El Esquema Nacional de Seguridad (ENS) es el marco normativo de seguridad de la información para los sistemas y servicios digitales en España. Se aplica en todo el sector público español y también a las organizaciones del sector privado que prestan servicios o proporcionan soluciones tecnológicas a entidades públicas bajo las condiciones establecidas en el Real Decreto 311/2022. Para las empresas que venden al sector público español, la preparación para la conformidad con el ENS no es una opción; suele ser parte de la base legal y contractual para los sistemas dentro del alcance que soportan dichos servicios.
Esta guía está dirigida a responsables de seguridad, directores de cumplimiento normativo y directores de TI que necesitan una respuesta práctica a una pregunta sencilla: ¿qué se necesita para prepararse para la conformidad con el ENS en 2026? Se basa en el texto normativo oficial — el Real Decreto 311/2022— y en las guías técnicas publicadas por el Centro Criptológico Nacional (CCN) de España.
Al final de esta guía, usted dispondrá de:
- Un test rápido para determinar si el ENS le aplica.
- Un conocimiento claro de la categorización de sistemas en BÁSICA, MEDIA y ALTA.
- Una hoja de ruta para estructurar su paquete de evidencias.
- Un plan de adecuación realista de seis semanas para ejecutar el proceso oficial.
- Una lista de los controles que con más frecuencia no superan las auditorías.
¿Qué es el ENS y a Quién se Aplica?
El ENS está regulado por el Real Decreto 311/2022, que entró en vigor el 5 de mayo de 2022. Este real decreto sigue siendo el texto legal principal para la preparación y la conformidad con el ENS.
Según el artículo 2, el ENS se aplica a todo el sector público español y también a las entidades del sector privado que, en virtud de la normativa aplicable y una relación contractual, presten servicios o provean soluciones a entidades del sector público para el ejercicio de sus competencias y potestades administrativas. El real decreto también exige que los contratos del sector público incluyan los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información que los soportan.
El portal oficial del ENS lo resume en un lenguaje sencillo: el ENS se aplica a todo el sector público, así como a los proveedores que colaboran con la Administración. Las preguntas frecuentes (FAQ) oficiales van un paso más allá, señalando que la cadena de suministro de dichos proveedores privados también puede entrar en el alcance cuando un análisis de riesgos previo determine que es necesario.
Un Test Práctico de Alcance
Debería tratar la preparación para la conformidad con el ENS como un requisito vigente si se cumple una o más de las siguientes condiciones:
- Tiene un contrato con una administración pública española.
- Proporciona un sistema, ya sea alojado o en las instalaciones del cliente, que soporta un servicio del sector público.
- Procesa o almacena información en nombre de un organismo público.
- Su contrato o la documentación de una licitación hace referencia a la conformidad con el ENS.
- Es un subcontratista en una cadena de servicios que da soporte a un contratista del sector público, y el análisis de riesgos puede extender las expectativas del ENS a su función.
Si la respuesta a cualquiera de estas preguntas es afirmativa, la pregunta correcta no es "¿Necesitamos el ENS?", sino "¿Qué sistemas nuestros están dentro del alcance, en qué categoría se encuadran y qué evidencias debemos presentar?"
Adecuación al ENS vs. Conformidad con el ENS: Uso de los Términos Correctos
"Adecuación al ENS" es un término empresarial útil, pero no es el estatus legal formal que utiliza el marco. Usar la terminología correcta es fundamental para la precisión legal y reputacional. Los resultados formales de conformidad son:
| Categoría del Sistema | Mecanismo Formal de Conformidad | Quién lo Realiza |
|---|---|---|
| BÁSICA | Declaración de Conformidad | Equipo interno (autoevaluación) |
| MEDIA | Certificación de Conformidad | Entidad de certificación acreditada por ENAC (auditoría) |
| ALTA | Certificación de Conformidad | Entidad de certificación acreditada por ENAC (auditoría) |
Esa distinción es importante. En la práctica, la adecuación significa que su gobernanza, controles y evidencias están implementados y son defendibles. La conformidad significa que ha completado el proceso formal que el ENS exige para la categoría del sistema dentro del alcance. El lenguaje más seguro para un proveedor no es "somos cumplidores del ENS" en abstracto, sino:
- "Este sistema dentro del alcance ha obtenido la conformidad con el ENS mediante una [Declaración/Certificación de Conformidad]".
