¿Quién debe cumplir el Esquema Nacional de Seguridad?
El ENS (Real Decreto 311/2022) es de aplicación a todo el sector público en la protección de la información que maneja y los servicios que presta, y alcanza a los proveedores del sector privado en la medida en que prestan servicios a las entidades públicas. Si no está seguro, el diagnóstico gratuito sitúa su organización en pocos minutos.
¿Desde cuándo está en vigor y qué hay que hacer?
La base es el Real Decreto 311/2022, de 3 de mayo, que regula el ENS y está en vigor. La organización debe categorizar sus sistemas (básica, media o alta), aplicar de forma proporcional las medidas del Anexo II, mantener la documentación de seguridad y sostener la conformidad (autoevaluación para la categoría básica; auditoría de certificación para media y alta).
¿Cómo se categoriza un sistema?
La categoría se determina por el mayor nivel de impacto (bajo, medio o alto) entre las cinco dimensiones de seguridad: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. Si todas son de impacto bajo, el sistema es de categoría básica; si alguna alcanza impacto medio (y ninguna alto), es media; si alguna alcanza impacto alto, es alta.
¿Cómo se notifica un incidente de seguridad?
El incidente se notifica al CSIRT de referencia: INCIBE-CERT para el sector privado y los ciudadanos, y CCN-CERT para el sector público. La clasificación de la peligrosidad y el impacto sigue las guías CCN-STIC. Reglyze prepara el contenido de la notificación, pero es la organización quien la presenta ante el CSIRT correspondiente.
¿Qué papel juega el CCN?
El Centro Criptológico Nacional (CCN) es la autoridad técnica en ciberseguridad del sector público y desarrolla la capa metodológica del ENS a través de las guías CCN-STIC de la serie 800. El CCN también opera el CCN-CERT, el CSIRT de referencia del sector público, y publica los distintivos de conformidad del ENS. Reglyze refleja esta capa en un único panel.
¿Cómo ayuda Reglyze a cumplir el ENS?
Reglyze guía por las medidas del Anexo II, ordenadas en los tres marcos (organizativo, operacional y de protección). El asistente basado en inteligencia artificial conduce la evaluación, genera la documentación y las políticas, vigila el proceso de notificación de incidentes y mantiene las evidencias listas para acreditar la conformidad.
¿Reglyze es un proveedor español?
No. Reglyze es una plataforma SaaS europea creada en Francia, con infraestructura de producción en Alemania (Hetzner, Falkenstein). Preferimos decirlo de frente antes que prometer un origen español que no corresponde a la realidad. Toda la infraestructura cumple el RGPD y los datos permanecen en la Unión Europea. Como España y Alemania aplican el mismo Reglamento (UE) 2016/679 (RGPD), no hay transferencias fuera de la UE. Los detalles técnicos están en la página de seguridad y alojamiento.
¿Qué cambia en la práctica para mi organización?
En la práctica, la organización debe categorizar sus sistemas, aplicar y documentar las medidas del Anexo II en los tres marcos, designar responsables, establecer un proceso de gestión y notificación de incidentes al CSIRT de referencia y vigilar a los proveedores y la cadena de suministro. Reglyze convierte estos requisitos en una lista de pasos concretos con evidencias, en lugar de dejarlos como texto normativo.