Esquema Nacional de Seguridad: Anexo II

Medidas de seguridad del ENS: el Anexo II en tres marcos

El núcleo de la conformidad con el ENS es el catálogo de medidas del Anexo II del Real Decreto 311/2022: 73 medidas organizadas en tres marcos (organizativo, operacional y de protección). No es una lista de productos a comprar, sino un catálogo que se aplica de forma proporcional a la categoría de cada sistema. En esta página explicamos qué cubre cada marco, cómo funciona la proporcionalidad y qué papel juegan las guías CCN-STIC.

Base: Esquema Nacional de Seguridad (ENS), Real Decreto 311/2022, de 3 de mayo, en vigor. La autoridad técnica es el Centro Criptológico Nacional (CCN).

Qué es el catálogo de medidas del Anexo II

El Anexo II no es una herramienta única, sino un catálogo estructurado: 73 medidas repartidas en tres marcos. El marco organizativo fija el gobierno de la seguridad; el operacional protege la operación del sistema a lo largo de su ciclo de vida; las medidas de protección defienden los activos concretos. La categoría del sistema, determinada por el impacto en las cinco dimensiones de seguridad, decide cuánto se exige de cada medida.

La obligación alcanza por igual a las entidades del sector público y a sus proveedores. Si no tiene claro si su organización está dentro del ámbito, consulte la página de quién debe cumplir el ENS.

Los tres marcos del Anexo II

A continuación, cada marco con lo que cubre en la práctica.

  • Marco [org]

    Marco organizativo

    Las medidas que gobiernan la seguridad de la organización: el conjunto de decisiones, normas y procedimientos que enmarcan todo lo demás. Sin este marco, las medidas técnicas no tienen una base de gobierno que las sostenga.

    • Política de seguridad de la información, aprobada por la dirección.
    • Normativa de seguridad que desarrolla la política en reglas concretas.
    • Procedimientos de seguridad que detallan cómo se ejecutan las tareas.
    • Proceso de autorización para la puesta en servicio de componentes del sistema.
  • Marco [op]

    Marco operacional

    Las medidas para proteger la operación del sistema a lo largo de su ciclo de vida: planificar, controlar el acceso, explotar con seguridad, gobernar los servicios externos y la nube, asegurar la continuidad y monitorizar.

    • Planificación de la seguridad (análisis de riesgos, arquitectura y dimensionamiento).
    • Control de acceso (identificación, autenticación y gestión de privilegios).
    • Explotación (gestión de la configuración, del cambio, de vulnerabilidades y registro de actividad).
    • Servicios externos: exigencias de seguridad a los proveedores y a la cadena de suministro.
    • Servicios en la nube, cuando el sistema se apoya en ellos.
    • Continuidad del servicio (planes de continuidad y recuperación).
    • Monitorización del sistema (detección y vigilancia continua).

    El detalle de la notificación de incidentes (parte de la explotación y la monitorización) está en la página de notificación de incidentes.

  • Marco [mp]

    Medidas de protección

    Las medidas que protegen activos concretos: las instalaciones, el personal, los equipos, las comunicaciones, los soportes, las aplicaciones, la información y los servicios. Es la capa más cercana a lo que se defiende a diario.

    • Protección de las instalaciones e infraestructuras.
    • Gestión del personal (concienciación, formación y deberes de seguridad).
    • Protección de los equipos (puesto de trabajo y dispositivos).
    • Protección de las comunicaciones (cifrado y segmentación).
    • Protección de los soportes de información (custodia, transporte y borrado seguro).
    • Protección de las aplicaciones informáticas (desarrollo y aceptación seguros).
    • Protección de la información (calificación, cifrado, copias de seguridad).
    • Protección de los servicios (frente a la denegación de servicio y el correo).

    Conviene probar los planes de continuidad con ejercicios. Vea el simulacro de incidentes.

La proporcionalidad

El ENS no impone el mismo conjunto de soluciones a toda organización. Las medidas son proporcionales: su alcance y su intensidad dependen de la categoría del sistema. Por eso todo empieza por la categorización, que mira al impacto en las cinco dimensiones de seguridad.

