Ámbito del ENS y categorización
La primera pregunta de toda organización es: ¿estoy dentro del ámbito del Esquema Nacional de Seguridad? El ENS se aplica al sector público y a los proveedores que le prestan servicios. Una vez dentro, cada sistema se categoriza como básica, media o alta según el impacto en las cinco dimensiones de seguridad. Esta página explica los criterios y muestra cómo el diagnóstico de Reglyze devuelve su situación en 2 minutos, con la base normativa.
Base: Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191), en vigor. La autoridad técnica es el Centro Criptológico Nacional (CCN).
El ENS alcanza a dos grandes grupos. El régimen de medidas del Anexo II es común a ambos; la diferencia está en cómo entra la obligación (por norma para el sector público, por contrato para sus proveedores).
El ENS es de aplicación a todo el sector público en la protección de la información que maneja y los servicios que presta. Cada entidad categoriza sus sistemas y aplica las medidas del Anexo II del RD 311/2022 de forma proporcional a esa categoría.
Real Decreto 311/2022, de 3 de mayo (ENS)
El ENS alcanza a los proveedores del sector privado en la medida en que prestan servicios a las entidades públicas. Los pliegos de contratación incorporan la exigencia de conformidad con el ENS, de modo que el proveedor categoriza los sistemas que dan soporte al servicio y aplica las medidas correspondientes.
Real Decreto 311/2022, de 3 de mayo (ENS)
La categoría se determina por el mayor nivel de impacto entre las cinco dimensiones de seguridad. Basta con que una dimensión alcance un nivel para arrastrar al sistema a la categoría correspondiente.
| Categoría | Impacto en las dimensiones | Exigencia |
|---|---|---|
| Básica | Todas las dimensiones con impacto bajo | Conjunto base de medidas del Anexo II |
| Media | Al menos una dimensión con impacto medio, ninguna alta | Medidas reforzadas |
| Alta | Al menos una dimensión con impacto alto | Medidas más exigentes |
Las cinco dimensiones de seguridad son disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. El ENS valora el impacto de un incidente sobre cada una para fijar la categoría y, con ella, el nivel de exigencia de las medidas del Anexo II.
La categorización mira al impacto sobre estas cinco dimensiones. Entenderlas ayuda a situar correctamente cada sistema.
Dimensiones
Niveles de impacto
Cada dimensión se valora con un nivel de impacto (bajo, medio o alto) según el perjuicio que causaría un incidente sobre el servicio, la organización o las personas. El nivel más alto entre las cinco dimensiones determina la categoría del sistema.
Una vez dentro del ámbito, las obligaciones son las mismas. Lo que varía con la categoría es el nivel de exigencia de cada medida y la forma de acreditar la conformidad.
1. Categorización de los sistemas
Determinar la categoría de seguridad de cada sistema (básica, media o alta) en función del impacto que tendría un incidente sobre las cinco dimensiones de seguridad: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. La categoría fija el nivel de exigencia del resto de obligaciones.
2. Aplicación de las medidas del Anexo II
Aplicar de forma proporcional a la categoría las 73 medidas del Anexo II del RD 311/2022, organizadas en tres marcos (organizativo, operacional y de protección). A mayor categoría, mayor exigencia en la medida.
3. Política de seguridad y declaración de aplicabilidad
Aprobar y mantener la política de seguridad de la información, la normativa y los procedimientos, así como la declaración de aplicabilidad que recoge las medidas seleccionadas y su justificación. La documentación se alinea con las guías CCN-STIC de la serie 800.
4. Conformidad con el ENS
Sostener la conformidad con el ENS de forma verificable: autoevaluación para la categoría básica, y auditoría de certificación por una entidad acreditada para las categorías media y alta, con renovación periódica. El CCN publica los distintivos de conformidad del ENS.
El detalle del catálogo de medidas está en la página de medidas de seguridad del ENS (Anexo II), y el procedimiento de notificación en la página de notificación de incidentes.
La consecuencia principal de la categoría no es solo el alcance de las medidas, sino también cómo se acredita la conformidad con el ENS.
Categoría básica: autoevaluación
Los sistemas de categoría básica acreditan su conformidad mediante autoevaluación, documentando la aplicación de las medidas correspondientes. El CCN publica los distintivos de conformidad del ENS asociados.
Categorías media y alta: auditoría de certificación
Los sistemas de categoría media y alta requieren una auditoría de certificación realizada por una entidad de certificación acreditada, con renovación periódica. El nivel de exigencia de las medidas es mayor.
Aunque su organización no sea una entidad pública, si presta servicios al sector público y maneja su información o sus sistemas, el ENS le alcanza por la vía de la contratación.
Proveedor de una entidad pública
Cuando un sistema da soporte a un servicio público, los pliegos de contratación incorporan la exigencia de conformidad con el ENS. Esto se traduce, en la práctica, en:
Para una empresa que vende al sector público, una postura de seguridad informal deja de ser una opción viable.
Medidas de seguridad del ENS
Las 73 medidas del Anexo II en tres marcos y la proporcionalidad por categoría.
Notificación de incidentes
Cómo notificar al CSIRT de referencia (INCIBE-CERT y CCN-CERT).
Ciberseguridad para MSP
Gestione varios clientes del ENS desde un único panel.
Preguntas frecuentes
Las dudas más habituales sobre el ENS y su implantación.