Cumplimiento

Esquema Nacional de Seguridad (ENS): guía 2026

ENS Real Decreto 311/2022: niveles de seguridad, certificación, plazos y conexión con RGPD. Guía completa para sector público y proveedores.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20266 min read

En una frase. El ENS es el marco obligatorio de seguridad para el sector público español y para los proveedores que prestan servicios al sector público; el Real Decreto 311/2022 consolida tres niveles de exigencia y una certificación auditada cada dos años.

Puntos clave

  • Base normativa: Ley 40/2015, RD 311/2022 y Guías CCN-STIC.
  • Categorías: básica, media, alta según impacto sobre confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
  • Auditoría obligatoria cada dos años para nivel medio y alto.
  • Certificación gestionada por entidades acreditadas por ENAC.
  • Aplica a todo proveedor que trate información de sector público español, sea privado o extranjero.

1. Qué es el ENS

El Esquema Nacional de Seguridad establece la política de seguridad obligatoria para los sistemas de información de las administraciones públicas españolas y de cualquier entidad que les preste servicios. Aprobado inicialmente por RD 3/2010, fue reformado por el RD 311/2022 que actualiza medidas, simplifica controles y alinea el marco con la NIS2 y con normas internacionales.

El Centro Criptológico Nacional (CCN) es la autoridad técnica que publica las guías CCN-STIC y la herramienta INES de medición.

2. Ámbito subjetivo de aplicación

  • Administración General del Estado, comunidades autónomas y entidades locales.
  • Organismos autónomos, agencias y empresas públicas que traten información del sector público.
  • Universidades públicas.
  • Proveedores privados que presten servicios al sector público español, incluidos los extranjeros.

La aplicación a proveedores es el cambio más relevante del RD 311/2022. Cualquier empresa que aspire a contratar con la administración debe poder demostrar conformidad con el ENS.

3. Las cinco dimensiones de seguridad

Dimensión Pregunta clave
Confidencialidad ¿Quién puede acceder?
Integridad ¿Se ha alterado?
Disponibilidad ¿Está accesible cuando se necesita?
Autenticidad ¿Quién lo emite es quien dice ser?
Trazabilidad ¿Puedo reconstruir qué pasó?

Cada sistema se categoriza dimensión a dimensión en uno de los tres niveles.

4. Categorías: básica, media, alta

  • Básica: impacto limitado en caso de incidente. Aplicable a sistemas no críticos. Conjunto reducido de medidas obligatorias.
  • Media: impacto significativo. Aplicable a la mayoría de sistemas administrativos con datos personales corrientes.
  • Alta: impacto grave o muy grave. Aplicable a sistemas con datos especiales, infraestructuras críticas o servicios esenciales.

La categorización la realiza el responsable del sistema con criterios del Anexo I del RD.

5. Medidas de seguridad: Anexo II

El Anexo II del RD 311/2022 enumera 73 medidas distribuidas en tres marcos:

  • Marco organizativo (4 medidas): política, normativa, procedimientos, autorización.
  • Marco operacional (32 medidas): planificación, control de acceso, explotación, protección de servicios externalizados, continuidad y monitorización.
  • Marco de protección (37 medidas): instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, información y servicios.

Cada medida tiene niveles de aplicación según la categoría del sistema. La herramienta CCN-Pilar facilita la trazabilidad medida a medida.

6. Certificación ENS

La certificación es obligatoria para sistemas de categoría media y alta. Es voluntaria para categoría básica, aunque cada vez más exigida contractualmente. Proceso:

  1. Designación del responsable de seguridad.
  2. Análisis y gestión de riesgos (Magerit recomendado).
  3. Declaración o Certificación de Aplicabilidad.
  4. Implantación de medidas.
  5. Auditoría por entidad acreditada por ENAC.
  6. Emisión del certificado, válido dos años.

El coste medio de una certificación para una pyme oscila entre 8.000 EUR y 25.000 EUR según alcance.

