Ámbito del ENS y categorización

Quién debe cumplir el ENS

La primera pregunta de toda organización es: ¿estoy dentro del ámbito del Esquema Nacional de Seguridad? El ENS se aplica al sector público y a los proveedores que le prestan servicios. Una vez dentro, cada sistema se categoriza como básica, media o alta según el impacto en las cinco dimensiones de seguridad. Esta página explica los criterios y muestra cómo el diagnóstico de Reglyze devuelve su situación en 2 minutos, con la base normativa.

Base: Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191), en vigor. La autoridad técnica es el Centro Criptológico Nacional (CCN).

Quién está dentro del ámbito

El ENS alcanza a dos grandes grupos. El régimen de medidas del Anexo II es común a ambos; la diferencia está en cómo entra la obligación (por norma para el sector público, por contrato para sus proveedores).

  • Entidades del sector público

    El ENS es de aplicación a todo el sector público en la protección de la información que maneja y los servicios que presta. Cada entidad categoriza sus sistemas y aplica las medidas del Anexo II del RD 311/2022 de forma proporcional a esa categoría.

    A quién alcanza
    La Administración General del Estado, las comunidades autónomas, las entidades locales y el resto del sector público institucional.
    Conformidad
    Conformidad obligatoria: categorización de los sistemas y aplicación proporcional de las medidas del Anexo II, con autoevaluación o auditoría según la categoría.

    Real Decreto 311/2022, de 3 de mayo (ENS)

    Ejemplos
    • Ministerios y organismos de la Administración General del Estado
    • Consejerías y organismos autonómicos
    • Ayuntamientos y diputaciones
    • Universidades públicas
    • Entidades del sector público institucional
    • Sedes y registros electrónicos
  • Proveedores del sector público

    El ENS alcanza a los proveedores del sector privado en la medida en que prestan servicios a las entidades públicas. Los pliegos de contratación incorporan la exigencia de conformidad con el ENS, de modo que el proveedor categoriza los sistemas que dan soporte al servicio y aplica las medidas correspondientes.

    A quién alcanza
    Las organizaciones del sector privado que prestan servicios o proveen soluciones a las entidades públicas y que manejan su información o sus sistemas.
    Conformidad
    Conformidad exigible por contrato: cuando un sistema da soporte a un servicio público, el proveedor debe cumplir el ENS en la parte que le corresponde y poder acreditarlo.

    Real Decreto 311/2022, de 3 de mayo (ENS)

    Ejemplos
    • Proveedores de servicios en la nube para la Administración
    • Empresas de desarrollo y mantenimiento de aplicaciones públicas
    • Centros de proceso de datos y alojamiento
    • Integradores y consultoras tecnológicas
    • Operadores de plataformas de tramitación electrónica
    • Empresas de soporte y operación de sistemas públicos

La categoría del sistema: básica, media o alta

La categoría se determina por el mayor nivel de impacto entre las cinco dimensiones de seguridad. Basta con que una dimensión alcance un nivel para arrastrar al sistema a la categoría correspondiente.

CategoríaImpacto en las dimensionesExigencia
BásicaTodas las dimensiones con impacto bajoConjunto base de medidas del Anexo II
MediaAl menos una dimensión con impacto medio, ninguna altaMedidas reforzadas
AltaAl menos una dimensión con impacto altoMedidas más exigentes

Las cinco dimensiones de seguridad son disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. El ENS valora el impacto de un incidente sobre cada una para fijar la categoría y, con ella, el nivel de exigencia de las medidas del Anexo II.

Las cinco dimensiones de seguridad

La categorización mira al impacto sobre estas cinco dimensiones. Entenderlas ayuda a situar correctamente cada sistema.

Dimensiones

  • · Disponibilidad: el servicio sigue accesible cuando se necesita.
  • · Integridad: la información no se altera de forma no autorizada.
  • · Confidencialidad: solo accede quien está autorizado.
  • · Autenticidad: se garantiza el origen de la información y de quien actúa.
  • · Trazabilidad: las actuaciones quedan registradas y son atribuibles.

Niveles de impacto

Cada dimensión se valora con un nivel de impacto (bajo, medio o alto) según el perjuicio que causaría un incidente sobre el servicio, la organización o las personas. El nivel más alto entre las cinco dimensiones determina la categoría del sistema.

Cuatro obligaciones de toda organización en el ámbito

Una vez dentro del ámbito, las obligaciones son las mismas. Lo que varía con la categoría es el nivel de exigencia de cada medida y la forma de acreditar la conformidad.

  1. 1. Categorización de los sistemas

    Determinar la categoría de seguridad de cada sistema (básica, media o alta) en función del impacto que tendría un incidente sobre las cinco dimensiones de seguridad: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. La categoría fija el nivel de exigencia del resto de obligaciones.

  2. 2. Aplicación de las medidas del Anexo II

    Aplicar de forma proporcional a la categoría las 73 medidas del Anexo II del RD 311/2022, organizadas en tres marcos (organizativo, operacional y de protección). A mayor categoría, mayor exigencia en la medida.

