Esquema Nacional de Seguridad
Real Decreto 311/2022

El Esquema Nacional de Seguridad, también conocido como ENS, es un esquema establecido por el Centro Criptológico Nacional (CCN) para la protección adecuada de la información en el uso de medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de las administraciones públicas.

La nueva versión del ENS está regulada por el Real Decreto 311/2022, de 3 de mayo, donde incorpora una serie de actualizaciones en base a la evolución tecnológica. Una de las novedades importantes del ENS es el ámbito de aplicación.

Se detalla que el ámbito de aplicación del ENS es de todo sector público, independientemente de su tamaño, es decir, todas las administraciones y organismos públicos tienen que cumplir con el Esquema Nacional de Seguridad.

También es aplicable a todas las empresas que presten servicios relacionados con las Tecnologías de la Información y la Comunicación (TIC) a las administraciones públicas.

Como novedad destaca el nuevo sistema de codificación de medidas, es decir, ahora se establecen unos requisitos base para las medidas y luego a esos requisitos, se suman una serie de refuerzos incrementándose entre sí, pudiéndose, a veces, elegir entre qué refuerzos a aplicar.

Consciente de la necesidad de dar publicidad a las garantías adoptadas en el desenvolvimiento de las Administraciones Públicas y el desarrollo del procedimiento administrativo prestado por medios electrónicos, el Artículo 38 del ENS relativo a la publicación de conformidad señala: “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”. Según la categoría del sistema se distingue entre Declaración de conformidad y Certificación de conformidad, recogidos en la Guía 809 (Declaración y Certificación de Conformidad con el ENS):

Objetivos

El ENS, en base al establecimiento y desarrollo de unos principios básicos y unos requisitos mínimos, proporciona a las organizaciones que dispongan de sus sistemas de información conformes a sus disposiciones y gestionados en el ejercicio de sus competencias, una protección adecuada de los servicios prestados y de la información tratada por éstos, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios apoyados directa o indirectamente en medios electrónicos.

Tanto para las organizaciones del sector público como para las pertenecientes al sector privado que les aportan soluciones o les prestan servicios competenciales, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.

Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.

El Esquema Nacional de Seguridad, tal y como está recogido en su art. 2, resulta de aplicación a las entidades del sector público, a las entidades del sector privado que les presten servicios competenciales y, en general, a la cadena de suministro de estas últimas, en la medida que un análisis de riesgos previo así lo determine.

Además, hay que recordar que las medidas del ENS son asimismo de aplicación para aquellas entidades que determina la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantías de los derechos digitales, cuando se realicen tratamientos de datos personales.

Por último, el ENS también es de aplicación a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas que asimismo están sujetos a la Ley 9/1968, de 5 de abril, de Secretos Oficiales (LSO), y las derivadas de los compromisos internacionales contraídos por España, o consecuencia de su pertenencia a organismos o foros internacionales.

Mejoras facilitadas por el ENS 

La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y organizaciones como para los individuos y las Administraciones Públicas.

En España, el nuevo Esquema Nacional de Seguridad (ENS 2.0) es el marco normativo que establece los requisitos de seguridad que garantizan la aplicación de las medidas necesarias y adecuadas para proteger los sistemas digitales de información, las soluciones y los procesos de gestión de los datos que manejan las Administraciones Públicas y las empresas que les prestan servicios que supongan riesgos para estos datos.

La certificación ENS se convierte así en un requisito cada vez más importante para las empresas que prestan servicios de Ciberseguridad y Cloud, recibiendo por ella un reconocimiento independiente y normativo de su compromiso con la seguridad y la protección de los datos de sus clientes. Valida así los modelos de gestión en materia de Ciberseguridad, incluyendo la prevención, detección y respuesta y su estrategia de gestionar proactivamente los incidentes de seguridad de estas.

Además, la certificación del nuevo Esquema Nacional de Seguridad crea las condiciones de confianza que necesitan hoy en día empresas, organizaciones y Administraciones Públicas, y también los ciudadanos, para estar presentes y operar en el ámbito digital en un entorno que cuenta con medidas y controles comunes que, en su conjunto, implican además una mayor protección para la Ciberseguridad nacional.