- "Estamos preparando este sistema dentro del alcance para su conformidad con el ENS".
La conformidad debe renovarse mediante una verificación ordinaria al menos cada dos años, y se requieren auditorías extraordinarias cuando se producen cambios sustanciales que afectan al sistema.
El Proceso Oficial de Adecuación: Su Plan de Proyecto Fundamental
Antes de crear listas de verificación o buscar herramientas, debe anclar su proyecto en el Plan de Adecuación oficial. La página del proceso de conformidad del ENS establece que la certificación y la conformidad requieren un plan de adecuación previo. Describe una secuencia práctica:
- Definir el sistema dentro del alcance y sus límites.
- Categorizar el sistema correctamente (BÁSICA, MEDIA o ALTA).
- Obtener una Declaración de Aplicabilidad (DdA) provisional, mapeando los controles del Anexo II.
- Realizar un análisis de riesgos formal.
- Validar la Declaración de Aplicabilidad final.
- Preparar y aprobar la Política de Seguridad formal.
Esta secuencia oficial proporciona un modelo operativo claro para cualquier proyecto interno de adecuación. El plan de 6 semanas de esta guía es una superposición práctica para ejecutar este proceso oficial.
Paso 1: Categorizar el Sistema (BÁSICA / MEDIA / ALTA)
La categorización del sistema es la primera gran decisión, ya que determina el conjunto de controles requeridos y la vía de conformidad. Un sistema es de categoría ALTA si alguna dimensión de seguridad alcanza el nivel ALTO; MEDIA si alguna dimensión alcanza el nivel MEDIO y ninguna es superior; y BÁSICA si todas las dimensiones son de nivel BAJO. En otras palabras, la categoría general viene determinada por la dimensión de seguridad más alta que sea relevante.
El marco funciona a través de cinco dimensiones de seguridad:
| Dimensión | Qué Mide |
|---|---|
| Confidencialidad (C) | El daño causado por la divulgación no autorizada de información. |
| Integridad (I) | El daño causado por la modificación no autorizada de la información. |
| Disponibilidad (D) | El daño causado por la interrupción del acceso o la prestación del servicio. |
| Autenticidad (A) | El daño causado por la incapacidad de verificar la identidad de los usuarios o las fuentes de datos. |
| Trazabilidad (T) | El daño causado por la incapacidad de atribuir acciones a individuos específicos. |
Un taller práctico de categorización debería responder a cuatro preguntas:
- ¿Qué información se está procesando?
- ¿Qué servicios dependen de este sistema?
- ¿Cuál sería el impacto si la confidencialidad, la integridad, la disponibilidad, la autenticidad o la trazabilidad se vieran comprometidas?
- ¿Qué dimensión alcanza el nivel requerido más alto?
Plantilla de Categorización del ENS — una plantilla estructurada para guiar su proceso de clasificac.
Paso 2: Construir el Paquete de Evidencias
El paquete de evidencias es el resultado operacionalmente más importante de su programa de adecuación. Es lo que presentará a un auditor o a un posible cliente. La forma más clara de presentarlo es como una matriz de evidencias organizada en seis bloques.
1. Gobernanza y Políticas
El artículo 12 del RD 311/2022 exige una Política de Seguridad de la Información formal, aprobada por el máximo órgano ejecutivo de la organización. Este es el documento fundamental de su paquete de evidencias.
Evidencias típicas:
- Política de Seguridad firmada y versionada.
- Matriz de roles y responsabilidades (RACI).
- Políticas de apoyo (control de acceso, respuesta a incidentes, seguridad de proveedores).
2. Alcance e Inventario de Activos
El proceso oficial de adecuación comienza con la identificación del alcance del sistema. En la práctica, eso significa un inventario de sistemas, aplicaciones, usuarios, cuentas privilegiadas y terceros dentro de los límites definidos.
Evidencias típicas:
- Declaración de alcance del sistema y diagrama de arquitectura.
- Inventario de aplicaciones e infraestructura.
