Esquema Nacional de Seguridad (ENS)
Cumplimiento normativo en España con estándares internacionales
El Esquema Nacional de Seguridad es el marco normativo de aplicación en España que establece los principios y requisitos que deben cumplir los sistemas de información utilizados por las Administraciones Públicas españolas y por las organizaciones que prestan servicios o gestionan información para ellas. Su finalidad es crear las condiciones necesarias para garantizar la confianza en el uso de los medios electrónicos, asegurando la protección de los sistemas, los datos, las comunicaciones y los servicios digitales.
El ENS está regulado por el Real Decreto 311/2022, de ámbito estrictamente nacional, aunque su enfoque se encuentra plenamente alineado con las directrices europeas de ciberseguridad y con los estándares internacionales de seguridad de la información. De este modo, permite a las organizaciones españolas cumplir con la normativa nacional sin quedar aisladas de los marcos globales de referencia.
Marco español alineado con Europa y los estándares internacionales
Aunque el ENS es una normativa exclusiva del Estado español, su estructura y principios se apoyan en modelos ampliamente reconocidos a nivel europeo e internacional. Comparte fundamentos con regulaciones como la Directiva NIS2 de la Unión Europea y con normas internacionales como la ISO/IEC 27001, referente mundial en Sistemas de Gestión de la Seguridad de la Información (SGSI).
Este alineamiento facilita que las organizaciones que cumplen con el ENS puedan integrar su sistema de seguridad con otros marcos regulatorios y normativos, reforzando su posicionamiento frente a clientes, organismos públicos y socios internacionales.
ENS e ISO/IEC 27001: una base común para la seguridad de la información
El ENS y la ISO/IEC 27001, norma de ámbito internacional, comparten una visión basada en la gestión del riesgo, la definición de controles de seguridad proporcionales y la mejora continua. Mientras que el ENS establece el marco obligatorio en España para el sector público y su ecosistema, ISO/IEC 27001 proporciona una metodología reconocida globalmente para gestionar la seguridad de la información.
Con ISOTools, las organizaciones pueden implantar el ENS siguiendo la lógica de un SGSI conforme a ISO/IEC 27001, logrando un sistema coherente que cumple con la normativa española y, al mismo tiempo, se alinea con los estándares internacionales de seguridad.
Correspondencia entre el ENS y la ISO/IEC 27001
La siguiente tabla refleja cómo los requisitos del Esquema Nacional de Seguridad, de aplicación en España, se corresponden con los apartados de la norma ISO/IEC 27001, reconocida internacionalmente:
| Requisitos del ENS (España) | ISO/IEC 27001 (Internacional) |
| Principios básicos de seguridad | 4.2 Creación del SGSI |
| Análisis y gestión de los riesgos | 4.2.1 Creación del SGSI |
| Reevaluación periódica | 4.2.3 Monitorización y revisión del SGSI |
| Mejora continua | Ciclo PDCA |
| Organización del proceso de seguridad | 5.1 Compromiso de la dirección |
| Gestión de personal | 5.2.2 Concienciación y formación |
| Control de accesos | Anexo A – Control de accesos |
| Seguridad física y ambiental | Anexo A – Seguridad física |
| Seguridad en adquisiciones | Anexo A – Proveedores |
| Gestión de incidentes | Anexo A – Incidentes de seguridad |
| Continuidad del servicio | Anexo A – Continuidad del negocio |
| Supervisión y revisión | 8.1 Mejora continua |
Esta correspondencia permite abordar el ENS con una visión global, facilitando la integración con otros estándares y reduciendo esfuerzos duplicados.
La alineación del ENS con estándares internacionales como ISO/IEC 27001 facilita su integración en un sistema de gestión de la seguridad de la información. Sin embargo, el cumplimiento efectivo del Esquema Nacional de Seguridad exige comprender en detalle cómo se articulan sus requisitos, responsabilidades y medidas de seguridad en la práctica.
A continuación, se recogen los aspectos clave del ENS actualizado, poniendo el foco en los elementos que impactan directamente en la organización, operación y protección de los sistemas de información.
Aspectos clave del Esquema Nacional de Seguridad actualizado
La entrada en vigor del Real Decreto 311/2022 ha supuesto una evolución relevante del Esquema Nacional de Seguridad, adaptándolo a un entorno digital caracterizado por una mayor interconexión de sistemas, un uso intensivo de servicios en la nube y un incremento constante de los riesgos de ciberseguridad.
