Qué es el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) es el marco normativo que establece los principios y requisitos mínimos de seguridad para los sistemas de información de las Administraciones Públicas españolas y para las empresas privadas que les prestan servicios TIC. Su objetivo principal es garantizar que los sistemas que manejan datos o prestan servicios a ciudadanos y organismos públicos cuentan con un nivel adecuado de protección frente a amenazas cibernéticas.

En términos prácticos, el ENS define un catálogo de medidas de seguridad organizativas, operacionales y de protección que cualquier organización en su ámbito de aplicación debe implementar y mantener. Estas medidas abarcan desde la política de seguridad de la información y la gestión de riesgos hasta controles técnicos concretos como la autenticación, el cifrado y la gestión de incidentes.

El ENS no es una norma voluntaria ni una recomendación de buenas prácticas: es de obligado cumplimiento según el Real Decreto 311/2022, que derogó y sustituyó al anterior RD 3/2010. El incumplimiento tiene consecuencias directas: exclusión de licitaciones públicas, imposibilidad de renovar contratos con la Administración y, en algunos casos, responsabilidades legales.

¿No sabes si el ENS aplica a tu empresa? Un presupuesto sin compromiso te lo resuelve en 5 días hábiles. Pide presupuesto →

Historia y evolución del ENS: del RD 3/2010 al RD 311/2022

El ENS nació con el Real Decreto 3/2010, de 8 de enero, fruto del mandato de la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos. Esa versión inicial estableció los fundamentos del marco: principios de seguridad, categorización de sistemas y un primer catálogo de medidas. Fue un punto de partida sólido para su época, pero el panorama de amenazas evolucionó rápidamente.

En 2015, el RD 3/2010 fue modificado por el RD 951/2015, que introdujo ajustes relevantes en el procedimiento de auditoría y amplió el ámbito de aplicación. Sin embargo, la transformación digital de las AAPP, la proliferación del cloud computing, el teletrabajo y la aparición de amenazas más sofisticadas hicieron necesaria una revisión profunda.

El Real Decreto 311/2022, de 3 de mayo, publicado en el BOE con referencia BOE-A-2022-7191, derogó completamente el RD 3/2010 y estableció el ENS en su versión actual. Las novedades más significativas fueron:

La Guía CCN-STIC-800, publicada y actualizada periódicamente por el Centro Criptológico Nacional (CCN), desarrolla los criterios de aplicación del ENS y es la referencia técnica fundamental para cualquier proceso de implantación.

Para quién es obligatorio el ENS

El artículo 2 del RD 311/2022 delimita el ámbito de aplicación. El ENS es obligatorio para:

La clave práctica para una empresa privada es sencilla: si tu empresa licita o tiene contratos vigentes con organismos públicos en los que se gestionen, almacenen o transmitan datos de la Administración o se presten servicios TIC de cualquier tipo, el ENS te aplica. Esto incluye proveedores de software, integradores de sistemas, proveedores de servicios en la nube (IaaS, PaaS, SaaS), consultoras IT, empresas de telecomunicaciones y cualquier otro proveedor tecnológico.

87 empresas ya tienen su certificado ENS con Avson. Tiempo medio: 3,5 meses. Tasa de éxito: 100%. Empezar ahora →

Categorías del ENS: Básica, Media y Alta

Uno de los elementos más importantes del ENS es su sistema de categorización. No todos los sistemas de información tienen el mismo impacto potencial si se ven comprometidos. El ENS establece tres categorías basadas en la valoración del impacto que un incidente de seguridad tendría sobre las dimensiones de seguridad del sistema:

La categoría del sistema determina el nivel de exigencia de las medidas de seguridad:

Categoría BÁSICA: aplica cuando el impacto de un incidente sería limitado. Es la categoría más frecuente entre pymes tecnológicas proveedoras de servicios auxiliares. Exige la implementación de aproximadamente 45 medidas de seguridad en sus niveles más básicos. Para esta categoría es posible emitir una Declaración de Conformidad sin necesidad de auditoría externa, aunque cada vez más pliegos exigen el certificado completo.

