El Esquema Nacional de Seguridad (ENS) está regulado por el Real Decreto 311/2022, de 3 de mayo, y es el marco español obligatorio para el sector público y para los proveedores que le prestan servicios. Define tres categorías de seguridad (Básica, Media y Alta) asignadas en función de las dimensiones ACIDA (Autenticidad, Confidencialidad, Integridad, Disponibilidad, Trazabilidad). Exige la implementación de 73 medidas de seguridad del Anexo II, calibradas según categoría. La certificación es obligatoria para categoría Media y Alta y debe renovarse cada 2 años mediante auditoría externa por entidad acreditada por ENAC.
Es la mejor base para cumplir NIS2 desde el sector público o para una empresa privada que quiera diferenciarse en licitaciones. Cobertura aproximada: ~75% de NIS2 y ~70% de ISO 27001:2022.
Qué es el ENS (Real Decreto 311/2022)
El Esquema Nacional de Seguridad es el marco español que establece la política de seguridad de la información para el uso de medios electrónicos por las administraciones públicas y por las entidades privadas que les prestan servicios.
Está regulado por el Real Decreto 311/2022, de 3 de mayo, que actualizó el ENS anterior (RD 3/2010 y RD 951/2015). El nuevo ENS se alinea con el marco europeo (NIS2, eIDAS, RGPD) y refuerza obligaciones técnicas.
El ENS se complementa con las Guías CCN-STIC publicadas por el Centro Criptológico Nacional (CCN), que detallan la implementación técnica de cada medida.
¿A quién aplica el ENS?
Sector público (obligatorio)
- Administración General del Estado (ministerios, organismos)
- Administraciones autonómicas (Comunidades Autónomas)
- Administraciones locales (ayuntamientos, diputaciones, cabildos)
- Universidades públicas
- Entidades del sector público institucional (organismos autónomos, empresas públicas, fundaciones, consorcios)
- Corporaciones de derecho público en sus relaciones electrónicas con AAPP
Proveedores del sector público
Toda empresa privada que preste servicios al sector público mediante medios electrónicos debe cumplir el ENS en la parte aplicable a esos servicios. Esto incluye proveedores cloud (PaaS, IaaS, SaaS), MSP, consultoras tecnológicas, empresas de desarrollo de software para AAPP y proveedores de equipamiento o plataformas digitales.
En la práctica, el ENS se ha convertido en un prerrequisito de licitación: sin certificación adecuada al servicio, no se puede contratar con AAPP.
Sector privado (opcional, con beneficio comercial)
Aunque no es obligatorio para el sector privado puro, certificarse en ENS aporta diferenciación comercial en licitaciones privadas, marco completo de gestión alineado con normativa española y base sólida para NIS2 (cobertura ~75%).
Categorización: Básica, Media, Alta
El ENS asigna a cada sistema de información una categoría de seguridad basada en el impacto que tendría una pérdida de seguridad sobre la organización.
Las 5 dimensiones ACIDA
Cada sistema se evalúa en cinco dimensiones:
| Dimensión | Pregunta clave |
|---|---|
| A: Autenticidad | ¿Qué impacto tiene si la identidad de personas o sistemas no se garantiza? |
| C: Confidencialidad | ¿Qué impacto tiene si la información se divulga indebidamente? |
| I: Integridad | ¿Qué impacto tiene si la información se altera indebidamente? |
| D: Disponibilidad | ¿Qué impacto tiene si los servicios o datos no están disponibles? |
| T: Trazabilidad | ¿Qué impacto tiene si no se puede determinar quién hizo qué y cuándo? |
Cada dimensión recibe un nivel: Bajo, Medio o Alto, según el impacto que supondría su afectación.
Cómo determinar la categoría del sistema
La categoría del sistema corresponde al nivel más alto asignado en cualquiera de las 5 dimensiones:
- Categoría Básica: ninguna dimensión supera nivel Bajo.
- Categoría Media: al menos una dimensión es nivel Medio, pero ninguna alcanza nivel Alto.
