ENS (RD 311/2022): guía práctica para entidades públicas y proveedores
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
El Real Decreto 311/2022 actualizó el Esquema Nacional de Seguridad (ENS), el marco normativo de seguridad para los sistemas de información de las Administraciones Públicas españolas y sus proveedores. La gran novedad respecto al RD 3/2010 es la extensión explícita a los proveedores y contratistas TIC que presten servicios a la Administración.
Puntos clave
- 1El ENS aplica a todas las Administraciones Públicas y a sus proveedores TIC
- 2Los sistemas se clasifican en tres niveles: Bajo, Medio y Alto, según el impacto de un incidente
- 3El Anexo II define las medidas de seguridad organizadas en tres marcos: organizativo, operacional y de protección
- 4Los niveles Medio y Alto requieren auditoría; el Alto requiere certificación por entidad acreditada (ENAC)
- 5El plazo de adecuación al RD 311/2022 era el 2 de mayo de 2024
- 6El CCN ofrece la herramienta PILAR para la valoración y el análisis de riesgos
Tres niveles de seguridad
El nivel de seguridad de un sistema se determina valorando el impacto potencial de un incidente sobre las cinco dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. El nivel más alto de cualquier dimensión determina el nivel del sistema.
| Nivel | Impacto potencial | Certificación requerida |
|---|---|---|
| Bajo | Daño limitado a las funciones de la organización | Declaración de conformidad firmada |
| Medio | Daño grave a funciones o activos | Auditoría (interna o externa) |
| Alto | Daño muy grave a la misión o a personas | Certificación por entidad acreditada ENAC |
Estructura del Anexo II: medidas de seguridad
El Anexo II organiza las medidas en tres bloques. El marco organizativo incluye política de seguridad y normativa interna. El marco operacional cubre el análisis de riesgos, control de acceso, explotación, servicios externos y continuidad del servicio. Las medidas de protección abordan instalaciones, personal, equipos, redes, soportes, aplicaciones e información.
¿Qué deben hacer los proveedores TIC?
Si eres proveedor de servicios o soluciones TIC a la Administración, el pliego de contratación indicará el nivel ENS requerido. Debes: (1) identificar qué sistemas o servicios están en el ámbito del contrato; (2) clasificarlos según el Anexo I del RD 311/2022; (3) implantar las medidas del Anexo II para ese nivel; (4) obtener la declaración o certificación requerida.
Próximos pasos recomendados
- 1Identifica qué contratos con la Administración están en ámbito ENS y qué nivel requieren
- 2Realiza la valoración de tus sistemas con la herramienta PILAR del CCN o metodología propia
- 3Implanta las medidas del Anexo II correspondientes a tu nivel
- 4Contacta con una entidad certificadora acreditada por ENAC si necesitas certificación de nivel Alto
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Real Decreto 311/2022 — BOE — Texto oficial del Esquema Nacional de Seguridad
- CCN — Portal ENS — Portal oficial del CCN con recursos ENS, PILAR y guías CCN-STIC
- CCN-CERT — Series CCN-STIC — Guías técnicas del Centro Criptológico Nacional para implementar el ENS
- ENAC — Entidades certificadoras ENS — Listado de entidades acreditadas por ENAC para certificar el ENS
También en ENS