El nuevo ENS refuerza el enfoque de gestión, clarifica responsabilidades y actualiza los requisitos técnicos y organizativos para garantizar un nivel de protección adecuado de los sistemas de información que prestan servicios al sector público.
Roles y responsabilidades en el marco del ENS
El Esquema Nacional de Seguridad establece un modelo claro de gobernanza de la seguridad de la información, definiendo cuatro roles fundamentales dentro de la organización: responsable de la información, responsable del servicio, responsable de la seguridad y responsable del sistema.
La incorporación expresa del responsable del sistema, que no figuraba como requisito obligatorio en versiones anteriores, permite una gestión más precisa de los activos tecnológicos y de su operación.
Asimismo, el ENS refuerza la separación de funciones, estableciendo que el responsable de seguridad debe ser distinto del responsable del sistema, salvo en situaciones excepcionales debidamente justificadas. Este principio contribuye a mejorar el control interno y la supervisión de la seguridad.
Requisitos mínimos y perfiles de cumplimiento en el ENS
El Esquema Nacional de Seguridad incorpora en su versión actualizada el concepto de perfil de cumplimiento específico, una figura definida por el Centro Criptológico Nacional que permite adaptar la aplicación de los requisitos del ENS a determinados tipos de organizaciones.
Este enfoque busca facilitar una adecuación más eficiente al marco normativo, especialmente en entidades con menor tamaño, menor complejidad tecnológica o recursos limitados, sin comprometer los principios esenciales de la seguridad de la información.
En cualquier caso, el ENS mantiene íntegramente su conjunto de requisitos mínimos, que continúan siendo de obligado cumplimiento. La actualización introduce ajustes relevantes en algunos de ellos, con el objetivo de alinearlos con los nuevos modelos de prestación de servicios, la interconexión de sistemas y el marco regulatorio vigente.
- Organización e implantación del proceso de seguridad
En entornos donde los servicios o sistemas de información están total o parcialmente externalizados, el ENS refuerza la gobernanza de la seguridad mediante la incorporación de la figura del punto o persona de contacto en materia de seguridad (POC).
Este rol actúa como enlace entre la organización y el proveedor, supervisando el cumplimiento de los requisitos de seguridad del servicio, coordinando las comunicaciones relacionadas con la seguridad de la información y gestionando la notificación y seguimiento de los incidentes que afecten al ámbito del servicio prestado. - Principio de mínimo privilegio
La actualización del ENS refuerza el principio de mínimo privilegio, evolucionando el concepto tradicional de “seguridad por defecto” hacia una configuración explícita de los sistemas basada en accesos estrictamente necesarios.
Este enfoque exige que los permisos y privilegios se asignen en función de las competencias reales de cada usuario, proceso o servicio, reduciendo la superficie de exposición y limitando el impacto potencial de accesos no autorizados o incidentes de seguridad. - Protección en entornos interconectados
El ENS refuerza los requisitos relacionados con la protección frente a otros sistemas de información interconectados, incorporando referencias al marco normativo vigente en materia de telecomunicaciones. En este contexto, se alinea con la Ley General de Telecomunicaciones (Ley 9/2014), subrayando la necesidad de garantizar la seguridad de las comunicaciones, las interconexiones y los servicios que dependen de infraestructuras compartidas. - Gestión de incidentes de seguridad
En materia de incidentes de seguridad, el ENS introduce una mayor coherencia con el marco nacional de protección de redes y sistemas de información. En el caso de organizaciones consideradas operadores críticos, se establece la obligación de tener en cuenta lo dispuesto en el Real Decreto 43/2021, que desarrolla el Real Decreto-ley 12/2018, relativo a la seguridad de las redes y sistemas de información.
Este alineamiento refuerza la coordinación entre los distintos marcos regulatorios y garantiza una respuesta estructurada y coherente ante incidentes con impacto significativo.
Prevención, detección y respuesta ante incidentes de seguridad
El ENS actualizado amplía y concreta las obligaciones relativas a la gestión de incidentes de seguridad. En el ámbito del sector público, se establece la necesidad de comunicar los incidentes con impacto significativo al Centro Criptológico Nacional, que actúa como organismo coordinador.
En el caso de organizaciones privadas que prestan servicios a entidades públicas, la notificación debe realizarse ante INCIBE-CERT, reforzando así la coordinación público-privada en materia de ciberseguridad.
Este enfoque contribuye a mejorar la capacidad de respuesta ante incidentes y a fortalecer la confianza en el uso de los servicios digitales.