- Inventario de usuarios y cuentas privilegiadas.
- Registro de terceros/proveedores de servicios.
3. Identidad y Control de Acceso
El ENS es explícito en que cada usuario o proceso debe tener un identificador único. La familia de controles de control de acceso (op.acc) exige autorización formal, revisión periódica de permisos y políticas explícitas de acceso remoto.
Evidencias típicas:
- Modelo de Control de Acceso Basado en Roles (RBAC).
- Documentación del proceso de altas, bajas y cambios de personal.
- Registros de revisiones periódicas de acceso.
- Reglas de MFA y acceso remoto.
- Registros de aprobación de acceso privilegiado.
4. Trazabilidad y Registro de Actividad
El control op.exp.8 exige que los registros de auditoría incluyan, como mínimo, el identificador del usuario, la fecha y hora, la información afectada, el tipo de evento y el resultado. Los períodos de retención deben definirse en función del análisis de riesgos y las obligaciones legales.
Evidencias típicas:
- Estándar de registro de logs e inventario de fuentes de logs.
- Política documentada de retención de logs.
- Registros de revisiones periódicas de logs.
- Evidencia de sincronización horaria (NTP).
5. Análisis de Riesgos y Declaración de Aplicabilidad
El proceso oficial de adecuación exige explícitamente un análisis de riesgos y una Declaración de Aplicabilidad (DdA) final. La DdA mapea cada control del Anexo II con su estado de implementación (aplicable, no aplicable, compensado) y debe incluir justificaciones para cualquier exclusión.
Evidencias típicas:
- Registro de riesgos e informe de análisis de riesgos.
- Decisiones de tratamiento de riesgos.
- La Declaración de Aplicabilidad final y aprobada.
6. Controles Operacionales y de Protección
Este bloque cubre las evidencias del día a día en copias de seguridad, continuidad, gestión de vulnerabilidades, incidentes y criptografía, tal como se detalla en las secciones de medidas operacionales (op) y de protección (mp) del Anexo II.
Evidencias típicas:
- Evidencias de pruebas de copia de seguridad y restauración.
- Informes de escaneo de vulnerabilidades y planes de remediación.
- Registros de incidentes, incluidas las notificaciones al CCN-CERT cuando sea necesario.
- Estándares de configuración criptográfica.
Checklist del Paquete de Evidencias del ENS — una hoja de cálculo completa que cubre los seis bloque.
Paso 3: Priorizar las Brechas que Suelen Bloquear la Adecuación
Los programas de adecuación se estancan cuando las organizaciones no pueden demostrar propiedad, repetibilidad o trazabilidad. Las áreas de mayor fricción suelen ser:
| Fallo Común en Auditorías | Causa Raíz | Cómo Solucionarlo |
|---|---|---|
| Alcance del Sistema Poco Claro | Los límites están mal definidos. | Cree una declaración de alcance y un diagrama de arquitectura claros. |
| Justificación Débil de la Categorización | Los niveles de impacto se asumen, no se justifican. | Documente el razonamiento para la calificación de cada dimensión en la plantilla. |
| Política de Seguridad Inexistente o Desactualizada | La política es informal o no está aprobada por la dirección. | Formalice la política y obtenga la firma del máximo órgano ejecutivo. |
| Gobernanza de Acceso Incompleta | Cuentas compartidas, sin revisiones de acceso, bajas lentas. | Implemente una bóveda de credenciales, programe revisiones trimestrales y automatice el proceso de baja. |
| Cobertura o Revisión de Logs Deficiente | Los logs están descentralizados o no se revisan. | Despliegue una solución centralizada de logs y programe sesiones formales de revisión. |
| Acceso de Terceros no Documentado | El acceso de proveedores es ad-hoc y no está limitado en el tiempo. | Cree un flujo de trabajo formal para el acceso de terceros con aprobaciones explícitas. |
Paso 4: Un Plan Práctico de Adecuación al ENS de 6 Semanas
El siguiente plan de seis semanas es un ritmo operativo práctico para ejecutar el Plan de Adecuación oficial.
