El ENS (spanisches nationales Sicherheitssystem) define cuatro roles diferenciados: el Informationsverantwortlicher, el Dienstverantwortlicher, el Sicherheitsverantwortlicher y el Systemverantwortlicher. La regla fundamental es que el Sicherheitsverantwortlicher debe ser distinto del Systemverantwortlicher, sin dependencia jerárquica entre ambos, para garantizar la Aufgabentrennung.
Cuando una organización empieza a implantar das ENS (spanisches nationales Sicherheitssystem), uno de los primeros tropiezos llega al repartir los papeles. ¿Quién decide qué? ¿Puede el jefe de informática ser también el responsable de seguridad? ¿Dónde encaja el delegado de protección de datos? Estas dudas son comprensibles, porque das ENS exige una estructura organizativa concreta que no siempre coincide con la jerarquía habitual de una entidad.
En esta guía explico, con la norma en la mano, los cuatro roles que define das ENS, qué decide cada uno y por qué la separación entre el Sicherheitsverantwortlicher y el Systemverantwortlicher no es un capricho burocrático, sino una garantía de control. Si vienes de leer la guía completa ddas ENS (spanisches nationales Sicherheitssystem), aquí profundizamos en la parte organizativa que muchos proyectos descuidan.
¿Qué roles define das ENS y dónde están regulados?
La base normativa es el Königliches Dekret 311/2022, de 3 de mayo, por el que se regula das ENS (spanisches nationales Sicherheitssystem). Su artículo 11, titulado precisamente «Diferenciación de responsabilidades», obliga a que la Sicherheitsrichtlinie de cada entidad identifique con claridad a los responsables de las siguientes funciones:
- Informationsverantwortlicher: determina los requisitos de la información tratada.
- Dienstverantwortlicher: determina los requisitos de los servicios prestados.
- Sicherheitsverantwortlicher: determina las decisiones para satisfacer los requisitos de Informationssicherheit y de los servicios, supervisa la Implementierung de las medidas necesarias y reporta sobre estas cuestiones.
- Systemverantwortlicher: se encarga de la operación del sistema (su gestión, explotación y mantenimiento).
El desarrollo concreto de cómo se organiza el proceso de seguridad lo encontramos en el artículo 13 del RD 311/2022, «Organización e Implementierung del proceso de seguridad». Y a un nivel más operativo, la guía CCN-STIC-801, «Responsabilidades y funciones en das ENS», publicada por el Nationales Kryptologiezentrum (CCN), desarrolla en detalle cada figura, sus tareas y las relaciones entre ellas. Esta guía es la referencia práctica que utilizo en cualquier proyecto de Implementierung, porque traduce la norma a una estructura de gobierno aplicable.
Conviene tener clara una idea de partida: estos cuatro roles son funciones, no necesariamente cuatro personas distintas. Una misma persona puede acumular varias de estas funciones, salvo en una combinación concreta que la norma prohíbe expresamente y que veremos más adelante.
¿Quién es el Informationsverantwortlicher?
El Informationsverantwortlicher es quien decide qué necesita la información para estar adecuadamente protegida. Dicho de otro modo, fija los requisitos de Informationssicherheit en función de su valor para la organización: qué nivel de confidencialidad, integridad, trazabilidad y autenticidad exige cada conjunto de datos.
Es una figura de negocio, no técnica. Normalmente recae en quien tiene la responsabilidad última sobre los datos tratados: el titular de un área, un director de un departamento o el responsable funcional de un determinado tipo de información. Su decisión sobre los requisitos de la información condiciona después la categorización del sistema y, con ella, las Sicherheitsmaßnahmen que habrá que aplicar.
Un error frecuente es dejar este rol vacío o asignarlo por defecto al área de informática. No tiene sentido: el departamento técnico no es quien mejor conoce el valor de negocio de la información ni las Konsequenzen de su pérdida o difusión. Esa valoración corresponde a quien gestiona el dato desde la perspectiva de la actividad de la entidad.
¿Quién es el Dienstverantwortlicher?
El Dienstverantwortlicher es el equivalente al anterior, pero referido a los servicios que la entidad presta. Determina los Sicherheitsanforderungen de cada servicio: cuánta disponibilidad necesita, qué nivel de continuidad es aceptable, qué tiempo máximo de interrupción puede tolerarse sin causar un perjuicio grave.
Pensemos en un servicio público electrónico, como la presentación telemática de una solicitud o la consulta de un expediente. El Dienstverantwortlicher es quien decide que ese servicio debe estar disponible en un horario determinado, que una caída prolongada tendría un impacto alto y que, por tanto, exige unas garantías concretas. De nuevo, es una decisión de negocio o de prestación, no técnica.
