1. Qué es el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) es el marco que establece los principios básicos y requisitos mínimos de seguridad que deben cumplir:

  • Las administraciones públicas españolas.
  • Las entidades del sector público (organismos, entidades públicas empresariales, etc.).
  • Las empresas y proveedores que prestan servicios o soluciones a dichas administraciones.

El ENS busca garantizar que los sistemas de información que soportan los servicios públicos se gestionen con un nivel de seguridad adecuado, proporcional a los riesgos asumidos y a la criticidad de la información tratada.

2. El marco normativo: RD 311/2022 y guías CCN-STIC

El marco legal principal del ENS es el Real Decreto 311/2022, que actualiza y reemplaza al RD 3/2010. Este real decreto desarrolla el ENS previsto en la Ley 40/2015, de Régimen Jurídico del Sector Público.

Además del real decreto, el Centro Criptológico Nacional (CCN) publica la serie de guías CCN-STIC 800, donde se detalla de forma práctica cómo interpretar y aplicar las medidas del ENS: glosario, valoración de sistemas, catálogo de medidas, auditoría, etc.

3. Niveles de seguridad: básico, medio y alto

El ENS clasifica los sistemas en tres niveles de seguridad: básico, medio y alto. El nivel se determina en función del impacto que tendría un incidente de seguridad sobre la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información.

  • Nivel básico: impacto limitado, afectación localizada, servicios no críticos.
  • Nivel medio: impacto significativo, servicios relevantes para la ciudadanía o para el funcionamiento de la organización.
  • Nivel alto: impacto muy grave, servicios críticos, información especialmente sensible o esencial para la continuidad del servicio público.

Determinar bien el nivel de seguridad es clave porque condiciona la intensidad y número de medidas que deben implantarse.

4. Quién debe cumplir el ENS

De forma simplificada, el ENS aplica a:

  • Administraciones públicas, en todos los niveles (estatal, autonómico, local).
  • Organismos y entidades de derecho público vinculados o dependientes de la Administración.
  • Empresas privadas que prestan servicios a la Administración y cuyos sistemas están incluidos en el alcance de los servicios contratados.

Si eres proveedor TIC, desarrollas una plataforma cloud para un ayuntamiento, ofreces un SaaS para gestión interna de un organismo o alojas sistemas que soportan servicios públicos, es muy probable que el ENS forme parte de los requisitos de seguridad del contrato.

5. Qué implica “cumplir” con el ENS

Cumplir con el ENS no es solo “tener un informe” o una declaración de intenciones. En la práctica implica:

  • Realizar un análisis de contexto y valoración de los sistemas.
  • Implantar un conjunto de medidas organizativas, operacionales y técnicas.
  • Generar y mantener evidencias que demuestren el cumplimiento.
  • Someterse a procesos de auditoría periódica en determinados escenarios.

Dependiendo de la criticidad del sistema y de los requisitos contractuales, la organización puede optar por distintos niveles de formalización y certificación.

6. Por qué trabajar el ENS con acompañamiento especializado

El ENS se cruza con muchas otras piezas: RGPD, ISO 27001, contratos de servicios, gestión de proveedores, cloud pública, etc. Trabajar el ENS con acompañamiento ayuda a:

  • Evitar interpretaciones erróneas que llevan a “sobreimplantar” o a quedarse cortos.
  • Aprovechar controles de seguridad que ya tienes en marcha.
  • Plantear una hoja de ruta realista alineada con tus proyectos y recursos.

7. Cómo puede ayudarte ENSFácil

En ENSFácil te ayudamos a traducir el ENS a decisiones concretas. Empezamos por un diagnóstico y valoración de tu situación, definimos el nivel de seguridad aplicable y diseñamos una hoja de ruta que puedas ejecutar sin bloquear tu día a día.

Si estás valorando un proyecto con la Administración o ya tienes requisitos ENS encima de la mesa, puede ser un buen momento para tener una primera conversación.