ENS (Esquema Nacional de Seguridad): Guía Completa para Empresas que Trabajan con la Administración Pública Española

El Esquema Nacional de Seguridad —el estándar de ciberseguridad que rige los sistemas de información en las administraciones públicas españolas y, de manera crítica, en cualquier empresa privada que trate información perteneciente a dichas administraciones o les preste servicios TIC— fue actualizado de forma significativa por el Real Decreto 311/2022. Esta actualización amplió su ámbito de aplicación y elevó sus requisitos técnicos para alinearse con las amenazas actuales y los estándares europeos de ciberseguridad.

Si tu empresa presta servicios en la nube, desarrollo de software, servicios TIC gestionados, gestión documental o cualquier servicio tecnológico a la Administración General del Estado, administraciones autonómicas, administración local u organismos públicos —o si manejas datos que proceden de estas entidades— la certificación ENS es un requisito previo, no una opción.

Esta guía explica cómo está estructurado el marco, qué exigen los niveles de certificación y cómo navegar el camino hacia la certificación de forma eficiente.

Quién debe cumplir con el ENS

La obligación central bajo el ENS se aplica a todas las entidades de la administración pública española. Pero la obligación del sector privado —que es donde se sitúa la mayoría de las empresas que leen esta guía— surge cuando una empresa privada:

• Presta servicios TIC a una administración pública que gestiona información dentro del ámbito del ENS
• Trata información perteneciente a una administración pública
• Conecta sus sistemas a redes o plataformas de la administración pública

En la práctica, esto abarca: proveedores de alojamiento en la nube usados por organismos públicos, proveedores de software cuyos productos se despliegan en entornos del sector público, proveedores de servicios TIC gestionados con clientes del sector público, proveedores de software de gestión documental y flujo de trabajo a entidades públicas, y proveedores de servicios de comunicaciones y ciberseguridad al sector público.

Muchas empresas privadas descubren su obligación ENS cuando pierden una licitación pública porque no pueden demostrar la certificación ENS —o cuando su cliente del sector público solicita un informe de certificación que no pueden proporcionar.

Las tres categorías de seguridad del ENS

El ENS clasifica la información y los servicios en tres categorías de seguridad: Básica, Media y Alta. La categoría determina el nivel de controles requeridos y, para las empresas del sector privado, el nivel de certificación que debe demostrarse.

Categoría Básica se aplica a la información y servicios donde un fallo de seguridad tendría un impacto limitado. El ENS Básico exige un conjunto definido de controles en medidas organizativas, operacionales y de protección. La mayoría de las empresas del sector privado que prestan servicios TIC estándar a la administración local o a organismos nacionales no críticos apuntan a la certificación Básica.

Categoría Media se aplica cuando un fallo de seguridad causaría daños significativos —a los derechos de las personas, a la capacidad de la organización para cumplir su misión, a los intereses públicos o a la seguridad nacional en un nivel no crítico. El ENS Medio exige controles adicionales que incluyen requisitos específicos para la gestión de incidentes, el control de acceso, la seguridad del personal y la protección tecnológica.

Categoría Alta se aplica a la información y servicios clasificados como críticos —donde el fallo podría causar daños muy graves a la seguridad nacional, la defensa nacional, los derechos fundamentales o el orden público. La certificación ENS Alto exige el conjunto de controles más extenso y es típicamente relevante para contratistas de defensa, proveedores de infraestructura crítica y organizaciones que tratan información clasificada.

La categoría aplicable a tus servicios la determina la administración pública contratante, no tú. Antes de buscar la certificación, confirma con tu cliente del sector público qué categoría exige su información y sistemas.

El marco de controles del ENS

Los controles del ENS se organizan en tres grupos: marco organizativo, marco operacional y medidas de protección.

Marco organizativo cubre la gobernanza, la gestión de riesgos, la política de seguridad, los roles de seguridad y las revisiones anuales de seguridad. Este grupo establece las estructuras de gobernanza que sustentan todos los demás controles. Resultados requeridos: una política de seguridad escrita aprobada por la dirección, roles nominados (Responsable de Seguridad, Responsable del Sistema, Responsable de la Información), una metodología de análisis de riesgos y un proceso de revisión anual.

Marco operacional cubre la planificación de la seguridad, el control de acceso, la continuidad operacional, la gestión de cambios, la gestión de incidentes y la seguridad de proveedores. Este grupo rige cómo se mantiene la seguridad en las operaciones diarias. Los requisitos de control de acceso bajo el ENS son prescriptivos: principio de mínimo privilegio, separación de funciones para funciones sensibles, revisiones periódicas de acceso y registro del acceso privilegiado.

