● Ciberglosario
¿Qué es el ENS (Esquema Nacional de Seguridad)?
El ENS (Esquema Nacional de Seguridad) es el marco obligatorio de ciberseguridad de España, regulado por el Real Decreto 311/2022. Establece los principios de seguridad, controles y requisitos de certificación que las administraciones públicas y sus proveedores tecnológicos deben implementar para proteger los sistemas de información, garantizando la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos y servicios. Promulgado originalmente en 2010 (Real Decreto 3/2010), el marco fue sustancialmente actualizado en 2022 para abordar las amenazas cibernéticas modernas, introducir la certificación obligatoria para sistemas de categoría Media y Alta, alinearse con la Directiva NIS2 de la UE e incorporar nuevos controles para la seguridad en la nube y la protección de la cadena de suministro.
Definición y marco legal
El Esquema Nacional de Seguridad (ENS) es el marco legal de ciberseguridad establecido por el Gobierno de España para proteger los sistemas de información y los servicios electrónicos operados por o en nombre de las administraciones públicas. Proporciona un enfoque estructurado y basado en riesgos para la seguridad de la información, definiendo cómo las organizaciones deben salvaguardar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos y servicios digitales.
El ENS fue introducido inicialmente mediante el Real Decreto 3/2010 (8 de enero de 2010), basado en la Ley 11/2007 que estableció el acceso electrónico de los ciudadanos a los servicios públicos. El marco fue sustancialmente actualizado por el Real Decreto 311/2022 (3 de mayo de 2022) para adaptarse al panorama de ciberseguridad en constante evolución y alinearse con la normativa europea.
La actualización de 2022 modernizó el ENS en varias áreas críticas: requisitos más estrictos de gestión de riesgos, certificación obligatoria para sistemas de categoría Media y Alta, nuevos controles para la seguridad en la nube y la protección de la cadena de suministro, plazos más estrictos de notificación de incidentes (dentro de las 24 horas para incidentes significativos) y alineación explícita con la Directiva NIS2 de la UE y el RGPD.
Dato clave: El ámbito del ENS se extiende más allá de los organismos públicos. Cualquier organización del sector privado que procese información del sector público, preste servicios tecnológicos (cloud, SaaS, servicios gestionados) o apoye los sistemas TI de la administración debe cumplir con el ENS al nivel requerido por el contrato o acuerdo de servicio, independientemente de la ubicación de la organización.
Principios fundamentales
El ENS se fundamenta en un conjunto de principios básicos que guían cómo las organizaciones del sector público y sus proveedores deben abordar la ciberseguridad. Estos principios establecen una cultura de seguridad que va más allá de los controles técnicos:
Categorías de seguridad
El ENS clasifica los sistemas de información en tres categorías de seguridad en función del impacto potencial que un incidente tendría sobre la organización, los servicios públicos o los intereses nacionales. Cada categoría determina la exigencia de los controles requeridos, según el Anexo II del Real Decreto 311/2022:
¿Cómo se determina la categoría? Según el Anexo I del Real Decreto 311/2022, la categoría se basa en una evaluación del impacto en cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. El valor más alto en cualquier dimensión determina la categoría global. Si una sola dimensión es Alta, todo el sistema se clasifica como Alta.
¿Quién debe cumplir con el ENS?
El cumplimiento del ENS no se limita a los organismos públicos. El ámbito se extiende a cualquier organización involucrada en el tratamiento de información del sector público o la prestación de servicios digitales a entidades públicas:
| Tipo de organización | Ejemplos | Requisito de certificación |
|---|---|---|
| Organismos de la Administración General del Estado | Ministerios, organismos de la administración central, agencias reguladoras | Obligatoria para Media y Alta |
| Administraciones autonómicas | Comunidades autónomas y sus departamentos | Obligatoria para Media y Alta |
| Entidades de la administración local | Municipios, ayuntamientos, diputaciones provinciales | Obligatoria para Media y Alta |
| Proveedores tecnológicos | Servicios cloud, SaaS, seguridad gestionada, externalización TI | Requerida por contratos del sector público |
| Contratistas y proveedores | Empresas que procesan datos del sector público o dan soporte TI | Requerida por contratos del sector público |
| Operadores de infraestructuras críticas | Energía, transporte, sanidad, servicios financieros | Obligatoria bajo ENS + alineación NIS2 |
Muchas licitaciones públicas exigen la certificación ENS como requisito previo de participación. Cualquier organización, independientemente de su ubicación, que procese información o preste servicios electrónicos a la administración pública española debe cumplir al nivel requerido por el contrato.
