En breve: El Esquema Nacional de Seguridad obliga a toda administración pública y a sus proveedores que tratan información del sector público. Una consultoría ENS te ayuda a categorizar tus sistemas en BÁSICA, MEDIA o ALTA, a elaborar la declaración de aplicabilidad y el plan de adecuación, a implantar las medidas que exige el Real Decreto 311/2022 y a preparar la auditoría. En este artículo te explico qué incluye el servicio, cómo se desarrolla el proyecto fase a fase y cómo se cierra con la certificación de conformidad por una entidad acreditada.
Qué es el ENS y a quién obliga
El Esquema Nacional de Seguridad es el marco que fija los requisitos mínimos de seguridad para los sistemas de información del sector público en España. Hoy se rige por el Real Decreto 311/2022, de 3 de mayo, que derogó el anterior Real Decreto 3/2010 y actualizó tanto los principios como el catálogo de medidas. Si quieres entender el marco completo antes de seguir, escribí una Guía completa del Esquema Nacional de Seguridad donde lo desgloso con más detalle.
La obligación alcanza a un universo más amplio del que muchos creen. Por un lado, a las administraciones públicas en sentido estricto: la Administración General del Estado, las comunidades autónomas y las entidades locales, además de sus organismos y entidades de derecho público. El caso de los ayuntamientos tiene particularidades de tamaño y recursos que tratamos aparte en este análisis sobre el ENS en la administración local.
Por otro lado, y esto es lo que se olvida con frecuencia, el ENS también afecta a las empresas privadas que prestan servicios a esas administraciones cuando esos servicios implican tratar información o sistemas del sector público. Un proveedor de software, un hosting que aloja datos de un ayuntamiento o una empresa que gestiona una sede electrónica entran de lleno en el ámbito. En la práctica, cada vez más pliegos de contratación exigen la conformidad con el ENS como condición para licitar.
Categorías de seguridad: BÁSICA, MEDIA y ALTA
El ENS no aplica el mismo nivel de exigencia a todos los sistemas. Cada sistema se clasifica en una de tres categorías: BÁSICA, MEDIA o ALTA. Esa categoría determina qué medidas de seguridad son obligatorias y con qué intensidad hay que aplicarlas. Cuanto mayor es la categoría, más medidas y más rigor.
La categoría no se elige a dedo. Se calcula valorando el impacto que tendría un incidente sobre cinco dimensiones de seguridad: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Para cada dimensión se asigna un nivel BAJO, MEDIO o ALTO según el perjuicio que causaría su pérdida. La categoría del sistema es la del nivel más alto que alcance cualquiera de sus dimensiones, salvo matices que el propio anexo del real decreto detalla.
Un ejemplo aclara la lógica. Un portal informativo que solo publica contenidos sin datos personales sensibles probablemente quede en BÁSICA. Un sistema que gestiona el padrón o expedientes con datos de salud, donde una filtración tendría consecuencias serias, escala con facilidad a MEDIA o ALTA. Categorizar bien es el cimiento de todo el proyecto: si te pasas, gastas de más; si te quedas corto, no cumples.
| Categoría | Cuándo aplica (impacto del incidente) | Exigencia de medidas |
|---|---|---|
| BÁSICA | Ninguna dimensión supera el nivel BAJO | Conjunto mínimo de medidas de protección |
| MEDIA | Alguna dimensión alcanza el nivel MEDIO | Medidas reforzadas en gestión, control y monitorización |
| ALTA | Alguna dimensión alcanza el nivel ALTO | Medidas de máxima exigencia y controles adicionales |
Qué incluye una consultoría ENS
Cuando hablo de consultoría ENS no me refiero solo a entregar un informe. Me refiero a acompañar a la organización desde el diagnóstico hasta el momento en que un auditor externo puede certificar la conformidad. El alcance habitual cubre estos bloques de trabajo.
Análisis diferencial o GAP
Es la foto de partida. Comparamos lo que la organización hace hoy con lo que el ENS exige para su categoría y obtenemos la lista de brechas. Sin este análisis es imposible planificar con realismo, porque no sabes cuánto camino te queda.
Categorización de los sistemas
Clasificamos cada sistema en BÁSICA, MEDIA o ALTA con el método que describí antes, documentando las decisiones para que sean defendibles ante el auditor.
Declaración de aplicabilidad
Es el documento que dice, medida a medida, cuáles aplican al sistema, con qué alcance y por qué. Cuando una medida no aplica, hay que justificarlo de forma motivada. La declaración de aplicabilidad es uno de los entregables que más mira el auditor.
Plan de adecuación
Convierte las brechas del GAP en un plan de acción con responsables, prioridades y plazos. Aquí se decide qué se arregla primero, normalmente lo que más reduce el riesgo con menos esfuerzo.
Implantación de medidas
Es la parte de ejecución: políticas, procedimientos, controles técnicos, gestión de accesos, registro de actividad, copias de seguridad y todo lo que el catálogo exige. Sin implantación real no hay certificación posible; los papeles no bastan.