- Semana 1: Alcance, Categoría, Propietarios. Defina el sistema dentro del alcance, realice el taller de categorización y asigne propietarios para las políticas, los riesgos y las áreas operativas clave. Entregables: Declaración de alcance, plantilla de categorización.
- Semana 2: Política de Seguridad y Modelo de Acceso. Redacte o revise la Política de Seguridad formal, documente el modelo RBAC y formalice los procesos de altas, bajas y cambios. Entregables: Borrador de la Política de Seguridad, documentación del modelo de acceso.
- Semana 3: Análisis de Riesgos y Declaración de Aplicabilidad. Realice el análisis de riesgos formal y produzca una Declaración de Aplicabilidad (DdA) provisional. Entregables: Registro de riesgos, DdA provisional.
- Semana 4: Logs, Incidentes y Evidencias Operacionales. Estandarice el registro de actividad, defina la retención y alinee la gestión de incidentes con los requisitos de captura de evidencias y notificación. Entregables: Estándar de registro de logs, plantilla de evidencia de incidentes.
- Semana 5: Copias de Seguridad, Continuidad y Proveedores. Recopile evidencias de copias de seguridad/restauración, material de planificación de continuidad y documentación de control de proveedores. Entregables: Registros de pruebas de copias de seguridad, checklist de seguridad de proveedores.
- Semana 6: Ensayo Interno y Vía de Conformidad. Realice un simulacro de auditoría interna con el paquete de evidencias. Decida si el sistema está listo para una
Declaración de Conformidado unaCertificación de Conformidadformal. Entregables: Lista de brechas, plan de remediación.
Plan de Adecuación al ENS de 6 Semanas + Plantilla RACI — un plan de proyecto estructurado con hitos y propietarios.
Paso 5: Preparación de Proveedores para Contratos con el Sector Público
Para los proveedores, la adecuación al ENS es una cuestión de credibilidad en la contratación. El artículo 2 del RD 311/2022 exige que los contratos del sector público aseguren la conformidad con el ENS. En la práctica, los clientes del sector público y los procesos de contratación a menudo requieren que los proveedores documenten su estado de conformidad con el ENS o su hoja de ruta.
Esto significa que un proveedor debe preparar un Paquete ENS para Proveedores compacto que contenga:
- El sistema dentro del alcance y su categoría.
- El estado de conformidad actual (Declaración/Certificado) o la hoja de ruta de adecuación.
- Un resumen de los controles clave para la gobernanza de acceso, logs y análisis de riesgos.
Plantilla del Paquete ENS para Proveedores del Sector Público — una plantilla lista para usar para demostrar su estado de conformidad.
Dónde Encaja un Gestor de Contraseñas y Secretos
Un gestor de contraseñas y secretos apoya algunas de las áreas de evidencia más difíciles en la adecuación al ENS: responsabilidad individual, mínimo privilegio, gobernanza del acceso privilegiado y trazabilidad. El ENS exige explícitamente identificadores únicos y registros de actividad que puedan vincularse a usuarios específicos.
Una lista de verificación útil para la selección de productos es:
- Impone cuentas individuales (sin compartir credenciales).
- RBAC granular y acceso privilegiado basado en aprobaciones.
- Acceso seguro y temporal para usuarios externos.
- Registros de auditoría a prueba de manipulaciones vinculados a usuarios nominativos.
- Exportación rápida de evidencias de acceso para auditorías.
ENS e ISO 27001 / NIS2
Si su organización ya tiene la certificación ISO/IEC 27001, es útil, pero no equivale automáticamente a la conformidad con el ENS. El CCN ha publicado una guía de mapeo oficial (CCN-STIC 825) entre ISO 27001:2022 y el RD 311/2022. La formulación más segura es: La ISO 27001 puede reducir el esfuerzo requerido para la adecuación al ENS, pero la conformidad con el ENS aún depende de la categoría, el alcance y los requisitos específicos del sistema.
La relación entre el ENS y la Directiva NIS2 es de complementariedad. Para las organizaciones sujetas a ambas, el cumplimiento del ENS proporciona una base sólida para cumplir muchos de los requisitos técnicos y organizativos de NIS2, pero NIS2 tiene su propio alcance, gobernanza y obligaciones de notificación que deben abordarse por separado.
