¿Qué es el Esquema Nacional de Seguridad (ENS)?

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, establece los principios y requisitos mínimos de seguridad que deben cumplir los sistemas de información de las Administraciones Públicas españolas y de todas las entidades privadas que les presten servicios o gestionen información pública.

No es una recomendación. Es una obligación legal con consecuencias directas en la contratación pública. Sin cumplimiento ENS acreditado, no puedes licitar ni prestar servicios tecnológicos a la Administración Pública española.

Marco legal: El ENS actualizado por RD 311/2022 incorpora el enfoque de gestión de riesgos, se alinea con el marco europeo de ciberseguridad (NIST, ISO 27001) y establece plazos concretos para la adecuación y auditoría.

¿Quién debe cumplir el ENS?

El ámbito de aplicación del ENS es amplio. Están obligados:

  • Todas las Administraciones Públicas: AGE, CCAA, Entidades Locales y sus organismos dependientes.
  • Empresas privadas que prestan servicios a la Administración: proveedores de software, cloud, sistemas de gestión, servicios IT o cualquier empresa que trate información de la Administración.
  • Entidades del sector público: fundaciones, consorcios y organismos autónomos con participación pública.

Si tu empresa aspira a contratos públicos tecnológicos o ya gestiona datos de entidades públicas, el ENS te aplica y debes acreditarlo.

Los 3 niveles de seguridad ENS

El ENS clasifica los sistemas en tres niveles según el impacto que tendría un incidente de seguridad sobre los servicios o la información que gestionan:

Básico
Nivel Básico
Sistemas cuyo compromiso causaría un perjuicio limitado. Servicios de información general, webs corporativas, sistemas de gestión interna sin datos sensibles. Auditoría cada 2 años mediante autoevaluación o auditoría formal.
Medio
Nivel Medio
Sistemas cuyo fallo causaría un perjuicio grave. Sistemas de gestión de expedientes, plataformas de contratación, registros públicos. Requiere auditoría bienal por entidad o profesional independiente.
Alto
Nivel Alto
Sistemas cuyo compromiso causaría un perjuicio muy grave o catastrófico. Sistemas de defensa, seguridad pública, infraestructuras críticas, datos de salud a gran escala. Auditoría bienal por entidad certificada.

Los marcos de control del ENS

El ENS organiza sus medidas de seguridad en tres marcos que agrupan los controles que debes implementar según el nivel de tu sistema:

Marco Organizativo (ORG)4 controles
Política de seguridad, normativa de seguridad, procedimientos operativos y proceso de autorización. Define la gobernanza de la seguridad de la información en la organización.
Marco Operacional (OP)37 controles
Gestión de activos, análisis de riesgos, gestión del personal, seguridad física, control de acceso, explotación, continuidad del servicio, monitorización y respuesta a incidentes. El núcleo técnico y operativo del ENS.
Medidas de Protección (MP)34 controles
Protección de instalaciones, sistemas, comunicaciones, soportes de información, aplicaciones web y servicios en cloud. Incluye criptografía, firma electrónica y protección de datos de carácter personal.

Cómo preparar la auditoría ENS: proceso paso a paso

01
Determinar el nivel ENS aplicable
Identifica los sistemas en scope y realiza la valoración de dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad). El nivel más alto de cualquier dimensión determina el nivel del sistema.
02
Análisis de riesgos
Inventario de activos, identificación de amenazas y vulnerabilidades, evaluación del riesgo residual. El análisis de riesgos es el documento central del que se derivan todas las medidas de seguridad.
03
GAP analysis: situación actual vs. requisitos ENS
Evaluación del grado de cumplimiento actual para cada control del ENS. Identifica las brechas que deben cerrarse antes de la auditoría de certificación. Este es el punto de partida de cualquier proyecto de adecuación.
04
Plan de adecuación y remediación
Plan de acción priorizado para implementar los controles faltantes: políticas, procedimientos, medidas técnicas y formación. Incluye plazos, responsables y recursos necesarios.
05
Auditoría de certificación
Para nivel básico: autoevaluación o auditoría por profesional independiente. Para niveles medio y alto: auditoría por entidad de certificación acreditada (ENAC). El informe de auditoría positivo permite obtener la Declaración de Conformidad ENS.

Plazos y renovación

La certificación ENS no es indefinida. Los sistemas de nivel medio y alto deben auditarse cada 2 años. La Declaración de Conformidad tiene una vigencia de 2 años, tras la cual debe renovarse con una nueva auditoría. Además, cualquier cambio significativo en el sistema (nueva arquitectura, migración a cloud, nuevos servicios) puede requerir una revisión anticipada.

Es recomendable realizar auditorías internas anuales para detectar desviaciones antes de la auditoría oficial y mantener la documentación actualizada de forma continua.

ENSRD 311/2022ComplianceAdministración PúblicaAuditoríaISO 27001
// Certificación ENS
¿Necesitas adecuarte al ENS?

Realizamos el GAP analysis inicial, el análisis de riesgos y te acompañamos en todo el proceso de adecuación hasta la auditoría de certificación. Evaluación inicial gratuita sin compromiso.

Consulta gratuita ENS →