Si tu empresa trabaja con la Administración pública, o quieres empezar a hacerlo, el esquema nacional de seguridad deja de ser un tecnicismo lejano para convertirse en un requisito muy concreto. El ENS es el marco que fija cómo deben protegerse los sistemas de información que tratan datos del sector público en España, y desde su última revisión afecta también a buena parte de los proveedores privados. En esta guía te contamos qué es, a quién aplica de verdad, cómo se clasifican los sistemas y qué pasos puedes seguir para adecuarte sin perderte por el camino.
La idea de fondo es sencilla, aunque su desarrollo tenga muchas capas. El ENS busca que cualquier sistema que maneje información pública ofrezca un nivel de seguridad proporcional al riesgo que asume. Ni más medidas de las necesarias, que encarecen sin aportar, ni menos de las debidas, que dejan expuesta información sensible. Vamos por partes.
Qué es el Esquema Nacional de Seguridad
El esquema nacional de seguridad es el marco normativo, regulado actualmente por el Real Decreto 311/2022, que establece la política de seguridad para la utilización de medios electrónicos por parte de las entidades del sector público. En la práctica define un conjunto de principios básicos, requisitos mínimos y medidas de seguridad que esos sistemas deben cumplir para garantizar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad y la trazabilidad de la información.
El Real Decreto 311/2022 sustituyó al anterior texto de 2010 y lo actualizó para alinearlo con la realidad actual: servicios en la nube, externalización de servicios tecnológicos, nuevas amenazas y una cadena de suministro cada vez más compleja. Una de las novedades más relevantes es que refuerza el papel de los proveedores. Si prestas servicios tecnológicos a una entidad pública, el cumplimiento del ENS te afecta directamente, no solo a tu cliente.
El esquema se apoya en una idea que vertebra todo el documento: la seguridad como proceso integral. No basta con instalar una herramienta o redactar una política y olvidarse. Hay que gestionar el riesgo de forma continua, revisar, medir y mejorar. Esa lógica de mejora continua es la que conecta el ENS con otros marcos como ISO 27001, de la que hablaremos más adelante.
A quién aplica el ENS
El ámbito de aplicación es más amplio de lo que mucha gente cree. El ENS es obligatorio para:
- Todo el sector público: Administración General del Estado, comunidades autónomas, entidades locales, universidades públicas, organismos y entidades de derecho público vinculados o dependientes.
- Los sistemas que tratan información o prestan servicios públicos, con independencia de quién opere la infraestructura.
- Los proveedores y contratistas privados que prestan servicios a esas entidades cuando esos servicios afectan a sistemas dentro del alcance del ENS. Aquí entran consultoras tecnológicas, proveedores de software, empresas de hosting, MSP y un largo etcétera.
Este último punto es el que ha cambiado la vida de muchas empresas. Cada vez más licitaciones públicas exigen acreditar conformidad con el ENS como condición para concursar. Es decir, no se trata solo de una obligación legal abstracta, sino de un requisito comercial. Sin esa conformidad, te quedas fuera de buena parte del negocio con la Administración.
Categorías de seguridad: básica, media y alta
El ENS no aplica el mismo nivel de exigencia a todos los sistemas. Para eso establece tres categorías de seguridad que dependen del impacto que tendría un incidente sobre la información y los servicios. La categorización es el primer ejercicio serio que toda organización debe hacer, porque condiciona todo lo demás.
| Categoría | Cuándo aplica | Qué implica |
|---|---|---|
| Básica | El perjuicio de un incidente sería limitado sobre alguna dimensión de seguridad. | Conjunto reducido de medidas, suficiente para riesgos bajos. |
| Media | El perjuicio sería grave en alguna dimensión. | Refuerzo de controles, más exigencia documental y técnica. |
| Alta | El perjuicio sería muy grave o catastrófico. | Máximo nivel de medidas, controles redundantes y vigilancia reforzada. |
La categoría se determina valorando el impacto sobre cinco dimensiones de seguridad. Y aquí conviene detenerse, porque esas dimensiones son la columna vertebral del análisis.
Las dimensiones de seguridad
El ENS evalúa cada sistema según cinco dimensiones, cada una con un nivel propio (bajo, medio o alto):
- Disponibilidad: que la información y los servicios estén accesibles cuando se necesitan.
