto potencial de un incidente de seguridad sobre las cinco dimensiones de seguridad del sistema: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad (DAIC-T).

Si el impacto en cualquiera de esas dimensiones se valora como bajo, el sistema es Básico. Si alguna dimensión alcanza impacto medio, el sistema es de categoría Media. Si se alcanza impacto alto o muy alto, la categoría es Alta.

La categoría del sistema determina qué medidas del catálogo del Anexo II del RD 311/2022 deben aplicarse y con qué nivel de intensidad (bajo, medio o alto). A mayor categoría, mayor número de medidas y mayor nivel de implementación exigido.

Certificado ENS Básica: cuándo aplica y qué medidas exige

La categoría ENS Básica aplica cuando el impacto potencial de un incidente de seguridad en el sistema es limitado. En la práctica, esto corresponde a sistemas que manejan información no especialmente sensible, que no soportan servicios esenciales y cuya interrupción no causaría perjuicios graves a ciudadanos ni a la Administración.

Ejemplos típicos de sistemas en categoría Básica: aplicaciones de gestión documental con datos administrativos no sensibles, sistemas de información internos de soporte a la actividad administrativa, portales web informativos, sistemas de gestión de registros sin datos de carácter personal sensibles.

Para ENS Básica, el catálogo de medidas exige la implementación de controles en su nivel bajo (L). Las medidas más relevantes incluyen:

Política de Seguridad de la Información aprobada por la dirección
Análisis de riesgos básico documentado
Control de acceso con autenticación mediante usuario y contraseña robusta
Gestión de privilegios de acceso (principio de mínimo privilegio)
Protección frente a código dañino (antivirus, EDR)
Copias de seguridad y procedimiento de restauración verificado
Gestión básica de incidentes de seguridad con registro
Formación básica en seguridad de la información para el personal
Inventario de activos documentado

Una ventaja importante de la categoría Básica es que admite la Declaración de Conformidad como mecanismo de acreditación: la empresa puede autodeclarar su conformidad sin necesidad de una auditoría externa. Sin embargo, como se ha explicado, cada vez más pliegos públicos exigen el certificado completo emitido por entidad acreditada ENAC incluso para categoría Básica.

¿No sabes qué categoría necesitas? El presupuesto sin compromiso de Avson lo determina con precisión en 5 días hábiles. Pide presupuesto →

Certificado ENS Media: quién lo necesita y qué controles incluye

La categoría ENS Media es la más frecuente entre las empresas proveedoras TIC del sector público español de tamaño medio y grande. Aplica cuando el impacto potencial de un incidente de seguridad en alguna de las dimensiones del sistema es grave.

Ejemplos de sistemas en categoría Media: plataformas de tramitación electrónica con datos personales de ciudadanos, sistemas de gestión de expedientes administrativos, plataformas de contratación pública, sistemas de soporte a servicios públicos de salud o educación, infraestructuras cloud que alojan datos de carácter personal sometidos al RGPD.

Para ENS Media, las medidas del catálogo deben aplicarse en su nivel medio (M), que implica controles significativamente más exigentes que el nivel bajo:

Autenticación de doble factor (MFA) obligatoria para accesos a sistemas con datos sensibles y accesos remotos
Análisis de riesgos formal con metodología reconocida (compatible con PILAR, MAGERIT o similar)
Plan de Tratamiento de Riesgos (PTR) actualizado y aprobado
Gestión de vulnerabilidades con análisis periódico (al menos trimestral) y plan de parcheo
Monitorización de seguridad continua con sistema SIEM o equivalente
Control de acceso privilegiado (PAM) para administradores de sistemas
Gestión de la configuración con líneas de base de seguridad documentadas
Plan de Continuidad del Servicio formalizado y probado
Gestión de incidentes con equipo de respuesta y procedimientos documentados
Auditoría de accesos a sistemas críticos con retención de logs
Cifrado de datos en tránsito y en reposo para información sensible
Control de acceso a instalaciones físicas documentado

El proceso de certificación ENS Media requiere obligatoriamente una auditoría por entidad acreditada ENAC. No es posible optar por la Declaración de Conformidad. La auditoría incluye revisión documental exhaustiva y comprobaciones técnicas de los controles implementados.

Certificado ENS Alta: para infraestructuras críticas

La categoría ENS Alta es la más exigente del esquema y aplica cuando el impacto potencial de un incidente de seguridad sería muy grave o catastrófico. Es típica de infraestructuras críticas designadas por el operador nacional, sistemas de defensa y seguridad, servicios esenciales del Estado (energía, agua, transporte), sistemas de información que manejan datos especialmente sensibles como información clasificada.