Categoría MEDIA: aplica cuando el impacto sería grave. Es la categoría más común para proveedores TIC de tamaño medio y empresas que gestionan datos sensibles de ciudadanos o sistemas que soportan servicios públicos esenciales. Exige aproximadamente 60 medidas con controles más estrictos: doble factor de autenticación obligatorio, análisis de vulnerabilidades periódico, monitorización de seguridad continua y planes de continuidad formalizados.

Categoría ALTA: aplica cuando el impacto sería muy grave o catastrófico. Típica de infraestructuras críticas, sistemas de defensa nacional, servicios esenciales del Estado o sistemas que manejan información clasificada. Exige las 73 medidas en sus niveles más exigentes, incluyendo controles avanzados de criptografía, segregación física de redes, respuesta a incidentes formalizada y auditorías de penetración regulares.

La determinación de la categoría es el primer paso crítico de cualquier proceso de implantación ENS. Herramientas como PILAR (desarrollada por el CCN) facilitan esta valoración mediante un análisis estructurado de activos y amenazas.

Qué medidas de seguridad exige el ENS

El Anexo II del RD 311/2022 recoge el catálogo de medidas de seguridad del ENS, organizado en tres marcos:

Marco Organizativo (org): establece los fundamentos de la gestión de la seguridad. Incluye la Política de Seguridad de la Información, la normativa de seguridad, los procedimientos de gestión de incidentes y la formación y concienciación del personal. Estas medidas deben estar documentadas y aprobadas al más alto nivel de la organización.

Marco Operacional (op): desarrolla los controles de gestión de la seguridad en el día a día. Se estructura en varias subfamilias: planificación (análisis de riesgos, arquitectura de seguridad, adquisición de nuevos componentes), control de acceso (identificación, autenticación, autorización), explotación (inventario de activos, configuración de seguridad, gestión de cambios, protección frente a código dañino, gestión de incidentes, continuidad del servicio) y servicios externos.

Medidas de Protección (mp): controles específicos para proteger categorías concretas de activos: instalaciones e infraestructura física, gestión del personal, protección de equipos, protección de comunicaciones (TLS/VPNs, segmentación de redes), protección de los soportes de información, protección de las aplicaciones informáticas y gestión de la información (clasificación, cifrado, copias de seguridad).

Cada medida se aplica con distinta intensidad según el nivel de seguridad requerido por la categoría del sistema: nivel bajo (L), medio (M) o alto (H). Para categoría Básica se aplican solo los niveles bajos; para Media, los niveles medios y bajos; para Alta, todos los niveles.

Diferencia entre Declaración de Conformidad y Certificado ENS

Esta es una de las dudas más frecuentes entre las empresas que empiezan a explorar el ENS. Hay dos formas de acreditar el cumplimiento:

Declaración de Conformidad (DDC): es un documento elaborado por la propia organización en el que se declara que los sistemas en alcance cumplen con las medidas del ENS en categoría Básica. No requiere auditoría externa. Es válida como mecanismo de acreditación para sistemas de categoría Básica, pero tiene una limitación importante: un número creciente de organismos públicos y pliegos de contratación ya no la aceptan y exigen el certificado completo.

Certificado ENS: es el documento expedido por una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación) tras una auditoría de segunda parte. El proceso incluye una auditoría documental y una auditoría técnica in situ (o remota). Es obligatorio para categorías Media y Alta, y cada vez más requerido también para Básica. El certificado tiene una validez de 2 años, tras los cuales debe renovarse mediante una nueva auditoría.

La entidad auditora debe estar acreditada por ENAC bajo el esquema específico de certificación del ENS. El CCN publica en su web el listado actualizado de entidades acreditadas.

Garantía de éxito al 100% por escrito. Si no superas la auditoría siguiendo nuestro plan, repetimos sin coste. Ver garantía →

Cómo obtener el certificado ENS paso a paso

El proceso de certificación ENS tiene unas fases bien definidas:

