El Esquema Nacional de Seguridad es el marco legal que obliga al sector público español, y a las empresas que le prestan servicios, a proteger la información y los sistemas con un nivel de seguridad común. Está regulado por el Real Decreto 311/2022, de 3 de mayo, y su cumplimiento se demuestra mediante una certificación o una autoevaluación según la categoría del sistema.
Lo esencial
- Qué es: el ENS fija los requisitos mínimos de seguridad de la información para las entidades del sector público y sus proveedores tecnológicos. Lo regula el Real Decreto 311/2022.
- A quién obliga: a todas las Administraciones Públicas y, por extensión, a las empresas privadas que les prestan servicios o les venden soluciones que tratan su información.
- Cómo se organiza: tres categorías de sistema (BÁSICA, MEDIA y ALTA), cinco dimensiones de seguridad y 73 medidas agrupadas en tres marcos.
- Cómo se acredita: autoevaluación para categoría BÁSICA y certificación formal por entidad acreditada para las categorías MEDIA y ALTA.
- Plazo de adecuación: 24 meses desde la entrada en vigor del RD 311/2022 para los sistemas ya existentes, ampliable de forma justificada.
¿Qué es el Esquema Nacional de Seguridad?
El Esquema Nacional de Seguridad (ENS) es el conjunto de principios y requisitos de seguridad que deben cumplir los sistemas de información del sector público español para garantizar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad y la trazabilidad de los datos que tratan. Su objetivo es que cualquier ciudadano que se relacione con la Administración por medios electrónicos lo haga con garantías de seguridad equivalentes.
El marco vigente es el Real Decreto 311/2022, de 3 de mayo, que sustituyó al anterior Real Decreto 3/2010 y lo actualizó para alinearlo con el reglamento europeo de protección de datos y con la realidad actual de las amenazas. El órgano de referencia para su aplicación es el Centro Criptológico Nacional (CCN), que publica las guías técnicas de la serie CCN-STIC y opera el CCN-CERT como capacidad de respuesta a incidentes.
¿A quién obliga el ENS?
El ENS obliga a todo el sector público y a las empresas privadas que le prestan servicios. No es voluntario para quien entra en su ámbito: es una obligación legal derivada de la Ley 40/2015 de Régimen Jurídico del Sector Público.
En la práctica, quedan dentro del ámbito de aplicación tres grandes grupos. Primero, las Administraciones Públicas: Estado, comunidades autónomas, entidades locales y el sector público institucional. Segundo, los sistemas que tratan información clasificada, con su normativa específica. Y tercero, un grupo que crece cada año, las empresas del sector privado que prestan servicios o aportan soluciones tecnológicas a entidades públicas. Si una empresa aloja datos de un ayuntamiento, desarrolla software para una consejería o gestiona la sede electrónica de un organismo, debe cumplir el ENS en la parte del servicio que afecta a esa entidad.
Por ejemplo: una empresa que ofrece software de compliance y protección de datos y quiere concurrir a una licitación pública para un sistema de gestión documental necesitará acreditar la conformidad con el ENS de la solución ofertada. Sin esa certificación, en muchos pliegos ni siquiera puede presentarse.
¿Cuáles son las categorías del ENS?
El ENS clasifica cada sistema de información en una de tres categorías de seguridad: BÁSICA, MEDIA o ALTA. La categoría se determina valorando el impacto que tendría un incidente sobre cada una de las cinco dimensiones de seguridad, y de ella depende el número y la exigencia de las medidas que hay que aplicar.
| Categoría | Cuándo se asigna | Cómo se acredita la conformidad |
|---|---|---|
| BÁSICA | El perjuicio de un incidente sería limitado sobre las funciones o los activos de la entidad | Autoevaluación y declaración de conformidad |
| MEDIA | El perjuicio sería grave | Certificación formal por entidad de certificación acreditada |
| ALTA | El perjuicio sería muy grave o afectaría a funciones esenciales | Certificación formal por entidad de certificación acreditada |
La categoría no se elige, se deduce del análisis de riesgos. Subir de categoría implica aplicar medidas más estrictas y, sobre todo, pasar de la autoevaluación a una auditoría de certificación independiente.
¿Qué son las dimensiones y las medidas de seguridad?
El ENS valora la seguridad sobre cinco dimensiones y la materializa en 73 medidas concretas agrupadas en tres marcos. Las dimensiones permiten medir cuánto importa proteger cada activo; las medidas dicen qué hacer.
Las cinco dimensiones de seguridad son la confidencialidad, la integridad, la trazabilidad, la autenticidad y la disponibilidad. Cada sistema se valora en cada dimensión con un nivel BAJO, MEDIO o ALTO, y el conjunto determina la categoría global.
Las medidas se reparten en tres marcos. El marco organizativo recoge las políticas, la normativa interna y los procedimientos. El marco operacional cubre la planificación, el control de acceso, la explotación, los servicios externos, la continuidad y la monitorización. Y las medidas de protección se aplican sobre instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, información y servicios. La cantidad de medidas aplicables crece con la categoría del sistema.
¿Cómo adecuarse al ENS paso a paso?
La adecuación al ENS sigue una secuencia de cinco fases que va del diagnóstico a la certificación. Recorrerla con orden evita rehacer trabajo y reduce el coste de la auditoría.