Preguntas Frecuentes
¿Las empresas privadas necesitan prepararse para la conformidad con el ENS?
Sí, cuando prestan servicios o proporcionan soluciones a entidades del sector público español bajo las condiciones del artículo 2 del Real Decreto 311/2022.
¿Deben estar cubiertos todos los sistemas de una empresa?
No necesariamente. La conformidad con el ENS se evalúa para el sistema de información específico que soporta el servicio relevante, no automáticamente para todos los sistemas de la empresa.
¿Cómo sabemos si nuestro sistema es de categoría BÁSICA, MEDIA o ALTA?
Se clasifica el sistema a través de las cinco dimensiones de seguridad y se toma el nivel más alto aplicable como la categoría general.
¿Se puede certificar un sistema de categoría BÁSICA?
Sí. Los sistemas de categoría BÁSICA solo requieren una autoevaluación para una Declaración de Conformidad, pero también pueden someterse a certificación voluntariamente.
¿Con qué frecuencia se renueva la conformidad?
Los sistemas deben someterse a una verificación ordinaria al menos cada dos años, y puede requerirse una auditoría extraordinaria tras cambios sustanciales.
¿Qué herramientas oficiales apoyan la adecuación al ENS?
El CCN proporciona las herramientas nacionales de gobernanza de ciberseguridad INES, AMPARO y PILAR para apoyar los procesos de adecuación, implementación y auditoría.
Conclusión
En 2026, el ENS ya no es una historia de "requisitos futuros". El marco actual bajo el RD 311/2022 está en vigor desde mayo de 2022, y el período de transición para los sistemas preexistentes ha finalizado. Para los proveedores que venden al sector público español, el desafío ahora es práctico: definir el alcance correctamente, categorizar el sistema, construir las evidencias adecuadas y seguir la vía de conformidad correcta.
Las organizaciones que avanzan más rápido no son las que tienen más documentos de políticas. Son las que pueden conectar la gobernanza, los controles y las evidencias en un paquete limpio y listo para el proveedor.
Reserve una demostración en vivo o inicie un piloto — en español.
Referencias
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. (Texto oficial del Real Decreto)
ENS - Preguntas Frecuentes (Portal Oficial)
ENS - Proceso de Adecuación (Portal Oficial)
Tabla de contenidos
- ¿Qué es el ENS y a Quién se Aplica?
- Adecuación al ENS vs. Conformidad con el ENS: Uso de los Términos Correctos
- El Proceso Oficial de Adecuación: Su Plan de Proyecto Fundamental
- Paso 1: Categorizar el Sistema (BÁSICA / MEDIA / ALTA)
- Paso 2: Construir el Paquete de Evidencias
- Paso 3: Priorizar las Brechas que Suelen Bloquear la Adecuación
- Paso 4: Un Plan Práctico de Adecuación al ENS de 6 Semanas
- Paso 5: Preparación de Proveedores para Contratos con el Sector Público
- Dónde Encaja un Gestor de Contraseñas y Secretos
- ENS e ISO 27001 / NIS2
- Preguntas Frecuentes
- Conclusión
- Referencias
Tabla de contenidos
- ¿Qué es el ENS y a Quién se Aplica?
- Adecuación al ENS vs. Conformidad con el ENS: Uso de los Términos Correctos
- El Proceso Oficial de Adecuación: Su Plan de Proyecto Fundamental
- Paso 1: Categorizar el Sistema (BÁSICA / MEDIA / ALTA)
- Paso 2: Construir el Paquete de Evidencias
- Paso 3: Priorizar las Brechas que Suelen Bloquear la Adecuación
- Paso 4: Un Plan Práctico de Adecuación al ENS de 6 Semanas
- Paso 5: Preparación de Proveedores para Contratos con el Sector Público
- Dónde Encaja un Gestor de Contraseñas y Secretos
- ENS e ISO 27001 / NIS2
- Preguntas Frecuentes
- Conclusión
- Referencias
Un gestor de contraseñas autohospedado para su empresa
Passwork ofrece la ventaja de un trabajo en equipo eficaz con contraseñas corporativas en un entorno totalmente seguro
Más información