Esquema Nacional de Seguridad: Anexo II
El núcleo de la conformidad con el ENS es el catálogo de medidas del Anexo II del Real Decreto 311/2022: 73 medidas organizadas en tres marcos (organizativo, operacional y de protección). No es una lista de productos a comprar, sino un catálogo que se aplica de forma proporcional a la categoría de cada sistema. En esta página explicamos qué cubre cada marco, cómo funciona la proporcionalidad y qué papel juegan las guías CCN-STIC.
Base: Esquema Nacional de Seguridad (ENS), Real Decreto 311/2022, de 3 de mayo, en vigor. La autoridad técnica es el Centro Criptológico Nacional (CCN).
El Anexo II no es una herramienta única, sino un catálogo estructurado: 73 medidas repartidas en tres marcos. El marco organizativo fija el gobierno de la seguridad; el operacional protege la operación del sistema a lo largo de su ciclo de vida; las medidas de protección defienden los activos concretos. La categoría del sistema, determinada por el impacto en las cinco dimensiones de seguridad, decide cuánto se exige de cada medida.
La obligación alcanza por igual a las entidades del sector público y a sus proveedores. Si no tiene claro si su organización está dentro del ámbito, consulte la página de quién debe cumplir el ENS.
A continuación, cada marco con lo que cubre en la práctica.
Marco [org]
Las medidas que gobiernan la seguridad de la organización: el conjunto de decisiones, normas y procedimientos que enmarcan todo lo demás. Sin este marco, las medidas técnicas no tienen una base de gobierno que las sostenga.
Marco [op]
Las medidas para proteger la operación del sistema a lo largo de su ciclo de vida: planificar, controlar el acceso, explotar con seguridad, gobernar los servicios externos y la nube, asegurar la continuidad y monitorizar.
El detalle de la notificación de incidentes (parte de la explotación y la monitorización) está en la página de notificación de incidentes.
Marco [mp]
Las medidas que protegen activos concretos: las instalaciones, el personal, los equipos, las comunicaciones, los soportes, las aplicaciones, la información y los servicios. Es la capa más cercana a lo que se defiende a diario.
Conviene probar los planes de continuidad con ejercicios. Vea el simulacro de incidentes.
El ENS no impone el mismo conjunto de soluciones a toda organización. Las medidas son proporcionales: su alcance y su intensidad dependen de la categoría del sistema. Por eso todo empieza por la categorización, que mira al impacto en las cinco dimensiones de seguridad.
Cómo se gradúan las medidas por categoría
En la práctica: un sistema de categoría básica cubre los tres marcos con medidas más sencillas que uno de categoría alta, siempre que el nivel de protección sea adecuado al riesgo. La proporcionalidad no es una puerta para saltarse marcos, sino la forma de ajustarlos con sentido.
El Real Decreto fija qué hay que conseguir. La pregunta de cómo hacerlo la resuelve la capa metodológica. Aquí ayudan las guías CCN-STIC de la serie 800, publicadas por el Centro Criptológico Nacional (CCN). Son la guía práctica para implantar las medidas de cada marco del Anexo II.
Guías CCN-STIC (CCN)
Capa metodológica. Traducen los marcos del Anexo II en prácticas y configuraciones concretas. Ayudan a planificar el control de acceso, la gestión de incidentes, la continuidad y el cifrado de un modo reconocido en España.
Declaración de aplicabilidad
La organización recoge en una declaración de aplicabilidad las medidas seleccionadas y su justificación según la categoría. Es la pieza que conecta la categorización con el catálogo del Anexo II y soporta la conformidad.
Consejo práctico: empiece por la categorización y las medidas base. Los tres marcos del Anexo II son estables, así que construir el cimiento desde la categoría y las medidas organizativas le permite ajustar después el nivel de exigencia con las guías CCN-STIC.
Reglyze acompaña por los requisitos del Anexo II paso a paso. En lugar de una plantilla vacía, recibe preguntas concretas adaptadas a su organización y a la categoría de sus sistemas, y el sistema relaciona las respuestas con los tres marcos y señala las carencias por cerrar.
Quién debe cumplir el ENS
El ámbito del ENS y cómo se categoriza cada sistema.
Notificación de incidentes
Cómo notificar al CSIRT de referencia (INCIBE-CERT y CCN-CERT).
Simulacro de incidentes
Pruebe los planes de continuidad y respuesta con escenarios.
Preguntas frecuentes
Respuestas a las dudas más habituales sobre el ENS.