Los diferentes niveles de configuración de un Sistema de Gestión de Seguridad de la Información conforme a los requisitos del ENS (bajo - medio - alto) permiten a las organizaciones adaptar las medidas de forma proporcional al nivel de seguridad requerido por su configuración. De forma adicional tener certificado el ENS es un requisito para los proveedores de servicios de TI y similares para prestar servicios y proyectos a entidades públicas en España.

La certificación ENS otorga a las compañías confianza, seguridad y tranquilidad en cuanto al manejo de la información, ya que está orientado en fortalecer los sistemas de manera que puedan resistir ataques ilícitos o malintencionados, así como accidentes que puedan comprometer la confidencialidad e integridad de los datos almacenados y de los servicios relacionados.

Proceso de Adecuación con el ENS 

La Certificación y Conformidad con el ENS conlleva la elaboración previa de un Plan de Adecuación que incluya las cuatro fases previas siguientes: Política de Seguridad, Categorización de sistemas, Análisis de Riesgos y Declaración de Aplicabilidad/Perfil de Cumplimiento.

 1. Plan de adecuación
Es un documento con la siguiente información: el alcance de los sistemas que se van a someter al proceso de certificación en el ENS, la categoría los mismos, qué medidas del Anexo II se van a implementar (Declaración de Aplicabilidad), qué riesgos se asumen, la Política de Seguridad del Organismo con su organización de la seguridad...

 2. Implantación de la seguridad
Una vez realizado el Plan de Adecuación, se pasa a la fase de implantación de la Seguridad. Esta fase consta de los siguientes pasos:

  • Hoja de ruta: documentos a elaborar, medidas técnicas a implementar y definir las prioridades.
  • Elaborar el Marco Normativo y la Implantación de la seguridad.
  • Aprobar el Sistema de Gestión de la Seguridad de la Información.

3. Declaración / Certificación de Conformidad
La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS se determinará según dos procedimientos distintos según se trate de categoría MEDIA y ALTA o BÁSICA:

  • Categorías MEDIA o ALTA: La conformidad de los sistemas de información con estas categorías se realizará mediante una auditoría formal que verifique los requerimientos contemplados en el ENS, al menos cada dos años, o con carácter extraordinario si se producen modificaciones significativas.
  • Categoría BÁSICA: La conformidad de los sistemas de información en esta categoría requiere de una autoevaluación que verifique su cumplimiento al menos cada dos años o, con carácter extraordinario si se producen modificaciones significativas. Este requisito para la conformidad no impide que un sistema de categoría BÁSICA se someta a una auditoría formal.

4. Informar sobre el Estado de Seguridad. Métricas e Indicadores.
Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el Estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad):

5. Vigilancia y Mejora Continua
La gestión de la seguridad de la información es un proceso sujeto a cambios constantes que pueden proceder de cambios en la organización, amenazas, tecnologías y/o legislación y por ello es necesaria una mejora continua de nuestros sistemas. 
Esta actualización continua conllevará entre otras acciones:

  • Revisión de la Política de Seguridad de la Información
  • Revisión de la información y los servicios, y su categorización
  • Actualización del análisis de riesgos, al menos anualmente
  • Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento Realización de auditorías internas
  • Revisión del Plan de Mejora
  • Revisión de las medidas de seguridad
  • Revisión y actualización de procedimientos
  • Revisión del Estado de Seguridad (INÉS)

6. Procesos de adecuación para Entidades Locales
La Federación Española de Municipios y Provincias (FEMP), con la colaboración del Centro Criptológico Nacional, ha hecho público el Libro de recomendaciones: Itinerario de adecuación al Esquema Nacional de Seguridad (ENS) en el que se hace una descripción de las pautas, requisitos y pasos a seguir para conseguir definir una hoja de ruta personalizada para la adecuación al ENS de las entidades locales.

7. Catálogo de Productos Cualificados
Son productos adecuados para su uso en sistemas bajo el alcance del ENS en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA). La calificación de un producto en una categoría permite su uso en las categorías inferiores.

