El ENS actualizado: Real Decreto 311/2022
El Esquema Nacional de Seguridad fue actualizado en 2022 mediante el Real Decreto 311/2022, que derogó el anterior RD 3/2010. La nueva versión introduce cambios significativos en la categorización de sistemas, las medidas de seguridad y los plazos de adaptación. Las organizaciones afectadas tuvieron hasta el 5 de noviembre de 2024 para adaptarse completamente.
¿A quién aplica el ENS?
El ENS es de aplicación obligatoria para:
- La Administración General del Estado y sus organismos públicos
- Las Administraciones de las Comunidades Autónomas
- Las Entidades que integran la Administración Local
- Las entidades del sector privado que presten servicios o provean soluciones a las anteriores cuando los sistemas de información estén implicados
Si tu empresa presta servicios tecnológicos, de consultoría, software o cualquier servicio que implique sistemas de información a la Administración Pública, el ENS probablemente te aplica.
Categorías de sistemas en el ENS 2025
El ENS clasifica los sistemas de información en tres categorías según el impacto que tendría un incidente de seguridad:
Categoría Básica
Sistemas donde un incidente de seguridad causaría un perjuicio limitado sobre las funciones de la organización, activos o individuos. Aplicable a la mayoría de sistemas de soporte administrativo sin datos sensibles.
Categoría Media
Sistemas donde un incidente causaría un perjuicio grave. Incluye sistemas que tratan datos de carácter personal, sistemas de gestión económica o financiera, y sistemas de soporte a servicios esenciales.
Categoría Alta
Sistemas donde un incidente causaría un perjuicio muy grave o catastrófico. Afecta a sistemas críticos para la seguridad nacional, la defensa o los servicios esenciales de la población.
Principales novedades del RD 311/2022
- Perfiles de cumplimiento específicos para determinados colectivos y tipos de sistemas
- Instrucciones técnicas de seguridad con mayor detalle operativo
- Mayor integración con NIS2 y otros marcos de ciberseguridad europeos
- Marco de gestión de la ciberseguridad más robusto y alineado con ISO 27001
- Nuevas medidas para sistemas en la nube y entornos híbridos
Relación entre ENS y NIS2
El ENS y la Directiva NIS2 son complementarios. Para las organizaciones afectadas por ambas normativas, la implementación coordinada es más eficiente. El cumplimiento del ENS en nivel medio o alto cubre gran parte de los requisitos de NIS2, especialmente en lo relativo a medidas de gestión de riesgos y notificación de incidentes.
El incumplimiento del ENS puede suponer la exclusión de licitaciones y contratos con la Administración Pública. Para empresas tecnológicas con contratos públicos, es una obligación de supervivencia empresarial.
¿Qué diferencia hay entre el ENS y la ISO 27001?
El ENS es obligatorio para el sector público español y sus proveedores. La ISO 27001 es un estándar internacional voluntario reconocido globalmente. Muchos controles se solapan pero no son equivalentes. El ENS incluye requisitos específicos de la Administración española que no están en ISO 27001.
¿Cada cuánto hay que renovar la certificación ENS?
La certificación ENS tiene una validez de 2 años. Requiere una auditoría de seguimiento anual y una auditoría de renovación completa al finalizar el período. Además, cualquier cambio significativo en los sistemas debe ser comunicado a la entidad certificadora.
¿El ENS aplica a las empresas que trabajan con ayuntamientos?
Sí. Las Entidades Locales — ayuntamientos, diputaciones — están incluidas en el ámbito de aplicación del ENS. Sus proveedores tecnológicos y de servicios que impliquen sistemas de información están obligados cuando así se establezca en los contratos o pliegos de condiciones.
¿Cuánto tiempo lleva prepararse para el ENS nivel medio?
Entre 6 y 12 meses dependiendo del estado de partida de la organización. El GAP Analysis inicial es fundamental para dimensionar correctamente el esfuerzo. Con una buena base de seguridad previa, el proceso puede acortarse significativamente.