El Esquema Nacional de Seguridad ya aparece en muchas licitaciones y contratos con la Administración pública. Para las empresas proveedoras, entender qué exige y cómo se acredita su cumplimiento evita errores de enfoque y ayuda a preparar mejor su participación en procesos de contratación pública.
Regulado por el Real Decreto 311/2022, de 3 de mayo, el ENS establece las condiciones que deben cumplir los sistemas de información vinculados al sector público para proteger datos, servicios digitales y comunicaciones.
No es una certificación
genérica de ciberseguridad. El ENS se aplica sobre sistemas de información
concretos, con un alcance definido, una categoría asignada y unas medidas de
seguridad asociadas.
¿Qué es el ENS?
El Esquema Nacional de Seguridad es el marco que fija los principios, requisitos y medidas que deben aplicar los sistemas de información incluidos en su alcance.
.png?access_token=d341d537-26ac-4fbf-9c0b-139501623db0)
Cuando el ENS habla de sistemas de información, se refiere al conjunto de elementos que permiten tratar información o prestar un servicio digital: aplicaciones, bases de datos, equipos, redes, servicios cloud, usuarios, procesos, medidas de seguridad, proveedores y personas con responsabilidades sobre ese servicio.
Su finalidad es garantizar una protección adecuada de la información tratada y de los servicios prestados por medios electrónicos. Para ello, el ENS trabaja sobre dimensiones como la disponibilidad, la autenticidad, la integridad, la confidencialidad, la trazabilidad y la conservación de la información.
Dicho de forma sencilla, el ENS ordena cómo debe gestionarse la seguridad del conjunto de medios que sostiene un servicio vinculado al sector público. Define responsabilidades, exige analizar riesgos, establece medidas de protección y obliga a conservar evidencias del cumplimiento.
No se limita a pedir documentos. También exige que la seguridad forme parte de la gestión diaria: quién toma decisiones, qué información se protege, qué controles se aplican, cómo se gestionan los accesos, cómo se registran las actividades, cómo se responde ante incidentes y cómo se revisa el sistema con el paso del tiempo.
¿A quién afecta?
El ENS se aplica a los sistemas de información de todo el sector público: administraciones, organismos públicos y entidades vinculadas o dependientes.
También afecta a entidades privadas cuando prestan servicios o proveen soluciones a entidades del sector público mediante una relación contractual, siempre que esos servicios se apoyen en sistemas de información incluidos en el alcance.
El criterio no es el sector de la empresa. El criterio es el servicio prestado, la información tratada, los sistemas que intervienen y la relación de esos sistemas con la entidad pública.
Por ejemplo, no es lo mismo vender material de oficina a una administración que gestionar una plataforma de inscripción a cursos, custodiar expedientes digitalizados o prestar soporte sobre una aplicación administrativa. En el primer caso, el ENS no tendría por qué entrar en juego sobre los sistemas del proveedor. En los otros casos, sí debe revisarse con detalle.
La cadena de suministro también importa. Si una empresa subcontrata servicios que afectan al sistema de información incluido en el alcance, esos terceros deben tenerse en cuenta en el análisis de riesgos y en las medidas de seguridad aplicables.
¿Qué protege el ENS?
El ENS protege la información y los servicios prestados por medios electrónicos dentro del alcance definido para cada sistema de información. Ese alcance no se fija de forma genérica para todas las organizaciones: debe concretarse en cada caso, atendiendo al servicio prestado, la información tratada, los medios que lo sostienen, las dependencias con terceros y las obligaciones recogidas en el contrato o la licitación.
Para ordenar esa protección, la norma trabaja con varias dimensiones de seguridad:
Estas dimensiones sirven para valorar el impacto de un incidente y determinar la categoría del sistema de información. No todos los servicios tienen las mismas necesidades: un portal informativo, una sede electrónica, una plataforma que gestiona expedientes o un entorno que soporta servicios esenciales no presentan el mismo nivel de riesgo ni requieren el mismo grado de protección.
Categorías de los sistemas de información
El ENS clasifica los sistemas de información en tres categorías:
- Básica
- Media
- Alta
Esta categoría se determina según el impacto que tendría un incidente de seguridad sobre la información tratada o sobre los servicios prestados.
La categoría del sistema
condiciona las medidas de seguridad aplicables y el modo de acreditar la
conformidad. Por eso, antes de pensar en la certificación, la organización debe
identificar bien el alcance del sistema, la información que trata, los servicios
que presta y los riesgos asociados.