- Integridad: que los datos no se alteren de forma no autorizada.
- Confidencialidad: que solo accedan a la información quienes están autorizados.
- Autenticidad: que se pueda confiar en la identidad de quien actúa y en el origen de los datos.
- Trazabilidad: que quede constancia de quién hizo qué y cuándo.
La categoría final del sistema (básica, media o alta) se corresponde con el nivel más alto que tenga cualquiera de sus dimensiones. Si un sistema tiene confidencialidad alta, aunque el resto esté en medio, el sistema completo se trata como de categoría alta. Por eso la valoración inicial es tan delicada: una sola dimensión mal calibrada cambia todo el régimen de medidas.
El marco de medidas de seguridad
Una vez categorizado el sistema, el ENS define un catálogo de medidas que se organiza en tres grandes grupos. No todas las medidas aplican a todos los sistemas: el nivel de cada dimensión y la categoría determinan cuáles son exigibles y con qué intensidad.
- Marco organizativo: política de seguridad, normativa interna, procedimientos y proceso de autorización. Es la capa de gobierno.
- Marco operacional: la parte que más trabajo da en el día a día. Incluye planificación, control de acceso, explotación de los sistemas, gestión de servicios externos, continuidad y monitorización de la actividad. Aquí viven el inventario de activos, la gestión de configuración, la protección frente a código dañino y la gestión de incidentes.
- Medidas de protección: protección de instalaciones, del personal, de los equipos, de las comunicaciones, de los soportes de información, de las aplicaciones y de los propios servicios.
Si te fijas, muchas de estas medidas operacionales descansan sobre algo muy concreto: saber qué activos tienes, cómo están configurados y qué está pasando en ellos en cada momento. Volveremos a este punto, porque es justo donde una herramienta de gestión del parque tecnológico marca la diferencia entre cumplir sobre el papel y cumplir de verdad.
Relación del ENS con ISO 27001 y NIS2
Una de las dudas más habituales es cómo encaja el ENS con otros marcos de seguridad. La buena noticia es que no son mundos aislados: comparten filosofía y buena parte del trabajo se aprovecha entre ellos.
Con ISO 27001 la afinidad es notable. Ambos parten de un enfoque de gestión del riesgo, exigen una política de seguridad, un análisis de riesgos, controles proporcionales y un ciclo de mejora continua. Si ya tienes un sistema de gestión de seguridad de la información maduro, gran parte de las evidencias y procedimientos te sirven para el ENS, y viceversa. Si quieres profundizar en ese marco internacional, tenemos una guía dedicada sobre qué es ISO 27001 y cómo certificarse que complementa muy bien lo que estás leyendo aquí.
Con NIS2 la conexión es distinta pero igual de relevante. NIS2 es la directiva europea de ciberseguridad que eleva las obligaciones para sectores esenciales e importantes, y comparte con el ENS la lógica de medidas técnicas y organizativas proporcionales al riesgo, la gestión de incidentes y la seguridad en la cadena de suministro. Una organización que ya trabaja bajo el ENS tiene buena parte del camino hecho para NIS2. Para entender ese marco con detalle, puedes leer nuestra guía sobre NIS2 y cómo prepararse, y si te toca lidiar con varios marcos a la vez, la comparativa de cumplimiento simultáneo de DORA y NIS2 te ayudará a ordenar prioridades.
Pasos para adecuarse al ENS
Adecuarse al esquema nacional de seguridad es un proyecto, no un trámite. Estos son los pasos que suelen funcionar mejor:
- Determina el alcance. Identifica qué sistemas tratan información o prestan servicios sujetos al ENS. Acotar bien el alcance evita esfuerzo desperdiciado.
- Categoriza el sistema. Valora las cinco dimensiones de seguridad y asigna la categoría (básica, media o alta). De aquí sale el nivel de exigencia.
- Haz el análisis de riesgos. Identifica amenazas, vulnerabilidades y el impacto potencial sobre tus activos.
- Elabora la Declaración de Aplicabilidad. Documenta qué medidas del catálogo aplican, cuáles no y por qué.
- Implanta las medidas. Despliega los controles organizativos, operacionales y de protección que correspondan.
- Reúne evidencias. Cada medida debe poder demostrarse con pruebas objetivas, no con buenas intenciones.