  1. Análisis GAP inicial: se evalúa el estado actual de los controles de seguridad de la organización frente a los requisitos ENS de la categoría aplicable. Este análisis identifica las brechas (gaps) existentes y cuantifica el esfuerzo necesario para cerrarlas.
  2. Determinación de alcance y categoría: se definen qué sistemas y servicios quedan dentro del alcance de la certificación y se determina la categoría del sistema mediante la metodología de valoración de activos (habitualmente con la herramienta PILAR o metodologías compatibles).
  3. Elaboración del Plan de Adecuación: con base en el análisis GAP, se diseña un plan detallado de implementación con actividades, responsables, plazos y recursos necesarios.
  4. Implementación de controles: se ejecutan las acciones del Plan de Adecuación: elaboración de la Política de Seguridad, el Plan de Tratamiento de Riesgos (PTR), el documento de aplicabilidad, procedimientos operativos, formación al personal y despliegue de controles técnicos.
  5. Auditoría interna previa: antes de la auditoría de certificación, se realiza una revisión interna exhaustiva para identificar y subsanar posibles desviaciones. Es la última oportunidad para detectar problemas.
  6. Auditoría de certificación: una entidad acreditada por ENAC realiza la auditoría. Incluye revisión documental y comprobaciones técnicas. Si se detectan no conformidades, la organización dispone de un plazo para subsanarlas.
  7. Emisión del certificado: una vez superada la auditoría sin no conformidades abiertas, la entidad emite el certificado ENS con una vigencia de 2 años.

Con el acompañamiento de una consultora especializada como Avson GRC, este proceso completo tarda entre 3 y 4 meses. El factor más determinante del plazo no es la documentación — que puede generarse con eficiencia usando herramientas especializadas — sino la implementación de controles técnicos y la disponibilidad del equipo interno para validar y proporcionar evidencias.

Artículos relacionados

ENS

¿Es obligatorio el certificado ENS? Quién debe cumplirlo

ENS · ISO 27001

ENS vs ISO 27001: diferencias clave y cuál necesitas

ENS

ENS Media y Alta: requisitos adicionales y cómo certificarse

Preguntas frecuentes sobre el ENS

¿Qué es el ENS exactamente?
El ENS (Esquema Nacional de Seguridad) es el marco normativo español, establecido por el RD 311/2022, que regula la seguridad de los sistemas de información de las Administraciones Públicas y de sus proveedores TIC. Define los principios, requisitos y medidas de seguridad de obligado cumplimiento para garantizar la protección adecuada de los sistemas que soportan servicios públicos.
¿Es obligatorio el ENS para empresas privadas?
Sí, para las empresas privadas que prestan servicios TIC a organismos del sector público español. El RD 311/2022 extiende la obligación a proveedores y subcontratistas. Si tu empresa vende software, servicios cloud, consultoría IT o cualquier servicio tecnológico a una Administración Pública, necesitas cumplir con el ENS en la categoría que corresponda.
¿Cuánto tiempo lleva obtener el certificado ENS?
Con una consultora especializada como Avson GRC, el proceso completo desde diagnóstico hasta certificado dura entre 3 y 4 meses. Sin asesoramiento experto, puede extenderse a 12 meses o más, principalmente por los errores en la determinación del alcance, la generación de documentación incorrecta y la falta de preparación para la auditoría.
¿Qué diferencia hay entre Declaración de Conformidad y Certificado ENS?
La Declaración de Conformidad es un documento autoevaluado válido solo para ENS Básica. El Certificado ENS es emitido por una entidad de certificación acreditada por ENAC tras una auditoría independiente. La mayoría de licitaciones públicas exigen el certificado completo, incluso para categoría Básica.
¿Cuánto cuesta obtener el certificado ENS?
El coste depende de la categoría del sistema (Básica, Media o Alta), el número de sistemas en alcance, la madurez de los controles existentes y el tamaño de la organización. El presupuesto sin compromiso de Avson incluye una propuesta económica personalizada. Como referencia, el coste es significativamente inferior al valor del primer contrato público que la certificación permite ganar.
¿El certificado ENS tiene fecha de caducidad?
Sí. El certificado ENS tiene una vigencia de 2 años a partir de la fecha de emisión. Transcurrido ese plazo, debe renovarse mediante una nueva auditoría de certificación. Es recomendable iniciar el proceso de renovación 3-4 meses antes de la caducidad para evitar periodos sin certificado vigente.

¿Listo para certificarte en ENS?

Pide presupuesto · Sin compromiso · Respuesta en 24 horas

Solicitar presupuesto sin compromiso →

Artículos relacionados:

¿El ENS es obligatorio para mi empresa? → ENS Media vs Alta: diferencias → ENS vs ISO 27001: sinergia →