- Categoría Alta: al menos una dimensión es nivel Alto.
Ejemplo práctico
Sistema de gestión de expedientes municipales:
- Autenticidad: Alto (firmas electrónicas vinculantes)
- Confidencialidad: Medio (datos personales, no sanitarios)
- Integridad: Alto (alteración invalidaría procedimientos)
- Disponibilidad: Medio
- Trazabilidad: Medio
→ Categoría del sistema: Alta (por A e I).
Las 73 medidas del Anexo II
El ENS estructura sus medidas en 3 grandes marcos:
Marco organizativo (4 medidas)
- org.1: Política de seguridad
- org.2: Normativa de seguridad
- org.3: Procedimientos de seguridad
- org.4: Proceso de autorización
Marco operacional (32 medidas)
- op.pl: Planificación (5 medidas)
- op.acc: Control de acceso (6 medidas)
- op.exp: Explotación (11 medidas)
- op.ext: Recursos externos (4 medidas)
- op.nub: Servicios en la nube (1 medida)
- op.cont: Continuidad (3 medidas)
- op.mon: Monitorización (2 medidas)
Marco de protección (37 medidas)
- mp.if: Protección de instalaciones e infraestructuras (7 medidas)
- mp.per: Personal (4 medidas)
- mp.eq: Equipos (4 medidas)
- mp.com: Protección de las comunicaciones (4 medidas)
- mp.si: Soporte de información (5 medidas)
- mp.sw: Software (2 medidas)
- mp.info: Información (6 medidas)
- mp.s: Servicios (5 medidas)
Tabla de medidas por categoría
| Categoría | Nº de medidas obligatorias | Profundidad |
|---|---|---|
| Básica | ~50 | Implementación esencial |
| Media | ~65 | Implementación reforzada |
| Alta | 73 | Implementación completa con controles adicionales |
La Declaración de Aplicabilidad ENS documenta qué medidas se aplican y a qué nivel para cada sistema.
Cómo obtener la certificación ENS
1. Categorización de sistemas
Determinar la categoría (Básica, Media, Alta) de cada sistema bajo alcance, mediante análisis de riesgos siguiendo metodología MAGERIT (recomendada por el CCN) u otra equivalente.
2. Política y normativa de seguridad
Aprobar formalmente política firmada por el responsable, normativa interna de uso aceptable, formación, gestión de cambios y procedimientos operativos detallados.
3. Análisis de riesgos
Análisis de riesgos formal con identificación de activos, amenazas, vulnerabilidades, probabilidad e impacto. Documentar tratamiento de riesgos.
4. Implementación de medidas
Aplicar las medidas del Anexo II según la categoría del sistema y documentar evidencias de implantación.
5. Declaración de Aplicabilidad
Documento formal que lista cada medida del Anexo II, su aplicabilidad al alcance, su estado de implementación y referencias a evidencias.
6. Auditoría interna
Auditoría interna realizada por personal independiente del que implantó las medidas. Identifica no conformidades antes de la auditoría externa.
7. Auditoría externa por entidad acreditada
Realizada por entidad de certificación acreditada por ENAC específicamente para ENS. Incluye revisión documental, verificación in situ de evidencias técnicas, entrevistas y pruebas técnicas cuando aplique.
Si la auditoría es satisfactoria, la entidad emite la declaración de conformidad (categoría Básica) o el certificado de conformidad (Media y Alta).
8. Registro y publicación
La organización debe publicar la declaración o certificación en su sede electrónica y, en el caso del sector público, registrarla en los sistemas oficiales del CCN.
9. Renovación bienal
El certificado ENS tiene validez de 2 años. La renovación exige nueva auditoría externa. No hay auditorías de vigilancia anuales como en ISO 27001.
Duración orientativa por categoría
| Categoría | Duración del proyecto inicial |
|---|---|
| Básica | 3-5 meses |
| Media | 5-8 meses |
| Alta | 8-14 meses |
La duración real depende de la madurez previa de la organización (si ya tienes ISO 27001:2022 partes con buena parte del trabajo hecho), del número de sistemas en alcance y del estado de las evidencias técnicas.
