EMEA: Madrid-Alicante (España)       LATAM: Bogotá (Colombia)      

Esquema Nacional de Seguridad (sólo España)

ENS (R.D. 311/2022)

Esquema Nacional de Seguridad (ENS)

En el ámbito de la Administración Electrónica española, el Esquema Nacional de Seguridad (ENS) tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Tras unos años de espera, por fin ha llegado la tan esperada "reforma" del Esquema Nacional de Seguridad, quedando regulado en el Real Decreto 311/2022 de 22 de mayo (pulse aquí para acceder al texto consolidado) enmarcado dentro del paquete de actuaciones urgentes, adoptado el 25 de mayo de 2021, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.

Dicho esquema se regulaba por el Real Decreto 3/2010, de 8 de enero, y fue establecido anteriormente en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicio Públicos, que fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

La disposición transitoria única fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación de este real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.

Puede consultar en esta infografía los principales cambios del ENS.

¿Estoy obligado a su cumplimiento?

El ENS es aplicable a las entidades de derecho público vinculadas o dependientes de las Administraciones Públicas:

  • Administración General del Estado.
  • Entidades que integran la Administración Local.
  • Entidades de derecho público vinculadas o dependientes de las mismas.

Vemos así que los proveedores de las Administraciones Públicas, con incidencia relevante en los servicios prestados por éstas en el ámbito del ENS, podrían adoptan también la condición de sujeto obligado, a todos los efectos.

Las organizaciones pertenecientes al Sector Privado, estarían obligadas al cumplimiento del ENS, en las mismas condiciones que las pertenecientes al Sector Público, dependiendo de estos casos (suelen ser notificadas dando un plazo de adaptación de aproximadamente 6 meses con un compromiso de cumplimiento):

  • Si son sujetos obligados al encontrarse vinculadas o dependientes de las Administraciones Públicas.
  • Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea una Administración Pública o cualquier otra organización vinculada o dependiente.

Disponemos de la Certificación UNE-EN ISO/IEC 27001 ¿Es necesario hacer algo más o podemos cumplir con ello?

  • Para satisfacer los citados principios básicos y requisitos mínimos del ENS, se puede aplicar un modelo de tipo PCDA para lo cual la normalización voluntaria ofrece herramientas como la norma ISO/IEC 27001:20xx
  • Las organizaciones que se encuentren certificadas contra ISO/IEC 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS, toda vez que las medidas de protección que señala el ENS coinciden, en lo sustancial, con los controles que prevé la norma internacional.
  • La norma UNE-EN ISO/IEC 27002 es un conjunto de controles de seguridad para sistemas de información genéricos.
  • Aunque muchas de las medidas de seguridad indicadas en el anexo II del ENS coinciden con controles de UNE-EN ISO/IEC 27002, el ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas de seguridad y reducir la discrecionalidad.
  • La norma UNE-EN ISO/IEC 27002 carece de esta proporcionalidad, quedando a la mejor opinión del auditor que certifica la conformidad con la norma UNE-EN ISO/IEC 27001.

  • Seguridad integral.
  • Gestión de la seguridad basada en los riesgos.
  • Prevención, detección, respuesta y conservación.
  • Líneas de defensa.
  • Vigilancia continua y reevaluación periódica.
  • Diferenciación de responsabilidades.

  • Política de seguridad y requisitos mínimos de seguridad.
  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad.
  • Mínimo privilegio.
  • Integridad y actualización del sistema.
  • Protección de información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad y detección de código dañino.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.
  • Cumplimiento de los requisitos mínimos.
  • Infraestructuras y servicios comunes.
  • Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras.

Las (73) medidas de seguridad(*) disponibles, se encuentran organizadas en:

  • Marco Organizativo (4)
  • Marco Operacional (33)
  • Medidas de protección (36)

(*) Para la selección de las medidas de seguridad apropiadas de entre las contenidas en el ENS, siempre serán de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema. https://ens.ccn.cni.es/es/docman/documentos-publicos/16-infografia-01-ens-2022-contenido-esquematico/file

 

Pulse para abrir un resumen con los Principios básicos, requisitos mínimos y medidas de seguridad que se establece para el ENS.