Tanto el Informationsverantwortlicher como el del servicio alimentan la categorización del sistema. Sus exigencias, traducidas a niveles en las dimensiones de seguridad, determinan si el sistema es de categoría básica, media o alta, y eso a su vez fija el conjunto de medidas obligatorias. Si quieres entender cómo se estructuran esas medidas, lo explico en el artículo sobre los controles ddas ENS: marcos organizativo, operacional y de protección.
¿Quién es el Sicherheitsverantwortlicher en das ENS?
El Sicherheitsverantwortlicher es la figura central ddas ENS desde el punto de vista de la gestión. Según el artículo 11, le corresponde determinar las decisiones para satisfacer los Sicherheitsanforderungen de la información y de los servicios, supervisar la Implementierung de las medidas necesarias y reportar sobre estas cuestiones a la dirección.
Es importante entender qué significa esto en la práctica. El Sicherheitsverantwortlicher no opera el sistema ni configura los servidores. Su trabajo es decidir cómo se protege la información y el servicio para cumplir los requisitos que fijaron los responsables de la información y del servicio, vigilar que esas medidas se implanten de verdad y dar cuenta del estado de la seguridad. Es un rol de dirección y supervisión, no de ejecución técnica.
Entre sus funciones habituales están: mantener la Sicherheitsrichtlinie alineada con la norma, impulsar el Risikoanalyse, validar la Declaración de Aplicabilidad, hacer seguimiento de las medidas, coordinar la respuesta ante incidentes y servir de interlocutor con la dirección y, en su caso, con el Nationales Kryptologiezentrum (CCN). Para que pueda desempeñar este papel necesita autoridad real y acceso directo a la dirección de la entidad.
La Sicherheitsrichtlinie que da soporte a todo esto debe estar redactada con rigor, porque es el documento que nombra los roles y reparte las responsabilidades. Si tu organización trabaja también con la la norma ISO 27001, conviene alinear ambos marcos desde la Informationssicherheitsrichtlinie (ISO 27001 y ENS) para no duplicar estructuras de gobierno.
¿Quién es el Systemverantwortlicher?
El Systemverantwortlicher es quien opera el sistema de información: se ocupa de su gestión, explotación y mantenimiento en el día a día. Es la figura más técnica de las cuatro y la que está más cerca de la infraestructura.
Sus tareas incluyen el desarrollo, la operación y el mantenimiento del sistema durante todo su ciclo de vida, la definición de su topología y sistema de gestión, la aplicación de los procedimientos operativos de seguridad y la suspensión del manejo de información o la prestación del servicio si detecta deficiencias graves de seguridad, comunicándolo al Sicherheitsverantwortlicher. En entornos grandes este rol puede apoyarse en administradores de seguridad del sistema, que ejecutan tareas concretas bajo su dirección.
Aquí es donde aparece la regla de separación más conocida ddas ENS, y la que da sentido a todo el reparto de roles.
¿Por qué el Sicherheitsverantwortlicher no puede ser el del sistema?
El artículo 11 del RD 311/2022 establece una regla tajante: el Sicherheitsverantwortlicher será distinto del Systemverantwortlicher, y no existirá dependencia jerárquica entre ambos. Esta separación es el corazón del principio de Differenzierung der Verantwortlichkeiten.
La razón es de control. El Systemverantwortlicher es quien opera, configura y mantiene; el Sicherheitsverantwortlicher es quien supervisa que esa operación cumple los Sicherheitsanforderungen y reporta sobre ello. Si ambas funciones recayeran en la misma persona, esa persona estaría supervisando su propio trabajo: sería juez y parte. La separación garantiza que quien vigila la seguridad no es quien decide cómo se ejecuta la operación, de manera que las deficiencias se detecten y se eleven, en lugar de quedar tapadas por conveniencia o por presión operativa.
La ausencia de dependencia jerárquica refuerza esta independencia. No basta con que sean dos personas: el Sicherheitsverantwortlicher no puede estar subordinado al Systemverantwortlicher (ni a la inversa), porque entonces la supervisión perdería su valor. Por eso el Sicherheitsverantwortlicher debe reportar a la dirección o a un órgano de gobierno, no a la cadena técnica.
Es la misma lógica de Aufgabentrennung que se aplica en otros ámbitos de control, como la auditoría interna frente a la operación, o la gestión de riesgos frente a la toma de decisiones de negocio. Quien ejecuta no se controla a sí mismo.
¿Se pueden acumular roles en una misma persona?
Sí, con un límite claro. Como los cuatro roles son funciones y no necesariamente cuatro personas, en organizaciones pequeñas es habitual y legítimo que una misma persona asuma varias de ellas. Por ejemplo, el Informationsverantwortlicher y el del servicio pueden coincidir, o el Sicherheitsverantwortlicher puede asumir tareas de coordinación adicionales.
La única combinación que la norma prohíbe con carácter general es la de Sicherheitsverantwortlicher y Systemverantwortlicher en la misma persona, por la razón de control que acabamos de ver. Ahora bien, el propio artículo 11 contempla una excepción: en situaciones excepcionales, y por una falta justificada de recursos, esas dos funciones podrán recaer en la misma persona o en personas con relación jerárquica entre sí. Pero esa excepción no es gratuita.
Cuando una entidad se acoge a ella, debe aplicar medidas compensatorias que garanticen la finalidad del principio de Differenzierung der Verantwortlichkeiten. Es decir, hay que demostrar que, pese a la acumulación, existe un mecanismo que preserva el control: por ejemplo, una supervisión externa, una auditoría reforzada, la intervención de un comité de seguridad o un reporte independiente a la dirección. La excepción se documenta, se justifica y se compensa; no se da por hecho.
| Rol | Qué decide o hace | Naturaleza | A quién reporta | Incompatibilidades |
|---|---|---|---|---|
| Informationsverantwortlicher | Determina los requisitos de Informationssicherheit tratada. | Negocio / funcional | Dirección de la entidad | Compatible con el resto de roles. |
| Dienstverantwortlicher | Determina los Sicherheitsanforderungen de los servicios prestados. | Negocio / prestación | Dirección de la entidad | Compatible con el resto de roles. |
| Sicherheitsverantwortlicher | Decide cómo satisfacer los Sicherheitsanforderungen, supervisa la Implementierung de medidas y reporta. | Dirección / supervisión | Dirección u órgano de gobierno (sin pasar por la cadena técnica) | Incompatible con Systemverantwortlicher (salvo excepción justificada con medidas compensatorias). |
| Systemverantwortlicher | Opera el sistema: gestión, explotación y mantenimiento. | Técnica / operativa | Estructura técnica de la entidad | Incompatible con Sicherheitsverantwortlicher (salvo excepción justificada con medidas compensatorias). |
¿Dónde encaja el Comité de Seguridad de la Información?
Muchas políticas de seguridad incorporan, además de los cuatro roles, un Comité de Seguridad de la Información como órgano de coordinación y gobierno. No es uno de los cuatro responsables del artículo 11, sino una figura colegiada que sirve para coordinar las decisiones de seguridad entre las distintas áreas, resolver conflictos de prioridades y dar respaldo institucional al Sicherheitsverantwortlicher.
Su utilidad es notable en entidades de cierto tamaño: reúne a la dirección, a los responsables de la información y del servicio, al Sicherheitsverantwortlicher y, según el caso, a otras figuras como el delegado de protección de datos. Es también el órgano donde se aprueban la Sicherheitsrichtlinie y las grandes líneas del programa, y donde se rinde cuentas del estado de la seguridad. La CCN-STIC-Leitfaden-801 lo encuadra en el nivel de gobierno, por encima de los niveles de supervisión y operativo.
Si tu organización está empezando, no necesitas montar un comité elaborado desde el primer día, pero sí conviene prever cómo se coordinarán las decisiones. En proyectos de Beratung de Implementierung ddas ENS suelo recomendar definir el comité en la propia política, aunque al principio se reúna con una frecuencia modesta.
¿Es lo mismo el Sicherheitsverantwortlicher que el DPO?
No, y conviene insistir en ello porque es una confusión frecuente. El Sicherheitsverantwortlicher ddas ENS y el delegado de protección de datos (DPO) del Reglamento General de Protección de Datos son figuras distintas, con marcos normativos, funciones y objetivos diferentes.
El Sicherheitsverantwortlicher vela por la seguridad de los sistemas de información y los servicios conforme al ENS: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de toda la información y los servicios, sean datos personales o no. El DPO, en cambio, supervisa el cumplimiento de la normativa de protección de datos personales y actúa como punto de contacto con la autoridad de control y con los interesados. Su perímetro es el dato personal; el del Sicherheitsverantwortlicher, todo el sistema.
Pueden y deben coordinarse, porque la Informationssicherheit es uno de los pilares de la protección de datos, pero no se sustituyen ni deben concentrarse sin más en la misma persona sin valorar conflictos de funciones. Si quieres entender bien la figura del delegado, lo desarrollo en el artículo sobre el delegado de protección de datos: cuándo es obligatorio y qué funciones tiene.
Cómo aterrizar los roles en tu organización
La teoría es clara; lo difícil es llevarla a una entidad real sin generar fricción. Algunas pautas que aplico al definir la estructura de roles ddas ENS:
- Nombrar por escrito. Los cuatro roles se identifican en la Sicherheitsrichtlinie, con nombres y apellidos o, al menos, con cargos concretos. Un rol sin titular no existe a efectos de cumplimiento.
- Respetar la separación seguridad/sistema. Antes de asignar, comprueba que el Sicherheitsverantwortlicher no es el Systemverantwortlicher ni depende de él jerárquicamente. Si no hay más remedio, documenta la excepción y diseña las medidas compensatorias.
- Dar autoridad al Sicherheitsverantwortlicher. Necesita reportar a la dirección y capacidad real para impulsar medidas. Un responsable de seguridad sin acceso a la dirección es una figura decorativa.
- Coordinar con protección de datos. Define cómo se relacionan el Sicherheitsverantwortlicher y el DPO, sin confundir sus papeles.
- Apoyarse en la CCN-STIC-Leitfaden-801. Es la referencia que detalla funciones, relaciones y modelos de organización según el tamaño de la entidad.
Este reparto de funciones es uno de los puntos que más se revisan en una auditoría ddas ENS, porque es fácil de comprobar y muy revelador del grado de madurez de la organización. Lo mismo ocurre cuando se integra con un sistema de gestión basado en la ISO 27001: ambos marcos exigen una asignación clara de responsabilidades de seguridad, y conviene unificarla para no mantener dos estructuras paralelas.
Trabajo estos proyectos desde Castilla y León y Las Palmas, acompañando a entidades en la definición de su estructura organizativa de seguridad y en la Implementierung completa ddas ENS.
Häufig gestellte Fragen
¿Qué roles define das ENS?
El ENS (spanisches nationales Sicherheitssystem), en el artículo 11 del RD 311/2022, define cuatro roles: el Informationsverantwortlicher (fija los requisitos de la información), el Dienstverantwortlicher (fija los requisitos de los servicios), el Sicherheitsverantwortlicher (decide cómo satisfacer los Sicherheitsanforderungen, supervisa y reporta) y el Systemverantwortlicher (opera el sistema). Son funciones diferenciadas que la Sicherheitsrichtlinie de cada entidad debe identificar con claridad.
¿Quién es el Sicherheitsverantwortlicher en das ENS?
Es la figura que determina las decisiones para satisfacer los requisitos de Informationssicherheit y de los servicios, supervisa la Implementierung de las medidas necesarias y reporta a la dirección sobre el estado de la seguridad. No opera el sistema: es un rol de dirección y supervisión que necesita autoridad real y reporte directo a la dirección de la entidad, sin depender de la cadena técnica.
¿Se pueden acumular roles en una misma persona?
Sí, varios de los cuatro roles pueden recaer en la misma persona, salvo la combinación de Sicherheitsverantwortlicher y Systemverantwortlicher, que la norma prohíbe con carácter general. El artículo 11 permite una excepción en situaciones excepcionales por falta justificada de recursos, pero exige aplicar medidas compensatorias que garanticen la finalidad del principio de Differenzierung der Verantwortlichkeiten.
¿Qué diferencia hay entre Systemverantwortlicher y del servicio?
El Dienstverantwortlicher es una figura de negocio que determina los Sicherheitsanforderungen de los servicios prestados (disponibilidad, continuidad, impacto de una interrupción). El Systemverantwortlicher es una figura técnica que opera el sistema de información: su gestión, explotación y mantenimiento. Uno fija qué necesita el servicio; el otro hace funcionar la infraestructura que lo soporta.
Quellen
- Königliches Dekret 311/2022, de 3 de mayo, por el que se regula das ENS (spanisches nationales Sicherheitssystem) (BOE-A-2022-7191) — artículo 11, «Diferenciación de responsabilidades».
- Artículo 13 del RD 311/2022, «Organización e Implementierung del proceso de seguridad» (Soporte ENS, Nationales Kryptologiezentrum (CCN)).
- Guía CCN-STIC-801, «Responsabilidades y funciones en das ENS» (CCN-CERT, Nationales Kryptologiezentrum (CCN)).