Medidas de protección cubre los controles técnicos para instalaciones, sistemas, comunicaciones, software e información de usuarios. Los requisitos clave incluyen: protección perimetral de red y segmentación interna, cifrado de información almacenada y transmitida, protección antimalware en todos los endpoints, gestión de parches con plazos definidos y registro con períodos de retención definidos.

El proceso de certificación

La certificación ENS para empresas privadas se obtiene mediante una auditoría realizada por un organismo de certificación acreditado (Entidad de Certificación Acreditada —ECA). El proceso:

Fase 1: Análisis de diferencias. Antes de contratar a un organismo de certificación, realiza una evaluación interna de diferencias con los controles de la categoría ENS relevante. Identifica qué controles ya están implementados, cuáles están parcialmente implementados y cuáles están ausentes. Esta evaluación impulsa la hoja de ruta de remediación.

Fase 2: Remediación. Implementa los controles que faltan, produce la documentación requerida (política de seguridad, análisis de riesgos, procedimientos de seguridad) y establece las estructuras de gobernanza requeridas por el marco organizativo. Esta fase suele durar entre 3 y 6 meses dependiendo del punto de partida.

Fase 3: Revisión previa a la auditoría. La mayoría de los organismos de certificación ofrecen una revisión previa a la auditoría opcional —una evaluación preliminar para identificar las brechas restantes antes de la auditoría formal. Esto reduce significativamente el riesgo de no superar la auditoría de certificación.

Fase 4: Auditoría de certificación. El organismo de certificación acreditado realiza una auditoría formal contra los requisitos del ENS. La auditoría produce un informe técnico y, si los controles se consideran adecuados, una Declaración de Conformidad. El certificado es válido durante dos años para la categoría Alta y tres años para Básica y Media, con revisiones de seguimiento anuales.

Fase 5: Mantenimiento continuo. La certificación ENS no es un evento único. El marco exige revisiones anuales de seguridad, evidencia de operación continua de controles y recertificación al final del período de validez del certificado.

La documentación que examinan los auditores

Los auditores del ENS trabajan a partir de un catálogo de controles definido y esperan encontrar evidencia documental para cada control. Los hallazgos más comunes de auditoría —donde las empresas no superan la certificación o reciben observaciones significativas— son:

Análisis de riesgos no completado o no actualizado. El ENS exige un análisis de riesgos formal usando una metodología definida (MAGERIT es la metodología estándar española). El análisis debe ser actual (típicamente dentro de los últimos 12 meses) y debe cubrir todos los sistemas en el ámbito de aplicación. Una plantilla de análisis de riesgos descargada de internet y no aplicada a los sistemas reales no satisface este requisito.

Política de seguridad no aprobada a nivel directivo. La política de seguridad del ENS debe ser aprobada por la alta dirección o el órgano de gobierno. Una política firmada por el director de TI no cumple este requisito.

Registros de acceso no conservados durante el período requerido. El ENS especifica períodos mínimos de retención de registros por categoría. Los registros que caducan del sistema antes de que haya transcurrido el período de retención, o los registros que existen pero no pueden buscarse por identidad o rango de tiempo, son un hallazgo habitual.

Procedimiento de gestión de incidentes no probado. El marco operacional exige un procedimiento de respuesta a incidentes que haya sido ejercitado. El registro del ejercicio —mesa de trabajo o simulación— debe ser recuperable.

Seguridad de proveedores no abordada. El ENS exige que los acuerdos con proveedores incluyan requisitos de seguridad apropiados a la información que manejan. Los términos comerciales genéricos sin cláusulas de seguridad no satisfacen este control.

Por qué la certificación ENS es una ventaja competitiva

Más allá de la obligación de cumplimiento, la certificación ENS proporciona beneficios comerciales que se extienden más allá del trabajo con el sector público:

Estado de proveedor preferente. Los procedimientos de contratación pública en España valoran cada vez más la certificación ENS como criterio de selección. Para algunos contratos, la certificación al nivel requerido es un criterio de exclusión —las empresas sin ella no son evaluadas.

Diferenciación en el mercado. En el sector privado español, la certificación ENS proporciona evidencia independiente de madurez en seguridad que ninguna afirmación interna puede sustituir. Los sectores de servicios financieros, sanidad y legal la solicitan cada vez más a sus proveedores tecnológicos críticos.

Equivalencia europea. La certificación ENS Medio y Alto es reconocida progresivamente en toda la contratación pública europea como equivalente a ISO/IEC 27001 más controles adicionales específicos del sector. Para las empresas españolas que se expanden a otros mercados europeos con ambiciones en el sector público, proporciona una base reconocida.

El camino hacia la certificación ENS no es corto ni sin coste. Pero para cualquier empresa que aspire seriamente a operar en el mercado del sector público español, es el fundamento sobre el que se asienta todo el desarrollo de negocio en el sector público.