  • Sistemas Certificados 1672
  • Categoría Básica 61
  • Categoría Media 1066
  • Categoría Alta 545
  • Actualización 28/02/2025 09:00 (CET)

Fuente: https://gobernanza.ccn-cert.cni.es/certificados Además, existen 1294 entidades con sistemas cuyo alcance viene determinado por un Perfil de Cumplimiento Específico.

Nuestra solución

De forma ordenada y sencilla, sin inferir en sus procesos, nuestro equipo trabajará en conjunto con el suyo para poder conseguir la adecuación y correcta implementación del Esquema Nacional de Seguridad (ENS) realizando todas y cada una de las fases previstas para conseguirlo en la mayor brevedad de tiempo posible.

Fase 1: Plan de adecuación

Con el Plan de Adecuación para la Certificación/Conformidad con el ENS, tendrá todo lo que inicialmente se necesita para dar cumplimiento. Nuestro equipo realizará en conjunto con los suyos, todos los pasos necesarios.

  • Alcance del Sistema.
  • Categorización del Sistema.
  • Declaración de aplicabilidad (SOA).
  • Análisis de riesgos.
  • Validación y Perfil de cumplimiento.
  • Política de Seguridad.

Fase 2: Implementación de seguridad

Nuestro equipo de Consultores/Auditores en conjunto con los técnicos asignados en la organización, comenzarán a implementar bajo dichos criterios todo aquello que sea necesario para poder alcanzar la Certificación/Conformidad con el ENS y siempre supervisados por nuestro equipo de auditores. Los resultados por tanto, serán:

  • Hoja de Ruta: Documentos a elaborar, medidas técnicas a implementar, establecimiento de prioridades.
  • Normativas y procedimientos de seguridad: Elaboración del Marco Normativo y procedimientos necesarios o adecuación de los existentes para dar cumplimiento al ENS.
  • Implementación de las medidas técnicas(*) de seguridad.
  • Aprobación del Sistema de Gestión de la Seguridad de la Información por el Comité de Seguridad.

(*) En este caso, el equipo de CS3 Group supervisará la implantación, pero será el personal propio o subcontratado del Cliente el que lleve a cabo todas las operaciones necesarias para ello.

Fase 3: Certificación/Conformidad

En la Declaración/Certificación de Conformidad con el ENS, nuestro equipo participará activamente en el proceso:

  • La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años.
  • Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento de autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Nada impide que voluntariamente, se someta a una Auditoría formal de verificación de conformidad.

Opcional: Revisión del Estado de Seguridad

Opcionalmente y una vez obtenida la Certificación/Conformidad con el ENS, podrá ser contratado el proceso de vigilancia y mejora continua, donde nuestro equipo colaborará entre otras acciones y con carácter anual en:

  • Revisión de la Política de Seguridad de la Información.
  • Revisión de la información y los servicios, y su categorización.
  • Actualización del análisis de riesgos, al menos anualmente.
  • Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento.
  • Realización de auditorías internas.
  • Revisión del Plan de Mejora.
  • Revisión de las medidas de seguridad.
  • Revisión y actualización de procedimientos.
  • Revisión del Estado de Seguridad. INÉS.
Seguimiento ENS

Resultados

Hemos llevado a cabo numerosos proyectos para la adecuación/conformidad con el Esquema Nacional de Seguridad (ENS) en importantes empresas españolas, con un alto grado de satisfacción por nuestros Clientes, habiendo obtenido las correspondientes Certificaciones en todas las categorías que establece.

Dossier

Descargue nuestro dossier en formato PDF con la presentación y características de la implementación del Esquema Nacional de Seguridad (ENS) by CS3 Group (no requiere registro).

 

down

Comencemos

Proteger los sistemas de información es proteger el negocio. Se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad.

up

Fases y proyectos

Desarrollaremos la mejor estrategia para que todas las fases y los diferentes proyectos puedan ser llevados a cabo en tiempo y forma junto a nuestro equipo de profesionales.

Resultados

Poco a poco observará como mejoran todos sus procesos y se alinean sin suponer un "stopper" con los requisitos de ciberseguridad necesarios en su Organización.