Controles y medidas de seguridad
El Anexo II del Real Decreto 311/2022 define un conjunto completo de medidas de seguridad en tres categorías. Estas medidas se escalan en exigencia según la categoría del sistema y constituyen la columna vertebral del cumplimiento del ENS:
Medidas organizativas
Políticas de seguridad, asignación de roles (responsable de seguridad, administrador de sistemas), metodologías de análisis de riesgos y estructuras de gobierno. Definen quién es responsable de la seguridad, qué políticas la gobiernan y cómo se toman las decisiones.
Medidas operacionales
Control de acceso, registro de actividad, gestión de incidentes, planificación de continuidad, gestión de cambios y seguridad de la cadena de suministro. Rigen las operaciones diarias de seguridad. La actualización de 2022 reforzó los requisitos para seguridad en la nube y gestión de riesgos de terceros.
Medidas técnicas
Protección de red, autenticación, controles criptográficos, bastionado de sistemas, detección de código malicioso, prevención de intrusiones y seguridad de las comunicaciones. Son los controles tecnológicos que protegen directamente sistemas y datos.
| Área de control | Básica | Media | Alta |
|---|---|---|---|
| Control de acceso | Autenticación de factor único | Autenticación multifactor | MFA avanzada + controles de acceso privilegiado |
| Registro de actividad | Registros de auditoría básicos | Registro detallado con retención | SIEM centralizado con análisis en tiempo real |
| Protección de red | Firewall perimetral | Segmentación de red + IDS/IPS | Monitorización avanzada de red + XDR |
| Respuesta a incidentes | Procedimiento documentado | Equipo de incidentes + notificación CCN-CERT | Notificación obligatoria 24h + respuesta automatizada |
| Criptografía | Cifrado estándar | Algoritmos criptográficos validados | Productos criptográficos aprobados por el CCN |
| Análisis de riesgos | Evaluación informal | Metodología formal (ej. PILAR) | Análisis exhaustivo + revisión continua |
Proceso de certificación
La obtención de la certificación ENS es un proceso estructurado que valida el cumplimiento con los requisitos del Real Decreto 311/2022. Para sistemas de categoría Media o Alta, la certificación es obligatoria y debe renovarse periódicamente:
Catálogo CPSTIC y el papel del CCN
El CPSTIC (Catálogo de Productos y Servicios de Seguridad TIC) es el catálogo oficial mantenido por el Centro Criptológico Nacional (CCN) de España. Lista los productos de ciberseguridad evaluados y certificados para entornos regulados por el ENS.
El CCN, dependiente del Centro Nacional de Inteligencia (CNI), desarrolla guías de seguridad (CCN-STIC), gestiona el catálogo CPSTIC, coordina la respuesta a incidentes a través del CCN-CERT y define los criterios técnicos de cumplimiento del ENS.
Productos cualificados
Certificados para proteger información administrativa sensible regulada por el ENS. Requiere certificación LINCE (categoría Media) o Common Criteria (categoría Alta), más validación criptográfica.
Productos aprobados
Para entornos de información clasificada (CONFIDENCIAL, SECRETO). Incluye validación de diseño, revisión criptográfica y análisis del ciclo de vida de desarrollo seguro.
Por qué importa el CPSTIC: El artículo 19 del ENS exige productos certificados. El CPSTIC es la referencia oficial de adquisición. La inclusión supone una certificación de calidad y una ventaja estratégica en el mercado.