  3. 3. Política de seguridad y declaración de aplicabilidad

    Aprobar y mantener la política de seguridad de la información, la normativa y los procedimientos, así como la declaración de aplicabilidad que recoge las medidas seleccionadas y su justificación. La documentación se alinea con las guías CCN-STIC de la serie 800.

  4. 4. Conformidad con el ENS

    Sostener la conformidad con el ENS de forma verificable: autoevaluación para la categoría básica, y auditoría de certificación por una entidad acreditada para las categorías media y alta, con renovación periódica. El CCN publica los distintivos de conformidad del ENS.

El detalle del catálogo de medidas está en la página de medidas de seguridad del ENS (Anexo II), y el procedimiento de notificación en la página de notificación de incidentes.

Conformidad: autoevaluación frente a auditoría de certificación

La consecuencia principal de la categoría no es solo el alcance de las medidas, sino también cómo se acredita la conformidad con el ENS.

Categoría básica: autoevaluación

Los sistemas de categoría básica acreditan su conformidad mediante autoevaluación, documentando la aplicación de las medidas correspondientes. El CCN publica los distintivos de conformidad del ENS asociados.

Categorías media y alta: auditoría de certificación

Los sistemas de categoría media y alta requieren una auditoría de certificación realizada por una entidad de certificación acreditada, con renovación periódica. El nivel de exigencia de las medidas es mayor.

¿Es proveedor del sector público? El ENS también le alcanza

Aunque su organización no sea una entidad pública, si presta servicios al sector público y maneja su información o sus sistemas, el ENS le alcanza por la vía de la contratación.

Proveedor de una entidad pública

Cuando un sistema da soporte a un servicio público, los pliegos de contratación incorporan la exigencia de conformidad con el ENS. Esto se traduce, en la práctica, en:

  • · Cláusulas contractuales de seguridad alineadas con el ENS;
  • · Categorización de los sistemas que dan soporte al servicio;
  • · Aplicación proporcional de las medidas del Anexo II;
  • · Capacidad de acreditar la conformidad ante el órgano contratante.

Para una empresa que vende al sector público, una postura de seguridad informal deja de ser una opción viable.

Resumen: ruta de decisión

  1. 1. ¿Es mi organización una entidad del sector público?
    • Sí: está dentro del ámbito del ENS, pase al punto 3.
    • No: continúe.
  2. 2. ¿Presto servicios al sector público manejando su información o sus sistemas?
    • Sí: el ENS le alcanza por la vía de la contratación.
    • No: probablemente fuera del ámbito directo del ENS.
  3. 3. Categorice cada sistema (básica, media o alta) según el impacto en las cinco dimensiones de seguridad.
  4. 4. Aplique las medidas del Anexo II proporcionales a la categoría y prepare la documentación.
  5. 5. Acredite la conformidad: autoevaluación (básica) o auditoría de certificación (media y alta).
Deje que Reglyze haga este cruce por usted. El diagnóstico interactivo hace las preguntas adecuadas y devuelve su situación en 2 minutos, con la base normativa del ENS a la vista.

Preguntas frecuentes

¿Quién debe cumplir el Esquema Nacional de Seguridad?
El ENS (RD 311/2022) es de aplicación a todo el sector público en la protección de la información que maneja y los servicios que presta, y alcanza a los proveedores del sector privado en la medida en que prestan servicios a las entidades públicas. En ese caso, la conformidad con el ENS se exige por contrato y el proveedor debe categorizar los sistemas que dan soporte al servicio público y aplicar las medidas correspondientes.
¿Cómo se determina la categoría de un sistema (básica, media o alta)?
La categoría se obtiene del mayor nivel de impacto (bajo, medio o alto) entre las cinco dimensiones de seguridad. Si todas las dimensiones tienen impacto bajo, el sistema es de categoría básica; si al menos una alcanza impacto medio (y ninguna alto), es media; si al menos una alcanza impacto alto, es alta.
¿Qué son las cinco dimensiones de seguridad del ENS?
Son disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. El ENS valora el impacto que tendría un incidente sobre cada una para fijar la categoría del sistema y, con ella, el nivel de exigencia de las medidas del Anexo II.
¿Cómo se acredita la conformidad con el ENS?
Para la categoría básica, mediante autoevaluación; para las categorías media y alta, mediante una auditoría de certificación realizada por una entidad de certificación acreditada, con renovación periódica. El CCN publica los distintivos de conformidad del ENS.
¿Mi empresa, como proveedora, queda fuera del ENS?
No necesariamente. Si presta servicios a una entidad del sector público y maneja su información o sus sistemas, el ENS le alcanza en la parte que le corresponde. Los pliegos de contratación suelen exigir la conformidad con el ENS, de forma que la organización debe categorizar los sistemas que dan soporte al servicio público y aplicar las medidas del Anexo II.

Conozca su situación en 2 minutos

El diagnóstico de Reglyze hace las preguntas adecuadas (entidad pública o proveedor, sistemas, impacto en las dimensiones) y devuelve su situación con la base normativa del ENS. Sin tarjeta de crédito.