Evaluación de la conformidad y auditoría del ENS
El marco de evaluación del cumplimiento del Esquema Nacional de Seguridad distingue los mecanismos de verificación en función del nivel de seguridad del sistema. Para los niveles medio y alto, el ENS exige la realización de una auditoría formal, mientras que en el nivel bajo se permite la autoevaluación, siempre conforme a los criterios establecidos. Esta diferenciación facilita la aplicación de un enfoque proporcional, alineado con el impacto y la criticidad de los sistemas de información.
Categorización de los sistemas de información
El proceso de categorización de los sistemas de información adquiere un papel central en el ENS. La normativa establece que la valoración de los impactos corresponde al responsable de la información o del servicio, mientras que la aprobación de la categoría recae en el responsable de seguridad.
Esta asignación de responsabilidades garantiza una evaluación objetiva y coherente de los riesgos y permite aplicar las medidas de seguridad adecuadas en cada caso.
Actualización de las medidas de seguridad
El Anexo II del Esquema Nacional de Seguridad revisa y reorganiza las medidas de seguridad, ajustando su aplicación según el nivel de categorización del sistema. La actualización pone especial énfasis en ámbitos clave como la protección de la cadena de suministro, los servicios en la nube, la interconexión de sistemas, la monitorización continua y la continuidad del servicio.
Más allá de los cambios en los controles, el enfoque del ENS se orienta a mejorar la eficacia operativa de las medidas y a facilitar su implantación progresiva, permitiendo a las organizaciones avanzar hacia mayores niveles de madurez en ciberseguridad.
Marco operacional del Anexo II: evolución de las medidas de seguridad
La actualización del Esquema Nacional de Seguridad introduce ajustes relevantes en el marco operacional del Anexo II, con el objetivo de reforzar la protección de los sistemas de información desde una perspectiva operativa y adaptada a los nuevos entornos tecnológicos.
En el ámbito de la planificación, el ENS amplía la aplicación de determinadas medidas a sistemas categorizados en nivel bajo, incorporando requisitos relacionados con el dimensionamiento y la gestión de la capacidad. Asimismo, se refuerza la exigencia de utilizar componentes certificados en sistemas de mayor criticidad, consolidando un enfoque preventivo desde la fase de diseño.
En materia de control de acceso, el marco operacional evoluciona hacia una gestión más precisa de los mecanismos de autenticación. El ENS distingue entre accesos de usuarios internos y externos, adaptando los controles a cada contexto y simplificando el modelo anterior, lo que permite una administración más coherente de los accesos y reduce la complejidad operativa.
Respecto a la explotación de los sistemas, la actualización reorganiza determinados controles y amplía la aplicación de medidas clave, como la gestión de la configuración y la gestión de incidentes, a sistemas de menor nivel de categorización. Este cambio refuerza la necesidad de disponer de procedimientos operativos documentados desde las fases iniciales del sistema.
El ENS también introduce cambios relevantes en la gestión de recursos externos, poniendo el foco en la protección de la cadena de suministro y en la interconexión de sistemas. Estos aspectos adquieren especial relevancia en entornos donde los servicios dependen de terceros o se integran con múltiples plataformas, reforzando la necesidad de evaluar y controlar los riesgos asociados.
En relación con los servicios en la nube, el marco operacional incorpora por primera vez medidas específicas orientadas a garantizar la protección de estos entornos desde niveles básicos de categorización. Este enfoque refleja la consolidación del uso del cloud en el sector público y en sus proveedores, y la necesidad de integrar su seguridad dentro del sistema de gestión.
La continuidad del servicio se mantiene como un pilar esencial del ENS, incorporando ajustes que refuerzan la preparación ante incidentes y la disponibilidad de medios alternativos, en coherencia con los requisitos de resiliencia operativa.
Por último, el ENS refuerza la monitorización del sistema, extendiendo la aplicación de medidas de vigilancia a sistemas de menor criticidad. Este cambio impulsa una supervisión más temprana y continua, permitiendo detectar anomalías y responder de forma proactiva ante posibles incidentes de seguridad.
Medidas de protección del Anexo II: refuerzo de la seguridad técnica y organizativa
El Esquema Nacional de Seguridad actualiza las medidas de protección del Anexo II con el objetivo de adecuarlas a los riesgos actuales y a los modelos tecnológicos predominantes. La revisión mantiene la estructura general del marco anterior, pero introduce ajustes relevantes orientados a reforzar la protección efectiva de los activos, la información y los servicios.