- Categorizar el sistema. Identifica la información y los servicios, valora su impacto en las cinco dimensiones y asigna la categoría (BÁSICA, MEDIA o ALTA).
- Analizar los riesgos. Realiza un análisis de riesgos formal que justifique las medidas seleccionadas y la gestión del riesgo residual.
- Elaborar la Declaración de Aplicabilidad. Documenta qué medidas aplican, cómo se implantan y cuáles se excluyen de forma motivada. El concepto es el mismo que la Declaración de Aplicabilidad de la ISO 27001 (SoA), que puedes reutilizar como punto de partida.
- Implantar las medidas y redactar la política de seguridad. Despliega los controles técnicos y organizativos y aprueba la política de seguridad de la información firmada por la dirección.
- Auditar y certificar. Autoevaluación para BÁSICA; auditoría de certificación por entidad acreditada para MEDIA y ALTA, con renovación periódica.
El plazo general de adecuación que fijó el Real Decreto 311/2022 fue de veinticuatro meses para los sistemas existentes a su entrada en vigor, con posibilidad de ampliación justificada cuando concurren circunstancias que impiden cumplirlo.
¿Qué relación tiene el ENS con la ISO 27001 y el RGPD?
El ENS, la ISO 27001 y el RGPD se solapan en buena parte de sus controles, pero responden a obligaciones distintas y no se sustituyen entre sí. Entender la diferencia ahorra duplicar trabajo.
La ISO 27001 es una norma internacional voluntaria que certifica un sistema de gestión de la seguridad de la información (SGSI). El ENS es de cumplimiento obligatorio para el sector público y su cadena de proveedores. Comparten una parte importante de medidas, de modo que una organización con la ISO 27001 ya implantada tiene mucho camino recorrido para el ENS, y existen tablas de correspondencia que facilitan el aprovechamiento. Aun así, el ENS añade requisitos propios y su esquema de categorías, por lo que la certificación ISO no equivale automáticamente a la conformidad con el ENS.
El RGPD, por su parte, protege los datos personales y obliga a aplicar medidas de seguridad adecuadas al riesgo (artículo 32). El ENS protege la información y los servicios del sector público en general, incluyan o no datos personales. Cuando un sistema bajo ENS trata datos personales, ambos marcos conviven: el ENS aporta el catálogo de medidas técnicas y organizativas y el RGPD impone el deber de protección y la notificación de brechas. Si quieres profundizar en la otra cara de esa moneda, revisa la guía de protección de datos para empresas y el RGPD. A esto se suma, en el plano de la ciberseguridad, la obligación de cumplir la directiva NIS2 sobre gestión del parque tecnológico para los servicios esenciales y digitales.
Preguntas frecuentes sobre el ENS
¿El ENS es obligatorio para empresas privadas?
Sí, cuando la empresa presta servicios a entidades del sector público o les vende soluciones tecnológicas que tratan su información. En ese caso debe acreditar la conformidad con el ENS en la parte del servicio que afecta a la Administración, normalmente como requisito de los pliegos de contratación.
¿Cuánto cuesta certificarse en el ENS?
No existe una tarifa única. El coste depende de la categoría del sistema (BÁSICA, MEDIA o ALTA), del alcance, del estado de madurez de partida y de si ya se cuenta con un SGSI como la ISO 27001. La categoría BÁSICA se resuelve con autoevaluación, mientras que MEDIA y ALTA requieren una auditoría de certificación por una entidad acreditada, lo que eleva el coste.
¿Qué diferencia hay entre autoevaluación y certificación en el ENS?
La autoevaluación es una valoración interna que la propia entidad documenta y declara, válida para los sistemas de categoría BÁSICA. La certificación es una auditoría realizada por una entidad de certificación acreditada e independiente, obligatoria para las categorías MEDIA y ALTA, y se renueva de forma periódica.
¿Cada cuánto hay que renovar la conformidad con el ENS?
La conformidad no es indefinida. Las certificaciones de las categorías MEDIA y ALTA tienen una vigencia limitada y exigen auditorías de seguimiento y de renovación. Además, cualquier cambio significativo en el sistema o en su análisis de riesgos obliga a revisar la categorización y las medidas.
¿Quién supervisa el cumplimiento del ENS?
El Centro Criptológico Nacional (CCN) es el órgano de referencia, publica las guías CCN-STIC y opera el CCN-CERT. La conformidad de los sistemas de categoría MEDIA y ALTA la verifican entidades de certificación acreditadas por la Entidad Nacional de Acreditación (ENAC).
Conclusión
El Esquema Nacional de Seguridad ya no es solo cosa de la Administración. Cualquier empresa que aspire a trabajar con el sector público necesita ordenar su seguridad de la información alrededor del Real Decreto 311/2022, categorizar bien sus sistemas y decidir, según la categoría, entre autoevaluación o certificación. El esfuerzo se aprovecha: una base sólida en el ENS facilita la ISO 27001, refuerza el cumplimiento del RGPD y abre la puerta a las licitaciones públicas.
Fuentes: Real Decreto 311/2022, de 3 de mayo (BOE); Ley 40/2015, de Régimen Jurídico del Sector Público; Centro Criptológico Nacional (CCN-CERT). Datos de keyword verificados con DataForSEO (España, 2026-06-22).
Última actualización: 22 de junio de 2026.