Teldat y el cumplimiento del ENS
El ecosistema be.Safe de Teldat proporciona soluciones integradas de ciberseguridad y redes para el cumplimiento del ENS en todas las categorías, con certificación CPSTIC a nivel ENS Alta.
be.Safe Pro: seguridad de red en todos los niveles
NGFW, IPS con más de 15.000 firmas, más de 4.000 decodificadores de aplicaciones, 84 categorías de filtrado web. Desplegada en routers SD-WAN con aprovisionamiento Zero Touch, sin appliances independientes. Cubre los controles ENS de protección de red, control de acceso y prevención de amenazas.
be.Safe XDR: detección y respuesta para Media y Alta
Modelos de machine learning personalizados que detectan movimiento lateral, exfiltración de datos y escalada de privilegios. Respuesta automatizada: reconfiguración de red, aislamiento de dispositivos, bloqueo de conexiones, cumpliendo los requisitos de detección avanzada y respuesta del ENS.
ZTNA y Zero Trust SD-WAN
Acceso por aplicación basado en identidad mediante ZTNA. Microsegmentación en todas las sedes mediante Zero Trust SD-WAN, cada sede como zona de seguridad aislada.
Certificación CPSTIC/CCN a nivel ENS Alta
Soluciones incluidas en el CPSTIC a nivel ENS Alta, la categoría más exigente para despliegues críticos del sector público.
Cumplimiento unificado: NGFW (protección de red) + XDR (detección/respuesta) + ZTNA (control de acceso) + Zero Trust SD-WAN (microsegmentación). Todo mapeado al Anexo II del ENS, certificado CPSTIC, gestionado desde una única consola cloud, con el mayor despliegue SD-WAN + XDR de Europa (Junta de Andalucía) como prueba de escala.
Preguntas frecuentes – FAQ’s
❯ ¿Qué es el ENS (Esquema Nacional de Seguridad)?
Es el marco nacional de ciberseguridad de España (Real Decreto 311/2022). Define principios de seguridad, controles y requisitos para administraciones públicas y sus proveedores, garantizando confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
❯ ¿Quién debe cumplir con el ENS?
Todos los organismos de la administración pública española, empresas privadas que presten servicios tecnológicos o procesen datos para entidades públicas, operadores de infraestructuras críticas y subcontratistas.
❯ ¿Cuáles son las categorías de seguridad del ENS?
Básica (impacto mínimo, certificación voluntaria), Media (certificación obligatoria), Alta (certificación obligatoria + supervisión continua). Determinadas por el impacto en cinco dimensiones.
❯ ¿Qué es el catálogo CPSTIC?
Catálogo oficial del CCN de productos de ciberseguridad evaluados: Cualificados (para sistemas ENS, certificados mediante LINCE/Common Criteria) y Aprobados (para información clasificada).
❯ ¿Cómo se relaciona el ENS con ISO 27001 y NIS2?
Comparte un 70–80% de los controles con ISO 27001, más requisitos específicos de España. El Real Decreto 311/2022 se alinea explícitamente con la Directiva NIS2 de la UE.
❯ ¿Es obligatoria la certificación ENS?
Obligatoria para Media y Alta. Voluntaria para Básica (cumplimiento obligatorio). Validez de dos años. Exigida como requisito previo en muchas licitaciones públicas.
❯ ¿Cómo ayuda Teldat con el cumplimiento del ENS?
be.Safe Pro y be.Safe XDR están certificados CPSTIC a nivel ENS Alta. Seguridad de red (NGFW, IPS), detección de amenazas (XDR con IA), control de acceso (ZTNA), microsegmentación (Zero Trust SD-WAN): múltiples controles del Anexo II del ENS desde una plataforma unificada.
Logra el cumplimiento del ENS con Teldat
Soluciones de ciberseguridad certificadas CPSTIC que cumplen los requisitos del ENS en todas las categorías: protección de red, detección de amenazas, control de acceso y respuesta automatizada a incidentes.