Cómo se gradúan las medidas por categoría

  • Básica: conjunto base de medidas del Anexo II, acreditable por autoevaluación.
  • Media: medidas reforzadas; entra el régimen de auditoría de certificación.
  • Alta: medidas más exigentes, para los sistemas con mayor impacto en las dimensiones de seguridad.

En la práctica: un sistema de categoría básica cubre los tres marcos con medidas más sencillas que uno de categoría alta, siempre que el nivel de protección sea adecuado al riesgo. La proporcionalidad no es una puerta para saltarse marcos, sino la forma de ajustarlos con sentido.

La capa metodológica: las guías CCN-STIC (serie 800)

El Real Decreto fija qué hay que conseguir. La pregunta de cómo hacerlo la resuelve la capa metodológica. Aquí ayudan las guías CCN-STIC de la serie 800, publicadas por el Centro Criptológico Nacional (CCN). Son la guía práctica para implantar las medidas de cada marco del Anexo II.

Guías CCN-STIC (CCN)

Capa metodológica. Traducen los marcos del Anexo II en prácticas y configuraciones concretas. Ayudan a planificar el control de acceso, la gestión de incidentes, la continuidad y el cifrado de un modo reconocido en España.

Declaración de aplicabilidad

La organización recoge en una declaración de aplicabilidad las medidas seleccionadas y su justificación según la categoría. Es la pieza que conecta la categorización con el catálogo del Anexo II y soporta la conformidad.

Consejo práctico: empiece por la categorización y las medidas base. Los tres marcos del Anexo II son estables, así que construir el cimiento desde la categoría y las medidas organizativas le permite ajustar después el nivel de exigencia con las guías CCN-STIC.

Cómo ayuda Reglyze a implantar las medidas

Reglyze acompaña por los requisitos del Anexo II paso a paso. En lugar de una plantilla vacía, recibe preguntas concretas adaptadas a su organización y a la categoría de sus sistemas, y el sistema relaciona las respuestas con los tres marcos y señala las carencias por cerrar.

  • Evaluación de madurez en cada marco, con un resultado claro y una lista de prioridades.
  • Generación de la política, la normativa y los procedimientos adaptados a su perfil, listos para aprobar por la dirección.
  • Apoyo en la gestión de incidentes: preparación del contenido de la notificación y clasificación de la peligrosidad. La notificación la presenta usted ante el CSIRT de referencia (INCIBE-CERT o CCN-CERT).
  • Actualización de los contenidos cuando se publican nuevas guías CCN-STIC u orientaciones del CCN.

Preguntas frecuentes

¿Qué exige el Anexo II del ENS?
El Anexo II del Real Decreto 311/2022 establece el catálogo de medidas de seguridad del ENS: 73 medidas organizadas en tres marcos (organizativo, operacional y de protección). Cada organización dentro del ámbito del ENS las aplica de forma proporcional a la categoría de cada sistema (básica, media o alta).
¿Cuáles son los tres marcos de medidas del Anexo II?
El marco organizativo (política, normativa, procedimientos y proceso de autorización), el marco operacional (planificación, control de acceso, explotación, servicios externos y en la nube, continuidad y monitorización) y las medidas de protección (instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, información y servicios).
¿En qué consiste la proporcionalidad?
Las medidas se gradúan según la categoría del sistema. Un sistema de categoría básica aplica el conjunto base; uno de categoría media o alta aplica medidas reforzadas. La categoría se determina por el impacto en las cinco dimensiones de seguridad, de modo que el nivel de protección es proporcional al riesgo.
¿Qué son las guías CCN-STIC?
Las guías CCN-STIC de la serie 800 son la capa metodológica del ENS, publicadas por el Centro Criptológico Nacional (CCN). Traducen las medidas del Anexo II en orientaciones prácticas: cómo implantar el control de acceso, la gestión de incidentes, la continuidad o el cifrado, entre otras.
¿Reglyze notifica un incidente en nombre de la organización?
No. Reglyze prepara el contenido de la notificación, clasifica la peligrosidad y ordena la documentación, pero la notificación al CSIRT de referencia (INCIBE-CERT para el sector privado, CCN-CERT para el sector público) la presenta la propia organización. Reglyze nunca notifica en su nombre.

Compruebe su nivel en los tres marcos

El diagnóstico gratuito muestra dónde está respecto de las medidas del Anexo II y qué marcos requieren acción más urgente. Sin tarjeta de crédito.