Medidas de seguridad del ENS 

Principios Básicos (7)

los principios básicos que rigen el ENS son: la seguridad integral, la gestión de la seguridad basada en los riesgos, la prevención, detección, respuesta y conservación; la existencia de líneas de defensa; la vigilancia continua y reevaluación periódica y, finalmente, la diferenciación de responsabilidades según los diferentes perfiles dentro de la organización.

Requisitos mínimos (15)

En los requisitos mínimos se refuerza la importancia de la política de seguridad y el requisito mínimo ‘Seguridad por defecto’ que pasa a denominarse ‘Mínimo privilegio’, e incluye la organización e implantación del proceso de seguridad; el análisis y la gestión de riesgos; la gestión de personal; la profesionalidad; la autorización y control de los accesos; la protección de las instalaciones; la adquisición de productos de seguridad y contratación de servicios de seguridad; la norma del mínimo privilegio; la integridad y actualización del sistema; la protección de la información almacenada y en tránsito; la prevención ante otros sistemas de información interconectados; el registro de la actividad y la detección de código dañino; la gestión de los incidentes de seguridad; velar por la continuidad de la actividad y la mejora continua del proceso de seguridad.

Medidas de Protección (40)

Las medidas de seguridad que se determinan en el anexo II del RD 311/2022, de 3 de mayo, son un conjunto de disposiciones encaminadas a proteger al sistema de información de los riesgos a los que estuviere sometido, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, protección, detección y reacción, disuasión o recuperación. Asimismo, aplicando las que correspondan de dichas medidas de seguridad, se logra el cumplimiento de los principios básicos y requisitos mínimos establecidos en el ENS. Dichas medidas serán proporcionales a las dimensiones de seguridad relevantes para el sistema a proteger y a la categoría de este. Cada medida de seguridad se puede llegar a segregar en dos (2) tipos de requisitos: requisitos base y requisitos de refuerzo; estos últimos, si se dan para determinada medida, pueden ser obligatorios o discrecionales.

Principios básicos 

Los principios básicos a tener en cuenta para garantizar que una organización puede cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información:

  1. La seguridad como un proceso integral.
  2. Gestión de la seguridad basada en los riesgos.
  3. Prevención, detección, respuesta y conservación.
  4. Existencia de líneas de defensa.
  5. Vigilancia continua.
  6. Reevaluación periódica.
  7. Diferenciación de responsabilidades.

Requisitos mínimos 

Los requisitos mínimos para permitir una protección adecuada de la información y los servicios son:

  1. Organización e implantación del proceso de seguridad.
  2. Análisis y gestión de los riesgos.
  3. Gestión de personal.
  4. Profesionalidad.
  5. Autorización y control de los accesos.
  6. Protección de las instalaciones.
  7. Adquisición de productos de seguridad y contratación de servicios de seguridad.
  8. Mínimo privilegio.
  9. Integridad y actualización del sistema.
  10. Protección de la información almacenada y en tránsito.
  11. Prevención ante otros sistemas de información interconectados.
  12. Registro de la actividad y detección de código dañino.
  13. Incidentes de seguridad.
  14. Continuidad de la actividad.
  15. Mejora continua del proceso de seguridad.

Nuestro servicio

Diseño e implantación

Elaboración y soporte en el desarrollo de todos los elementos y componentes necesarios, como el análiis de riesgos, políticas, procesos, procedimientos, etc. y soporte en la implantación de estos, conforme a los criterios establecidos por el Esquema Nacional de Seguridad. 

Solución SIGE

Parametrización e incorporación de todos los elementos del sistema de gestión en nuestra solución SIGE, pilar fundamental de nuestro servicio, sin que esto suponga coste adicional alguno.

Formación

Formación y capacitación en gestión de la información, conforme al Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 y en el manejo y control de la herramienta SIGE. 

Auditoría y soporte

Nos encargaremos de realizar el proceso de auditoría interna de su sistema de gestión de cara a aobtener las evidencias que permitan que afronte el proceso de certificación por parte de la entidad que haya sido seleccionada y prestaremos soporte en la auditoría que dicha entidad realizará, requerida para la obtención de la certificación.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.