Principios y requisitos del ENS
El ENS parte de una idea sencilla: la seguridad debe gestionarse durante todo el ciclo de vida del sistema de información. Esto significa que la seguridad debe estar presente desde el diseño, durante la implantación, en la operación diaria, en la gestión de cambios, en el mantenimiento y en la retirada del sistema cuando llegue el momento.
La norma recoge principios básicos como la seguridad integral, la gestión de riesgos, la prevención, la detección, la respuesta, la recuperación, la existencia de líneas de defensa, la reevaluación periódica y la diferenciación de responsabilidades.
En la práctica, esto se traduce en medidas organizativas, operacionales y técnicas.
- Medidas organizativas: ordenan la gobernanza de la seguridad. Incluyen la política de seguridad, la asignación de responsabilidades, la categorización del sistema, el análisis de riesgos, la declaración de aplicabilidad y la documentación necesaria para sostener el cumplimiento.
- Medidas operacionales: regulan cómo se gestiona el sistema de información en el día a día. Incluyen aspectos como control de accesos, gestión de personal, explotación segura, monitorización, gestión de cambios, copias de seguridad, continuidad, registro de actividad, respuesta ante incidentes y gestión de proveedores.
- Medidas técnicas: se centran en la protección directa de aplicaciones, comunicaciones, equipos, soportes, infraestructuras, servicios y datos. Incluyen controles relacionados con identificación, autenticación, protección de comunicaciones, protección de información almacenada, configuración segura y mecanismos de detección.
El ENS no exige aplicar las mismas medidas con la misma intensidad a todos los sistemas de información. Las medidas se ajustan según la categoría y el resultado del análisis de riesgos.
Declaración y certificación de conformidad
Una de las dudas más habituales en las empresas es si necesitan una declaración de conformidad o una certificación. La respuesta depende de la categoría del sistema de información.
Los sistemas de categoría básica acreditan la conformidad mediante una declaración de conformidad basada en una autoevaluación. Los sistemas de categoría media o alta requieren una auditoría formal por una entidad certificadora y un certificado de conformidad.
Esto no significa que la categoría básica sea irrelevante. La organización sigue teniendo que aplicar las medidas correspondientes, documentar el cumplimiento y mantener el sistema bajo control.
En ambos casos, el punto crítico es el alcance. Una certificación ENS no cubre automáticamente toda la empresa. Cubre los sistemas, servicios e información incluidos en el alcance evaluado. Por eso, una definición imprecisa del alcance genera problemas en la auditoría, en la contratación pública y en la gestión posterior.
Cómo debe abordar el ENS una empresa
- El primer paso consiste en revisar si el ENS aplica al servicio prestado. Para ello, la empresa debe analizar contratos, pliegos, servicios, sistemas de información implicados, información tratada, accesos, proveedores y dependencias técnicas.
- Después debe delimitar el alcance: qué servicio se quiere acreditar, qué aplicaciones, redes, entornos, equipos, ubicaciones y proveedores participan, qué información se trata, qué entidad pública recibe el servicio, qué terceros intervienen.
- A continuación, la organización debe categorizar el sistema de información. Para ello, debe valorar el impacto de un incidente sobre las dimensiones de seguridad. La categoría resultante marcará las medidas exigibles y el mecanismo de conformidad.
- El siguiente paso es realizar el análisis de riesgos, lo que permite identificar amenazas, vulnerabilidades, impactos y controles necesarios. También ayuda a priorizar actuaciones y a justificar decisiones.
- Después llega la declaración de aplicabilidad. Este documento recoge qué medidas del ENS aplican al sistema de información, cómo se cumplen y qué justificación existe cuando alguna medida no aplica o se cubre de una forma concreta.
- Con esa base, la empresa debe preparar el plan de adecuación. El plan debe ordenar acciones, responsables, plazos, evidencias y seguimiento.
- Por último, la organización deberá realizar la autoevaluación o someterse a auditoría, según la categoría del sistema de información.
Tras obtener la declaración o certificación, el trabajo continúa. La
conformidad con el ENS exige revisión, mantenimiento, gestión de cambios,
tratamiento de incidentes y actualización de evidencias.
Para las empresas que trabajan con entidades públicas o quieren hacerlo, el ENS ayuda a ordenar la seguridad del servicio que prestan: obliga a saber qué información se protege, quién tiene acceso, qué medidas se aplican y cómo se demuestra que esas medidas funcionan.
Bien abordado, ayuda a profesionalizar la seguridad y a generar confianza en servicios digitales que ya forman parte del funcionamiento diario de administraciones, empresas y ciudadanía.