Para ENS Alta, todas las medidas del catálogo se aplican en su nivel alto (H), el más exigente:

Autenticación multifactor con certificados digitales o tokens hardware (no solo TOTP software)
Segregación física de redes para sistemas de alta criticidad
Criptografía de alta resistencia con algoritmos aprobados por el CCN
Auditorías de penetración (pentesting) regulares con corrección de hallazgos
Gestión de incidentes con capacidades de respuesta avanzada (CSIRT interno o contratado)
Análisis forense de incidentes de seguridad
Control de dispositivos extraíbles y medios de almacenamiento con cifrado obligatorio
Revisión de código de seguridad para aplicaciones críticas
Plan de Continuidad con RTO y RPO documentados y probados regularmente
Evaluación de la seguridad de proveedores de la cadena de suministro

Cómo determinar la categoría ENS de tu empresa

El proceso formal de determinación de categoría sigue estos pasos:

Identificación del alcance: determinar qué sistemas de información quedan dentro del alcance de la certificación. El alcance debe estar claramente definido y justificado.
Inventario de activos: identificar todos los activos que forman parte del sistema en alcance: información, servicios, software, hardware, redes, instalaciones y personal.
Valoración de activos: asignar a cada activo un valor en las cinco dimensiones de seguridad (DAIC-T) mediante la escala del Anexo I del RD 311/2022. La herramienta PILAR del CCN facilita enormemente este proceso.
Determinación de la categoría: la categoría del sistema es la mayor de las categorías individuales de los activos que lo componen. Si el activo más crítico es Media, el sistema es Media.
Documentación: todo el proceso debe quedar documentado en el Documento de Aplicabilidad y en la Declaración de Aplicabilidad de las medidas ENS.

Un error frecuente es intentar manipular la valoración para obtener una categoría más baja y reducir el esfuerzo de implementación. Las entidades auditoras son expertas en detectar valoraciones inconsistentes, y un certificado emitido sobre una categoría incorrecta puede ser impugnado.

Diferencias en el proceso de certificación según categoría

Aspecto	Básica	Media	Alta
Acreditación posible	DDC o Certificado	Solo Certificado ENAC	Solo Certificado ENAC
Auditoría externa	Opcional (recomendada)	Obligatoria	Obligatoria + técnica avanzada
Profundidad del análisis de riesgos	Básico	Formal (MAGERIT/PILAR)	Exhaustivo con PILAR
MFA obligatorio	No	Sí	Sí (con certificado digital)
Monitorización SIEM	No	Sí	Sí (avanzada)
Pentesting	No	Recomendado	Obligatorio
Vigencia del certificado	2 años	2 años	2 años

Coste y tiempo según categoría

El coste y plazo de certificación varían significativamente según la categoría y el tamaño de la organización. Como referencia general:

ENS Básica: es la certificación más accesible. Para una pyme de 10-30 empleados con alcance limitado a un sistema concreto, el proceso puede completarse en 2-3 meses. El número de medidas y la profundidad exigida son menores, lo que reduce tanto el esfuerzo de implementación como el coste de la auditoría.

ENS Media: es el proceso más habitual y equilibrado. Para una empresa de 20-100 empleados, el proceso típico dura entre 3 y 4 meses. La mayor complejidad respecto a Básica viene principalmente de los controles técnicos (MFA, SIEM, gestión de vulnerabilidades) y de la profundidad de la auditoría. El coste es moderado para el valor que aporta en términos de acceso a contratos públicos.

ENS Alta: es la certificación más exigente y costosa. Suele requerirse en organizaciones con infraestructuras complejas y sistemas de alta criticidad. El plazo típico es de 4-6 meses y el coste es significativamente superior por la profundidad de los controles técnicos y la complejidad de la auditoría.

Certificaciones en cascada: ENS Media + ISO 27001 al 65% de coste gracias al solapamiento de requisitos. Ver packs →

Preguntas frecuentes

¿Cómo sé si necesito ENS Media o Alta?

La categoría se determina valorando el impacto potencial de un incidente de seguridad en los sistemas en alcance usando la escala del Anexo I del RD 311/2022. Si el impacto en alguna dimensión sería grave, aplica Media; si sería muy grave o catastrófico, aplica Alta. La herramienta PILAR del CCN facilita esta valoración. Si hay duda, el presupuesto sin compromiso de Avson determina la categoría correcta.

¿Puedo certificarme en Media si el pliego solo exige Básica?

Sí, y puede ser ventajoso. Una certificación en categoría superior cubre los requisitos de la categoría inferior. Además, algunos pliegos puntúan positivamente certificaciones en categorías superiores, lo que puede darte ventaja competitiva en la valoración de la oferta técnica.

¿Cuánto tiempo más lleva certificarse en ENS Alta respecto a Media?

Un proyecto de ENS Alta puede requerir entre 1 y 2 meses adicionales respecto a Media, principalmente por la mayor complejidad técnica de algunos controles (criptografía avanzada, segregación de redes, auditorías de penetración) y la profundidad mayor de la auditoría de certificación.

¿Es posible ampliar la categoría tras la certificación?

Sí. Si la empresa gana contratos que exigen una categoría superior, puede ampliar el alcance o la categoría de su certificación. Esto requiere una nueva auditoría, pero el trabajo previo realizado es reutilizable en gran medida, lo que reduce el esfuerzo adicional.

¿El ENS Media es compatible con ISO 27001?

Sí, y son altamente sinérgicos. El ENS Media y la ISO 27001 comparten aproximadamente el 65% de sus requisitos. Una empresa certificada en ENS Media tiene ya implementada la mayor parte de los controles exigidos por ISO 27001, lo que permite obtener esta segunda certificación a un coste marginal significativamente menor.

¿Qué categoría ENS necesitas?

Te lo decimos gratis en 5 días hábiles. Sin compromiso.

Solicitar presupuesto sin compromiso →

Certificado ENS Media vs Alta: diferencias y cómo saber cuál necesitas