- Audita y certifica. Para categorías media y alta la conformidad se acredita mediante auditoría; en básica, suele bastar una autoevaluación.
- Mantén y mejora. El ENS no es una foto fija. Revisa periódicamente, actualiza el análisis de riesgos y corrige desviaciones.
El paso que más se subestima es el de las evidencias. Una organización puede tener controles excelentes y aun así suspender una auditoría porque no es capaz de demostrarlos. Y aquí es donde la operativa diaria del parque tecnológico se vuelve decisiva.
Cómo ayuda Inventowry con el cumplimiento del ENS
Buena parte del marco operacional del ENS se sostiene sobre tres pilares muy concretos: saber qué tienes (inventario), saber qué pasa (monitorización) y poder demostrarlo (evidencias y trazabilidad). Eso es exactamente lo que aborda Inventowry, la plataforma de gestión del parque tecnológico desarrollada por Laworatory.
Inventowry mantiene un inventario automático de hardware y software de todos tus dispositivos, en Windows, macOS y Linux, sin que tengas que actualizar hojas de cálculo a mano. Sobre esa base, la monitorización funciona las veinticuatro horas con alertas, de modo que la dimensión de disponibilidad y la gestión de incidentes dejan de depender de la suerte. Cada acción relevante, incluidos los comandos remotos por Shell o PowerShell, queda registrada con historial auditable, lo que alimenta directamente la dimensión de trazabilidad que el ENS exige.
El elemento que más interesa para un proyecto de adecuación es su módulo de cumplimiento. Evalúa automáticamente los controles de tus sistemas contra marcos como ISO 27001, NIS2 y el propio ENS, y genera la Declaración de Aplicabilidad, las evidencias asociadas y reportes listos para el auditor en PDF. En lugar de reconstruir pruebas a mano la semana antes de la auditoría, las tienes recogidas de forma continua. Si gestionas varios clientes o sedes, el enfoque multi-tenant con control de acceso por roles te permite separar entornos sin perder la visión de conjunto.
No se trata de que una herramienta cumpla el ENS por ti, porque el cumplimiento siempre es responsabilidad de la organización. Se trata de que el trabajo pesado, el inventario, la vigilancia y la recolección de evidencias, deje de hacerse a golpe de esfuerzo manual y pase a ser una rutina fiable y demostrable.
Preguntas frecuentes sobre el ENS
¿Qué norma regula el Esquema Nacional de Seguridad?
El ENS está regulado actualmente por el Real Decreto 311/2022, que sustituyó al anterior Real Decreto 3/2010 y actualizó el marco para adaptarlo a la nube, la externalización de servicios y las amenazas actuales.
¿El ENS solo afecta a la Administración pública?
No. Afecta al sector público, pero también a los proveedores y contratistas privados que prestan servicios tecnológicos a esas entidades cuando esos servicios entran en el alcance del esquema. Por eso muchas licitaciones públicas exigen acreditar conformidad con el ENS.
¿Cuántas categorías de seguridad tiene el ENS?
Tres: básica, media y alta. La categoría se asigna según el impacto que tendría un incidente sobre las cinco dimensiones de seguridad, y se corresponde con el nivel más alto de cualquiera de ellas.
¿Qué relación tiene el ENS con ISO 27001?
Ambos comparten un enfoque de gestión del riesgo, política de seguridad, controles proporcionales y mejora continua. Si ya tienes un sistema de gestión de seguridad de la información conforme a ISO 27001, buena parte de las evidencias y procedimientos te sirven para el ENS.
¿Necesito auditoría para acreditar la conformidad?
Para las categorías media y alta, la conformidad se acredita mediante una auditoría formal. Para la categoría básica suele bastar una autoevaluación, aunque conviene mantener las evidencias igualmente.
Empieza a poner orden en tu cumplimiento
El esquema nacional de seguridad no tiene por qué ser un dolor de cabeza si abordas la adecuación con método y te apoyas en herramientas que recogen las evidencias por ti. Si quieres ver cómo se traduce todo esto en tu parque real, puedes probar Inventowry gratis durante catorce días, sin tarjeta, y comprobar de primera mano cómo evalúa tus controles ENS y genera los reportes para auditor: crea tu cuenta de prueba aquí.