A esto hay que sumar inversiones técnicas según gaps (cifrado, MFA, monitorización, segregación, etc.) y la auditoría externa por entidad acreditada por ENAC, que se contrata con una tercera parte independiente (no con Secra) y cuyo precio depende de la entidad elegida y del alcance certificado.
Renovación bienal
La auditoría de renovación es algo más ligera que la inicial, el SGSI ya existe; lo que se verifica es el mantenimiento y mejora continua.
Para una valoración ajustada al alcance y categoría de tu organización, solicita una conversación inicial.
ENS y otras normas: ISO 27001, NIS2, RGPD
| Marco | Cobertura del ENS Alta |
|---|---|
| ISO 27001:2022 | ~70% |
| NIS2 (artículo 21) | ~75% |
| RGPD (artículo 32, medidas técnicas) | ~80% |
Estrategia de cumplimiento integrada
Si tienes obligaciones múltiples, no implementes cada marco por separado:
- Implanta ENS Alta como base más exigente para el sector público en España.
- Añade ISO 27001:2022 si necesitas certificación internacional reconocida.
- Cubre los gaps específicos NIS2 (notificación 24h/72h con CSIRT competente, cadena de suministro reforzada, formación del consejo).
- Mantén RGPD mediante el RAT y los procedimientos específicos AEPD.
Errores frecuentes en auditorías ENS
- Categorizar a la baja para reducir coste. La autoridad puede recategorizar y obligar a reauditar.
- No mantener la documentación viva. La política y procedimientos deben revisarse al menos anualmente.
- Olvidar el alcance correcto. Un sistema certificado debe incluir todas las dependencias críticas.
- No realizar pruebas técnicas. ENS Alta exige pentesting y monitorización efectivos, no solo documentados.
- Subcontratar sin trasladar el ENS al subcontratista. Si tu proveedor maneja datos del alcance, debe cumplir el ENS de la categoría correspondiente.
- Confundir cumplimiento con certificación. ENS es exigible aunque no estés certificado; la certificación es la prueba del cumplimiento.
Preguntas frecuentes
¿Es obligatoria la certificación ENS para todas las AAPP?
Sí, en categorías Media y Alta. En categoría Básica es declaración de conformidad (autodeclarada o atestada externamente, según la norma actualizada).
¿Qué pasa si soy proveedor privado y mi cliente AAPP me lo exige?
Debes cumplir el ENS en el alcance del servicio prestado. La certificación correspondiente al nivel exigido por el cliente es prerrequisito de licitación.
¿Cuánto dura la certificación ENS?
2 años. La renovación exige nueva auditoría externa por entidad acreditada.
¿Quién puede auditar ENS?
Únicamente entidades de certificación acreditadas por ENAC específicamente para ENS, con auditores que cumplan los requisitos del CCN.
¿ENS sustituye a ISO 27001?
No. Son marcos complementarios. El ENS es norma española obligatoria para sector público; ISO 27001 es estándar internacional voluntario. Una organización puede certificarse en ambos.
¿ENS cubre NIS2?
Cubre aproximadamente 75% de las obligaciones del artículo 21 de NIS2. Los gaps típicos: notificación armonizada UE 24h/72h, cadena de suministro reforzada, formación específica del consejo.
¿Qué relación tiene el ENS con el CCN?
El Centro Criptológico Nacional (CCN) es la autoridad técnica del ENS. Publica las Guías CCN-STIC que detallan la implementación de cada medida y opera el CCN-CERT (CSIRT del sector público).
Certifícate en ENS con Secra
En Secra acompañamos categorización, análisis de riesgos MAGERIT, implementación de las 73 medidas del Anexo II, auditorías técnicas e interna, y soporte hasta superar la auditoría externa por entidad acreditada.
→ Conoce nuestro servicio de certificación ENS
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.