Login Probar gratis
Esquema Nacional de Seguridad (ENS): guía para administraciones y empresas

Esquema Nacional de Seguridad (ENS): guía para administraciones y empresas

por MataSpam Seguridad Empresarial

El Esquema Nacional de Seguridad (ENS) es el marco normativo que obliga a las administraciones públicas españolas —y a las empresas que trabajan con ellas— a proteger la información y los servicios digitales bajo unos requisitos mínimos comunes. Si tu organización gestiona datos del sector público o aspira a contratar con él, el cumplimiento ENS no es opcional: es la puerta de entrada. Regulado por el Real Decreto 311/2022, el esquema nacional de seguridad define categorías, medidas y un proceso de auditoría que puede acabar en una certificación ENS. Lo bueno: no es tan esotérico como parece. Lo malo: improvisar sale caro, y la Administración tiene memoria. Vamos a desmontarlo pieza a pieza, sin manual aburrido ni jerga de consultor que cobra por hora.

Qué es el ENS y a quién obliga realmente

El ENS en España nació con el Real Decreto 3/2010 y se actualizó por completo con el RD 311/2022, publicado en el BOE en mayo de 2022. Su objetivo es sencillo de enunciar: garantizar que cualquier sistema que maneje información del sector público cumpla unos mínimos de seguridad homogéneos.

Aquí viene el malentendido habitual. Mucha gente cree que el esquema nacional de seguridad solo afecta a ayuntamientos y ministerios. Falso. Obliga a toda la Administración, sí, pero también a cualquier empresa privada que preste servicios a entidades públicas. ¿Eres una agencia de desarrollo web que hospeda la sede electrónica de un ayuntamiento? Te toca. ¿Gestionas un CRM en la nube para una diputación? También.

El marco se apoya en el Centro Criptológico Nacional (CCN), dependiente del CNI, que publica las guías CCN-STIC y mantiene herramientas como PILAR (análisis de riesgos) y INES (informe del estado de seguridad). No es teoría: es un ecosistema vivo con documentación pública y gratuita.

  • Administraciones públicas: estatal, autonómica y local, sin excepción.
  • Sector privado: proveedores tecnológicos, hosting, SaaS y consultoras que tocan datos públicos.
  • Operadores de servicios: quien gestione infraestructura crítica conectada a lo público.

Las tres categorías de seguridad: básica, media y alta

No todos los sistemas necesitan el mismo blindaje. El ENS clasifica cada sistema según el impacto que tendría un incidente sobre cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. De ahí salen tres categorías.

CategoríaCuándo aplicaEjemplo típico
BásicaImpacto limitado de un incidenteWeb informativa municipal
MediaImpacto grave pero recuperableSede electrónica con trámites
AltaImpacto muy grave o irreparableSistemas de seguridad ciudadana

La categoría determina cuántas medidas de seguridad debes implantar. El RD 311/2022 las organiza en tres bloques: marco organizativo, marco operacional y medidas de protección. En total, decenas de controles que escalan en exigencia según subes de básica a alta.

Determinar la categoría no es un capricho. Se hace mediante un análisis de riesgos formal, y de ahí que herramientas como PILAR sean tan útiles. Categorizar a la baja para ahorrar trabajo es la receta perfecta para suspender la auditoría. La trazabilidad y la autenticidad, dos dimensiones que la gente olvida, son justo donde más pinchan las organizaciones improvisadas. Por cierto, si el problema es la avalancha de correo malicioso que satura a tu personal antes incluso de llegar a estos controles, un buen filtro contra suplantaciones reduce muchísimo la superficie de ataque humana.

Cómo conseguir la certificación ENS paso a paso

La certificación ENS es la prueba documental de que cumples. Para categorías media y alta es obligatoria una auditoría por una entidad de certificación acreditada por ENAC. Para categoría básica basta una autoevaluación, aunque muchas organizaciones certifican igual por credibilidad ante licitaciones.

  1. Categorización: clasifica cada sistema en básica, media o alta según el análisis de riesgos.
  2. Análisis de riesgos: usa PILAR u otra metodología (MAGERIT es la de referencia en España).
  3. Declaración de aplicabilidad: documenta qué medidas aplicas y por qué.
  4. Implantación: despliega los controles técnicos y organizativos pendientes.
  5. Auditoría: una entidad acreditada revisa evidencias y conformidad.
  6. Certificación y renovación: el certificado tiene validez limitada y exige auditorías periódicas de seguimiento.

El plazo real depende de tu punto de partida. Una organización que ya gestiona bien sus accesos y copias de seguridad puede certificar en pocos meses; una que parte de cero, según estimaciones del sector, necesita en torno a un año de trabajo serio. No es un trámite de tarde de viernes.

