ENS para proveedores cloud en España: catálogo cualificado y cómo elegir
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La guía CCN-STIC 823 establece el marco de referencia para el uso de servicios en la nube en sistemas bajo el ENS. El uso de cloud en sistemas de categoría Medio o Alta exige que el proveedor cloud esté incluido en el Catálogo de Servicios Cloud Cualificados del CCN. Los principales proveedores hiperescala (AWS, Microsoft Azure, Google Cloud, Oracle) tienen servicios ENS certificados, pero no todos sus servicios están cualificados.
Puntos clave
- 1Los servicios cloud usados en sistemas ENS de categoría Media y Alta deben estar en el Catálogo CCN
- 2El Catálogo de Servicios Cloud Cualificados del CCN es público y consultable online
- 3AWS, Azure y Google Cloud tienen servicios certificados ENS, pero solo algunos de ellos
- 4El ENS exige que el contrato con el proveedor cloud incluya cláusulas de seguridad y auditoría
- 5La responsabilidad del cumplimiento ENS siempre recae sobre la entidad (Administración o proveedor), no sobre el cloud
- 6Para sistemas de categoría Baja se puede usar cloud sin estar en el catálogo, con justificación documentada
El Catálogo de Servicios Cloud Cualificados del CCN
El CCN mantiene y actualiza el Catálogo de Servicios Cloud Cualificados, accesible en su web. El catálogo incluye proveedores que han superado el proceso de cualificación para cada nivel ENS. Para utilizar un servicio cloud en un sistema ENS de nivel Medio o Alto, debes verificar que el servicio específico (no el proveedor genéricamente) está cualificado en el catálogo.
Responsabilidad compartida en el modelo cloud
El modelo de responsabilidad compartida divide las obligaciones de seguridad entre el proveedor cloud (infraestructura física, red, hipervisor) y el cliente (configuración, datos, identidades, aplicaciones). Para el ENS, la entidad es siempre responsable de demostrar el cumplimiento de las medidas del Anexo II, incluso si utiliza servicios cloud cualificados. El proveedor solo cubre la parte de su alcance de control.
- Responsabilidad del proveedor cloud: seguridad física de los centros de datos, red global, hipervisor
- Responsabilidad del cliente: configuración de servicios, gestión de identidades y accesos (IAM), cifrado de datos propios, configuración de redes virtuales
- Responsabilidad compartida: sistemas operativos (IaaS), aplicaciones (PaaS), control de acceso de usuarios
Próximos pasos recomendados
- 1Consulta el Catálogo de Servicios Cloud Cualificados del CCN antes de seleccionar un servicio cloud
- 2Verifica que los servicios específicos que vayas a utilizar están cualificados en el nivel ENS que necesitas
- 3Revisa los contratos con proveedores cloud para incluir cláusulas de seguridad, auditoría y notificación de incidentes
- 4Documenta la distribución de responsabilidades con el proveedor cloud en tu documentación de seguridad ENS
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- CCN — Catálogo de Servicios Cloud Cualificados — Catálogo oficial del CCN de servicios cloud cualificados para el ENS
- CCN-STIC 823 — Utilización de servicios en la nube — Guía del CCN sobre el uso de servicios cloud en el marco del ENS
- RD 311/2022 op.ext — BOE — Medidas del Anexo II sobre servicios externos en el ENS
- ENISA — Cloud Cybersecurity Certification — Marco europeo de certificación de ciberseguridad para servicios cloud (EUCS)
También en ENS