En el ámbito de la protección de las instalaciones, el ENS simplifica el conjunto de controles, eliminando determinadas medidas que pierden relevancia en el contexto actual. Este enfoque permite concentrar los esfuerzos en la protección real de las infraestructuras críticas, alineando las medidas físicas con el nivel de riesgo del sistema.
En cuanto a la gestión del personal, la actualización del ENS reorganiza los controles asociados, reforzando la importancia de una asignación clara de responsabilidades, la concienciación en seguridad y la gestión adecuada de los accesos, sin recurrir a figuras alternativas que no aportan valor operativo adicional.
La protección de los equipos adquiere mayor relevancia en entornos cada vez más distribuidos. El ENS incorpora medidas específicas para la gestión de otros dispositivos conectados a la red, aplicables desde niveles básicos de categorización, reconociendo la proliferación de dispositivos que interactúan con los sistemas de información y la necesidad de controlarlos adecuadamente.
En relación con la protección de las comunicaciones, el marco refuerza la exigencia de garantizar la confidencialidad de la información desde los niveles más bajos de categorización. Este cambio subraya la importancia de proteger las comunicaciones frente a accesos no autorizados, independientemente de la criticidad inicial del sistema.
Las medidas relativas a la protección de los soportes de información y a la seguridad de las aplicaciones informáticas se mantienen, en términos generales, sin modificaciones sustanciales. No obstante, su correcta aplicación sigue siendo esencial para preservar la integridad, disponibilidad y confidencialidad de la información tratada.
En el ámbito de la protección de la información, el ENS ajusta la aplicación de determinadas medidas en función del nivel de categorización del sistema, reforzando la importancia de la clasificación de la información como elemento previo para la aplicación de controles adecuados. Este enfoque permite adaptar las medidas de protección al valor y sensibilidad de la información gestionada.
Por último, la protección de los servicios se ve reforzada mediante la incorporación de nuevas medidas orientadas a garantizar un uso seguro de los entornos digitales, como la protección de la navegación web, aplicable desde niveles básicos. Este refuerzo responde a la necesidad de mitigar riesgos asociados al acceso a servicios externos y al uso cotidiano de recursos en línea.
Transición al nuevo Esquema Nacional de Seguridad
Las organizaciones que ya estaban adaptadas al ENS conforme al Real Decreto 3/2010 disponen de un plazo de transición de 24 meses para adecuarse al nuevo marco normativo. Abordar este proceso de forma planificada permite integrar los nuevos requisitos sin impactos innecesarios y aprovechar la transición para fortalecer el sistema de gestión de la seguridad de la información.
La correcta aplicación de estos requisitos, medidas operativas y controles de protección requiere una gestión estructurada, trazable y alineada con el riesgo. Abordar el ENS como un conjunto de controles aislados dificulta su mantenimiento y evolución en el tiempo.
ISOTools permite implantar y gestionar el Esquema Nacional de Seguridad como un sistema integrado, alineado con normas internacionales y preparado para responder a un entorno regulatorio cada vez más exigente.
ISOTools: cumplimiento del ENS en España con visión europea e internacional
ISOTools ofrece a las entidades públicas españolas y a sus proveedores una solución tecnológica diseñada para cumplir con el Esquema Nacional de Seguridad, integrándolo con normas ISO de reconocimiento internacional como ISO/IEC 27001, ISO 22301 o ISO 31000.
Gracias a esta aproximación, las organizaciones cumplen con la normativa nacional y construyen un sistema de seguridad sólido, escalable y alineado con las mejores prácticas europeas e internacionales.
Seguridad y confianza digital en el marco regulatorio español
El Esquema Nacional de Seguridad es hoy un elemento clave de la estrategia nacional de ciberseguridad en España, y una pieza fundamental para garantizar la confianza digital entre administraciones, empresas y ciudadanía.
Con ISOTools, el ENS deja de ser una obligación aislada para convertirse en un sistema de gestión integrado, preparado para evolucionar en un entorno regulatorio cada vez más exigente, tanto a nivel español como europeo e internacional.
Últimas noticias sobre el Esquema Nacional de Seguridad
- Esquema Nacional de Seguridad. Importancia para las organizaciones y principales requerimientos
- 5 claves para dar cumplimiento al Esquema Nacional de Seguridad
- Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
- Esquema Nacional de Seguridad (ENS): cómo certificarse
- Los beneficios de implementar el esquema nacional de seguridad
- Esquema Nacional de Seguridad. Qué es y cómo puede ayudar a la Seguridad Informática de tu organización
- Esquema Nacional de Seguridad ENS 27001