Un detalle que marca la diferencia: el ENS no vive aislado. Se solapa con el RGPD en materia de protección de datos y con la directiva NIS2 en ciberseguridad de sectores esenciales. Si abordas las tres normativas con una sola política de seguridad coherente, ahorras tiempo y dinero. Tratarlas por separado es duplicar esfuerzo y abrir grietas entre marcos.

Errores frecuentes que tumban una auditoría ENS

He visto caer auditorías por cosas absurdas. No por falta de firewalls carísimos, sino por descuidos de manual. Estos son los clásicos.

  • Documentación fantasma: tener la política de seguridad en un PDF que nadie ha leído ni aplica. El auditor pide evidencias, no buenas intenciones.
  • Gestión de accesos caótica: cuentas de personal que ya no trabaja allí, permisos de administrador repartidos como caramelos, sin revisión periódica.
  • Copias de seguridad sin probar: tener backups que nunca se han restaurado equivale a no tenerlos. La disponibilidad se demuestra, no se presume.
  • Proveedores fuera de control: subcontratar el hosting sin exigirle al proveedor que también cumpla ENS. La cadena de suministro es tan fuerte como su eslabón más flojo, y los dispositivos conectados mal gestionados son una puerta trasera habitual.
  • Trazabilidad inexistente: sin registros de actividad (logs) no puedes demostrar quién hizo qué y cuándo. Pilar fundamental que muchos descuidan.

La gestión de identidades merece párrafo aparte. Las contraseñas débiles y reutilizadas son el agujero por el que entra media España. El cumplimiento ENS exige autenticación robusta, y por algo: técnicas como el credential stuffing se aprovechan justo de esa pereza. Comprobar si tus cuentas corporativas están expuestas en Have I Been Pwned es gratis y te ahorra sustos. Y antes de abrir cualquier adjunto sospechoso, pasarlo por VirusTotal cuesta diez segundos.

Preguntas frecuentes

¿Es obligatorio el ENS para empresas privadas?

Sí, si prestas servicios a la Administración pública que impliquen tratar información o sistemas del sector público. Una empresa privada sin relación con lo público no está obligada, pero muchas lo adoptan como sello de calidad para competir en licitaciones.

¿Qué diferencia hay entre el ENS y el RGPD?

El RGPD protege datos personales y se centra en la privacidad de las personas. El ENS protege sistemas y servicios digitales del sector público en su conjunto. Se solapan en seguridad de la información, por lo que conviene gestionarlos de forma coordinada en una sola política.

¿Cuánto cuesta certificarse en ENS?

Depende de la categoría y del tamaño de la organización. El coste incluye consultoría de adecuación, herramientas y la auditoría de una entidad acreditada por ENAC. No hay tarifa oficial única, así que pide varios presupuestos y desconfía de cifras cerradas sin analizar tus sistemas.

¿Cada cuánto hay que renovar la certificación ENS?

El certificado tiene validez limitada y requiere auditorías de seguimiento periódicas más una renovación completa al vencer. No es un papel para enmarcar y olvidar: el cumplimiento se mantiene en el tiempo o se pierde.

¿Qué pasa si no cumplo el ENS siendo proveedor público?

Puedes quedar excluido de licitaciones, perder contratos vigentes y, en caso de incidente, enfrentarte a responsabilidades. La Administración exige con más rigor la conformidad ENS en los pliegos, así que ignorarlo te cierra puertas comerciales.

El siguiente paso

Descarga hoy mismo la guía CCN-STIC 883 (guía de implantación del ENS) desde la web del Centro Criptológico Nacional y haz una primera categorización de tus sistemas. Es gratis, está en español y te dirá en una tarde si estás cerca o lejos del cumplimiento. Si además gestionas la web o las apps de un cliente público y necesitas que la infraestructura nazca ya alineada con el ENS, conviene partir de un desarrollo profesional bien configurado en lugar de parchear después. Y si quieres seguir afilando tu seguridad digital, échale un ojo al resto de artículos del blog: hay material para rato.

ens esquema nacional seguridad ens españa cumplimiento ens certificación ens
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

BYOD: riesgos de seguridad de usar dispositivos personales en la empresa
Seguridad Empresarial

BYOD: riesgos de seguridad de usar dispositivos personales en la empresa

Concienciación en ciberseguridad para empleados: cómo formar a tu equipo
Seguridad Empresarial

Concienciación en ciberseguridad para empleados: cómo formar a tu equipo

Seguridad informática para pymes: guía esencial de protección
Seguridad Empresarial

Seguridad informática para pymes: guía esencial de protección

← Volver al blog