Preparación de la auditoría
Antes de llamar a la entidad certificadora conviene una revisión interna que simule la auditoría y cace los flecos. Es mucho más barato corregir una no conformidad antes de que la detecte el auditor oficial.
Este alcance es, en esencia, una consultoría de cumplimiento normativo aplicada a un marco concreto, con la diferencia de que el ENS termina en una certificación verificable por un tercero.
Las fases del proyecto paso a paso
Cada organización tiene su ritmo, pero un proyecto ENS bien ordenado suele recorrer estas fases. Las presento en el orden en que las ejecuto, porque saltarse pasos pasa factura más adelante.
- Alcance y arranque. Definimos qué sistemas entran en el proyecto, quién es el responsable de la seguridad y cómo vamos a trabajar. Un alcance mal delimitado es la causa más común de proyectos que se eternizan.
- Categorización. Valoramos las cinco dimensiones de cada sistema y fijamos su categoría. De aquí sale el nivel de exigencia para todo lo demás.
- Análisis diferencial. Medimos la distancia entre la situación actual y lo exigible. El resultado es el listado priorizado de brechas.
- Análisis de riesgos. Identificamos amenazas y valoramos el riesgo para decidir qué tratamos primero. El ENS lo exige y, además, da sentido a las prioridades del plan.
- Declaración de aplicabilidad y plan de adecuación. Documentamos qué medidas aplican y trazamos la hoja de ruta para cerrar las brechas.
- Implantación. Ejecutamos el plan: políticas, procedimientos y controles técnicos. Es la fase más larga y la que más depende de los recursos internos.
- Revisión interna. Comprobamos que las evidencias existen y son coherentes antes de la auditoría externa.
- Auditoría de certificación. Una entidad acreditada verifica la conformidad y, si todo encaja, emite la certificación.
No te doy plazos cerrados a propósito. El tiempo total depende de la categoría, del número de sistemas y, sobre todo, del punto de partida. Una organización que ya tiene políticas de seguridad avanza mucho más rápido que una que empieza de cero.
La auditoría de certificación de conformidad con el ENS
La conformidad con el ENS se acredita mediante una auditoría realizada por una entidad de certificación acreditada para ello. No vale una autoevaluación interna cuando se busca la certificación formal: el valor está precisamente en que un tercero independiente verifica que las medidas existen y funcionan.
El auditor revisa la documentación (categorización, declaración de aplicabilidad, análisis de riesgos, políticas) y comprueba sobre el terreno que las medidas declaradas están realmente implantadas y operativas. Si encuentra desviaciones, las clasifica según su gravedad y la organización debe corregirlas. Resueltas las no conformidades, se emite el certificado de conformidad con el ENS, que tiene una vigencia determinada y obliga a seguimiento.
Conviene separar dos conceptos que a veces se confunden. Existe la declaración de conformidad, más ligera y habitual en categoría BÁSICA, y la certificación de conformidad mediante auditoría, exigible en categorías superiores. Cuál corresponde depende de la categoría del sistema. Si quieres el detalle del recorrido y de lo que influye en su coste, lo desarrollo en este artículo sobre la certificación ENS.
Mantenimiento: la conformidad no caduca el día de la auditoría
El error más caro que veo es tratar el ENS como un proyecto con final. La conformidad hay que mantenerla viva. Las medidas se degradan, los sistemas cambian, aparecen amenazas nuevas y el certificado exige auditorías de seguimiento periódicas para conservar su validez.
Un mantenimiento sano incluye revisar la categorización cuando un sistema cambia de forma relevante, actualizar el análisis de riesgos, gestionar los incidentes de seguridad y preparar cada auditoría de seguimiento con tiempo. En organizaciones que además tratan sistemas con componentes de inteligencia artificial, ese mantenimiento conviene coordinarlo con el resto de obligaciones, algo que conecta con el cumplimiento normativo de la IA cuando esos sistemas entran en el alcance.
Conclusión
Una consultoría ENS para administraciones bien planteada no es papeleo: es ordenar la seguridad de tus sistemas con un método que un auditor pueda verificar. Categorizar con criterio, documentar la aplicabilidad, implantar medidas reales y llegar a la auditoría sin sustos. Y después mantenerlo, porque la conformidad se conserva, no se conquista una sola vez.
Si tu administración o tu empresa necesita certificar la conformidad con el ENS, o si te lo está pidiendo un pliego y no sabes por dónde empezar, cuéntame tu caso y vemos el alcance juntos. Trabajo desde Valladolid y Las Palmas de Gran Canaria, y la primera conversación es para entender tu punto de partida sin compromiso.
¿Necesitas acompañamiento profesional para tu adecuación al ENS? Conoce mi servicio de consultoría ENS para empresas que quieren licitar o ser proveedoras de la Administración.