7. Niveles de certificación: cumplimiento, conformidad

  • Declaración de Conformidad: para categoría básica, mediante autoevaluación.
  • Certificación de Conformidad: para categoría media y alta, mediante auditoría externa.

Ambas se publican en el Registro de Conformidad gestionado por el CCN.

8. Conexión ENS y RGPD

ENS y RGPD son complementarios. El ENS aporta el marco técnico-organizativo concreto que el RGPD exige en términos generales en el artículo 32. La AEPD ha considerado la certificación ENS como atenuante en procedimientos sancionadores cuando la brecha afecta a sistemas certificados.

Aspectos comunes:

  • Análisis de riesgos: Magerit para ENS, EIPD para RGPD.
  • Medidas técnicas y organizativas: Anexo II ENS aplicable como referencia art. 32 RGPD.
  • Gestión de incidentes: ENS exige notificación al CCN-CERT, RGPD a la AEPD.
  • Roles: responsable de seguridad ENS y DPO RGPD suelen coordinarse.

9. Notificación de incidentes

El RD 311/2022 obliga a notificar al CCN-CERT incidentes que afecten a la seguridad de los sistemas. Plazos:

  • Incidente de impacto alto o muy alto: notificación inmediata (máximo 24 horas).
  • Incidente de impacto medio: 72 horas.
  • Incidente de impacto bajo: 5 días.

Cuando el incidente afecta a datos personales, debe notificarse paralelamente a la AEPD conforme al artículo 33 RGPD. Consulte la guía sobre brecha de seguridad RGPD.

10. Coordinación con NIS2 y DORA

NIS2 (Directiva 2022/2555, transpuesta por Ley de Ciberseguridad 2025) y DORA (Reglamento 2022/2554 para entidades financieras) coexisten con el ENS. Para entidades sujetas a varios marcos, el ENS cubre buena parte de los requisitos de NIS2. El CCN ha publicado guías de mapeo cruzado para evitar duplicación de controles.

11. Errores frecuentes en proyectos ENS

  • Subestimar la categorización para reducir esfuerzo (la AEPD y el CCN revisan).
  • Tratar el análisis de riesgos como trámite documental.
  • No actualizar la Declaración de Aplicabilidad tras cambios de sistema.
  • Ignorar la cláusula ENS en contratos con encargados.
  • No formar al personal en las medidas implantadas.
  • No realizar la auditoría bienal a tiempo (pierde la certificación).

12. Hoja de ruta de implantación para una pyme proveedora

Fase Duración Hito
Diagnóstico inicial 2 semanas Brecha frente al Anexo II
Categorización 1 semana Aprobación dirección
Plan de adecuación 4 semanas Hitos y presupuesto
Implantación medidas 3-6 meses Política, procedimientos, controles
Auditoría interna 2 semanas Informe correctivo
Auditoría externa 4-6 semanas Certificación

Una pyme bien organizada puede certificarse en 6-9 meses. Integrar la certificación con el checklist RGPD reduce duplicidades.

FAQ

¿El ENS se aplica a empresas privadas?

Solo cuando prestan servicios al sector público español. Si no se contrata con la administración, el ENS no es obligatorio, aunque puede usarse como referencia de buenas prácticas.

¿La certificación ENS sustituye a la conformidad RGPD?

No. Son marcos diferentes. La certificación ENS cubre seguridad, pero el RGPD exige cumplimiento integral de los principios del artículo 5 y los derechos del interesado.

¿Cuánto cuesta certificarse?

Entre 8.000 EUR y 60.000 EUR según tamaño y alcance del sistema. La auditoría representa entre el 30% y el 50% del coste total.

¿Quién emite la certificación?

Entidades de certificación acreditadas por ENAC. El listado actualizado se publica en el sitio web del CCN.

¿Cada cuánto debo renovar la certificación?

Cada dos años para nivel medio y alto. Adicionalmente, cada año debe realizarse autoevaluación documentada conforme a CCN-STIC 802.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →