In brief: El Royal Decree 311/2022, de 3 de mayo, es la norma que regula hoy el ENS (Spanish National Security Framework). Se publicó en el BOE el 4 de mayo de 2022 (referencia BOE-A-2022-7191), entró en vigor al día siguiente y derogó el anterior RD 3/2010. Obliga a todo the public sector y, por extensión, a las empresas privadas que le prestan servicios, y actualiza principios, categorías y controles de seguridad.
El Royal Decree 311/2022, de 3 de mayo, es la norma que regula hoy el ENS (Spanish National Security Framework) (ENS). Se publicó en el BOE el 4 de mayo de 2022 (referencia BOE-A-2022-7191), entró en vigor al día siguiente de su publicación y derogó el anterior RD 3/2010. Obliga a todo the public sector y, por extensión, a las empresas privadas que le prestan servicios. Sus principales novedades: nuevo catálogo de medidas con refuerzos, compliance profiles específicos, la Declaración de Aplicabilidad y un plazo de adecuación de 24 meses para los sistemas preexistentes.
Si solo vas a leer una norma del ENS, es esta. El RD 311/2022 es el marco vigente y todo lo demás —CCN-STIC guides, certificaciones, auditorías— cuelga de él. En este resumen ejecutivo te cuento qué regula exactamente, cuándo empezó a aplicarse, a quién obliga, qué cambió respecto a la norma de 2010 y dónde encontrarlo en el BOE, sin perdernos en el articulado.
Acompaño a empresas y entidades en su adecuación al ENS desde Castilla y León y Canarias, y la primera pregunta de casi todos es la misma: "¿qué ley es esta exactamente y a mí en qué me afecta?". Vamos a responderla.
¿Qué regula el Royal Decree 311/2022?
El RD 311/2022 regula el ENS (Spanish National Security Framework): el conjunto de principios, requisitos y medidas que garantizan la information security y los servicios en el ámbito de la administración digital. Da cumplimiento al mandato de la Law 40/2015 on Public Sector Legal Regime de establecer una security policy común.
Su estructura es clara: un cuerpo de articulado que fija principios básicos, requisitos mínimos y el régimen de cumplimiento, más cuatro anexos que son el músculo operativo de la norma:
| Anexo | Qué regula |
|---|---|
| Anexo I | Categorías de seguridad de los sistemas (básica, media, alta) y cómo se determinan |
| Anexo II | Las security measures aplicables, organizadas en tres marcos |
| Anexo III | Objeto, niveles e interpretación de la auditoría de la seguridad |
| Anexo IV | Glosario de términos y definiciones |
Cada anexo tiene su propia guía detallada en este sitio: el Annex II measures, el Anexo III de auditoría y las dimensiones de seguridad que sostienen el Anexo I. Si quieres la panorámica completa del ENS, empieza por la guía completa del ENS (Spanish National Security Framework).
¿Cuándo entró en vigor el RD 311/2022?
El Royal Decree 311/2022 se publicó en el BOE del 4 de mayo de 2022 y, conforme a su disposición final, entró en vigor el día siguiente al de su publicación. Es decir, es norma vigente y aplicable desde mayo de 2022.
Ahora bien, una cosa es la entrada en vigor y otra el plazo para adaptarse. La disposición transitoria única concede 24 meses a los sistemas de información preexistentes a la entrada en vigor para alcanzar su plena adecuación al nuevo esquema. Ese plazo de adecuación venció, por tanto, en mayo de 2024: a día de hoy, las entidades obligadas deben estar plenamente adecuadas al RD 311/2022.
| Hito | Fecha |
|---|---|
| Publicación en el BOE | 4 de mayo de 2022 |
| Entrada en vigor | Día siguiente a la publicación (mayo 2022) |
| Fin del plazo de adecuación (sistemas preexistentes) | 24 meses después (mayo 2024) |
¿A quién obliga el RD 311/2022?
El ámbito de aplicación lo fija el artículo 2 del Real Decreto, y es más amplio de lo que mucha gente cree:
- Todo the public sector definido en la Ley 40/2015: Administración General del Estado, comunidades autónomas, entidades locales, the public sector institucional, las universidades públicas, etc.
- El sector privado que presta servicios to the public sector. Cuando una empresa, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presta servicios o provee soluciones a entidades dthe public sector, le aplican las medidas del ENS correspondientes a la información y los servicios afectados.
- La supply chain. Las exigencias se trasladan a los proveedores y subcontractors en la medida en que el risk assessment lo requiera.
De ahí que el ENS afecte a muchísimas empresas privadas aunque no sean "administración": basta con prestar un servicio TIC a una entidad pública para entrar en su órbita. Los pliegos de public procurement deben exigir las Declarations or Certificates of Conformity con el ENS correspondientes. Si tu empresa contrata con the public sector, lo desarrollo en cuándo es obligatorio el ENS para empresas y proveedores.
¿Qué cambió respecto al RD 3/2010?
El RD 311/2022 derogó el Real Decreto 3/2010, que había regulado el ENS durante doce años. No fue un simple lavado de cara: la norma se reescribió para alinearse con la realidad tecnológica y normativa actual. Los cambios más relevantes:
- Nuevo sistema de medidas con refuerzos. El Anexo II pasó a un esquema de requisito base más refuerzos graduables (identificados con R), más flexible que el modelo rígido anterior.
- Perfiles de cumplimiento específicos. El artículo 30 permite aprobar perfiles adaptados a sectores o tipos de entidad (entidades locales, universidades, etc.), que ajustan el conjunto de medidas exigibles. Los aprueba el CCN.
- Declaración de Aplicabilidad. El artículo 28 formaliza el documento, firmado por el responsable de seguridad, que recoge qué medidas se seleccionan y permite medidas compensatorias justificadas.
- Seguridad en la nube. Se incorporó un bloque específico de medidas para servicios en la nube (
op.nub), inexistente en 2010. - Mayor énfasis en la supply chain y en la coordinación con el marco europeo de ciberseguridad.
En conjunto, la norma de 2022 es más moderna, más proporcional y más conectada con cómo se prestan hoy los servicios digitales. La filosofía de fondo —proteger la información valorando su impacto— se mantiene, pero las herramientas se actualizaron.
¿Dónde se publica el ENS en el BOE?
El texto oficial y vigente del ENS es el Royal Decree 311/2022, publicado en el Official State Gazette (BOE) con la referencia BOE-A-2022-7191. Puedes consultarlo de dos formas:
- Texto consolidado (con las modificaciones posteriores ya integradas): boe.es/buscar/act.php?id=BOE-A-2022-7191. Es la versión que conviene usar para cualquier consulta normativa.
- PDF oficial de la publicación original: boe.es/eli/es/rd/2022/05/03/311.
Para la interpretación práctica y la implementation, el complemento imprescindible son las CCN-STIC guides del National Cryptologic Centre (CCN), disponibles en el portal oficial del ENS. La norma fija el "qué"; las guías desarrollan el "cómo".
Los principios básicos y requisitos mínimos del RD 311/2022
Antes de los anexos, el articulado del RD 311/2022 fija dos pilares que conviene conocer porque informan toda la interpretación de la norma. Por un lado, los principios básicos, que son las ideas rectoras de la seguridad en el ámbito del ENS:
- Seguridad como proceso integral, no como un producto que se compra una vez.
- Gestión de la seguridad basada en los riesgos, valorando el impacto de los incidentes.
- Prevención, detección, respuesta y conservación como funciones que deben coexistir.
- Existencia de líneas de defensa, sin confiar la seguridad a un único control.
- Vigilancia continua y reevaluación periódica de las medidas.
- Diferenciación de responsabilidades entre quien usa, opera y decide.
Por otro lado, los requisitos mínimos concretan qué debe garantizar toda entidad: organización e implementation del proceso de seguridad, análisis y gestión de riesgos, gestión del personal, profesionalidad, autorización y control de accesos, protección de las instalaciones, adquisición de productos y servicios de seguridad, mínimo privilegio, integridad y actualización del sistema, protección de la información almacenada y en tránsito, prevención frente a sistemas interconectados, registro de actividad, security incidents, continuidad de la actividad y mejora continua. Estos requisitos son el puente entre los principios abstractos y las medidas concretas del Anexo II.
El RD 311/2022 frente a otras normas: GDPR y NIS2
Una duda habitual es cómo encaja el ENS con otras obligaciones de seguridad y protección de datos. No son lo mismo, pero se complementan:
- las obligaciones del GDPR para empresas y LOPDGDD. Regulan la protección de datos personales. El ENS no sustituye al GDPR, pero muchas de sus medidas (control de acceso, cifrado, trazabilidad) ayudan a cumplir el principio de seguridad del tratamiento que exige el reglamento europeo. Donde hay datos personales, ambos marcos conviven.
- Directiva la directiva NIS2. El marco europeo de ciberseguridad para entidades esenciales e importantes empuja en la misma dirección que el ENS: gestión de riesgos, medidas técnicas y organizativas, incident notification. El CCN ha publicado guías de mapeo para entidades que deban atender ambos.
- el sistema de gestión de information security. No es obligatoria, pero comparte filosofía con el ENS y sirve de base: la CCN-STIC guide 825 mapea sus controles. Disponer de un sistema de gestión ISO 27001 acelera la adecuación al ENS.
La idea de fondo es que el RD 311/2022 no vive aislado: forma parte de un ecosistema normativo de seguridad y protección de datos en el que las medidas bien implantadas suman para varios marcos a la vez. Aprovechar esas sinergias es la forma más eficiente de cumplir.
Resumen ejecutivo del RD 311/2022
Si tuviera que condensarlo en cinco ideas para alguien que se acerca por primera vez:
- Es la norma vigente del ENS desde mayo de 2022; sustituyó al RD 3/2010.
- Obliga al sector público y a sus proveedores privados.
- Clasifica los sistemas en tres categorías (básica, media, alta) según el impacto de un incidente.
- Exige implantar Annex II measures proporcionales a la categoría, formalizadas en la Declaración de Aplicabilidad.
- El plazo de adecuación para sistemas preexistentes ya venció (24 meses, mayo 2024): hoy hay que estar conforme.
Qué implica el RD 311/2022 para una empresa privada
Si diriges una empresa que trabaja o quiere trabajar con the Administration, el RD 311/2022 te afecta de forma muy concreta, más allá de la teoría normativa. Estas son las implicaciones prácticas:
- En las licitaciones. Los pliegos de public procurement del sector TIC exigen cada vez con más frecuencia acreditar la conformidad con el ENS. Sin ella, quedas fuera de muchos tenders.
- En el alcance. No tienes que certificar toda tu empresa, sino los sistemas y servicios concretos que prestas to the public sector y la información que manejas en esa relación.
- En la categoría. La categoría de tu certificación debe ser, como mínimo, la del sistema o servicio público al que das soporte. No vale certificar "a la baja".
- En el mantenimiento. La conformidad hay que mantenerla con auditorías periódicas; no es un trámite de una sola vez.
La buena noticia es que el ENS, bien planteado, deja de ser una barrera y se convierte en una ventaja competitiva: acredita ante the Administration —y ante cualquier cliente— que tu organización gestiona la seguridad con seriedad. Profundizo en cuándo y cómo te obliga en si el ENS es obligatorio para empresas y proveedores.
Modificaciones posteriores al RD 311/2022
Como toda norma viva, el RD 311/2022 se ha ido complementando y precisando con desarrollo posterior, fundamentalmente a través de las CCN-STIC guides y de las órdenes ministeriales que aprueban las políticas de seguridad de cada departamento. El cuerpo del Real Decreto se mantiene estable, pero su interpretación práctica evoluciona con las guías, que se actualizan periódicamente.
Por eso la recomendación es doble: para la obligación legal, consulta siempre el texto consolidado del BOE, que integra cualquier modificación; y para la implementation, trabaja con la última versión de las CCN-STIC guides aplicables a tu caso. Apoyarte en una guía desactualizada es uno de los errores que más retrasan una adecuación.
Frequently asked questions sobre el RD 311/2022
¿Qué regula el Royal Decree 311/2022?
Regula el ENS (Spanish National Security Framework): los principios, requisitos mínimos y medidas que garantizan la information security y los servicios en la administración digital. Se complementa con cuatro anexos (categorías, medidas, auditoría y glosario).
¿Cuándo entró en vigor el RD 311/2022?
Se publicó en el BOE el 4 de mayo de 2022 y entró en vigor al día siguiente. Concedió un plazo de adecuación de 24 meses a los sistemas preexistentes, que venció en mayo de 2024.
¿A quién obliga el RD 311/2022?
A todo the public sector (Ley 40/2015) y a las empresas privadas que, en virtud de una relación contractual, prestan servicios a entidades públicas, así como a su supply chain en lo que el risk assessment requiera.
¿Dónde se publica el ENS en el BOE?
En el Official State Gazette (BOE) con la referencia BOE-A-2022-7191. La versión recomendada para consulta es el texto consolidado disponible en boe.es.
¿El RD 311/2022 derogó al RD 3/2010?
Sí. La disposición derogatoria del RD 311/2022 suprime el Real Decreto 3/2010, que había regulado el ENS durante doce años. El RD 3/2010 ya no está vigente.
¿Qué guías desarrollan el RD 311/2022?
Las CCN-STIC guides del National Cryptologic Centre (CCN) (por ejemplo, la 804 de implementation, la 808 de verificación o la 825 de mapeo con ISO 27001), disponibles en el portal oficial del ENS. La norma fija el marco y las guías detallan la implementation.
Sources
- Royal Decree 311/2022, de 3 de mayo (BOE-A-2022-7191) — texto consolidado oficial.
- RD 311/2022 — PDF oficial de la publicación (BOE).
- Real Decreto 3/2010, de 8 de enero (BOE-A-2010-1330) — norma derogada.
- Portal del ENS — CCN (ens.ccn.cni.es) — CCN-STIC guides.
Contenido elaborado por Ángel Ortega Castro para angelortegacastro.com. Información divulgativa; para cualquier obligación legal, consulta el texto vigente del RD 311/2022 en el BOE.