La administración electrónica y el Esquema Nacional de Seguridad (ENS) van de la mano porque una no puede existir sin el otro: cuando una administración te permite presentar un escrito en su sede, recibir una notificación o consultar un expediente por internet, está manejando información y servicios por medios electrónicos, y el ENS es el marco legal que garantiza que esos medios sean seguros. El ENS se dicta al amparo del artículo 156 de la Ley 40/2015 y protege cinco dimensiones de seguridad —confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad— en cada sede y servicio electrónico. Dicho de otra forma: la administración electrónica es el "qué" (tramitar sin papel) y el ENS es el "cómo se hace de forma segura".
Llevo años acompañando a ayuntamientos, organismos públicos y empresas que prestan servicios a la administración en la implantación del ENS, y hay una idea que repito en casi todas las primeras reuniones: el ENS no es un capricho burocrático ni una norma técnica aislada. Es la consecuencia lógica de haber digitalizado la relación entre el ciudadano y la administración. Desde el momento en que la ley te da derecho a relacionarte electrónicamente con cualquier administración, alguien tiene que responder de que esa relación no se pueda manipular, suplantar o tumbar. Ese alguien es el ENS.
En este artículo te explico cómo se relacionan el ENS y la administración electrónica, de dónde viene esa conexión, qué protege exactamente el Esquema en una sede o un registro electrónico, y a quién obliga. Lo hago con las fuentes normativas reales delante —el Real Decreto 311/2022, la Ley 40/2015, la Ley 39/2015— y sin inventarme artículos, porque en cumplimiento la precisión no es un adorno: es el trabajo.
¿Qué es la administración electrónica y por qué necesita seguridad?
La administración electrónica es, sencillamente, la prestación de servicios públicos y la tramitación de procedimientos administrativos por medios electrónicos en lugar de en papel y ventanilla física. Cuando solicitas una subvención desde casa, cuando recibes una notificación de Hacienda en tu buzón electrónico o cuando un ayuntamiento publica un expediente en su sede, estás dentro de la administración electrónica.
Su columna vertebral jurídica son dos leyes de 2015. La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, regula la relación "hacia fuera": los derechos de los ciudadanos a relacionarse electrónicamente, el registro electrónico, las notificaciones electrónicas, la identificación y la firma. La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, regula el funcionamiento "hacia dentro" y entre administraciones: la sede electrónica, el sello electrónico, el intercambio de datos y —esto es clave— habilita el Esquema Nacional de Seguridad.
Ahora bien, digitalizar un trámite multiplica los riesgos. En una oficina física, falsificar un sello, suplantar a un funcionario o interceptar un documento exige presencia y deja rastro físico. En el mundo electrónico, esos mismos ataques pueden ejecutarse a distancia, en masa y casi sin huella si no hay controles. ¿De qué sirve un derecho a notificarse electrónicamente si cualquiera pudiera leer tu notificación, alterarla o impedir que la recibas? La administración electrónica solo es viable si quien la usa puede confiar en ella. Y esa confianza no se decreta: se construye con medidas de seguridad verificables. Ese es el papel del ENS.
¿Qué relación hay entre el ENS y la administración electrónica?
La relación es de medio a fin. La administración electrónica es el fin —prestar servicios y tramitar sin papel— y el ENS es el medio que garantiza que ese fin se logra de forma segura. No son dos mundos paralelos: el ENS nace expresamente para dar seguridad a la administración electrónica.
Esto no es una interpretación mía, está en el propio título histórico de la norma. El primer Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, se llamaba literalmente "por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica". El vínculo está en el nombre. El Real Decreto 311/2022 vigente amplió el alcance a todo el sector público, pero la esencia no cambió: donde hay tratamiento de información y prestación de servicios por medios electrónicos, ahí debe estar el ENS.
Lo veo a diario. Cuando un ayuntamiento me dice "queremos cumplir el ENS", lo que en realidad me está pidiendo es: "queremos que nuestra sede electrónica, nuestro registro y nuestras notificaciones funcionen sin que nadie pueda romperlos, suplantarlos o tumbarlos". El ENS es el traductor entre esa preocupación legítima y un conjunto de medidas concretas, auditables y exigibles. Si quieres entender el marco completo, lo desarrollo en mi guía completa del Esquema Nacional de Seguridad.
El origen común: de la Ley 11/2007 al artículo 156 de la Ley 40/2015
Para entender por qué el ENS y la administración electrónica comparten ADN hay que mirar atrás. La administración electrónica nació formalmente con la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Aquella ley reconoció por primera vez el derecho de los ciudadanos a relacionarse con la administración por medios electrónicos, y en su articulado previó dos instrumentos gemelos para hacerlo posible de forma segura e interoperable:
- El artículo 42 de la Ley 11/2007 creó el Esquema Nacional de Seguridad, para fijar la política de seguridad en el uso de medios electrónicos.
- Ese mismo artículo 42 creó también el Esquema Nacional de Interoperabilidad, para que los sistemas de distintas administraciones pudieran entenderse entre sí.
El ENS se desarrolló con el Real Decreto 3/2010 y la interoperabilidad con el Real Decreto 4/2010. Eran dos caras de la misma moneda: una administración electrónica que ni es segura ni es interoperable no sirve de nada.
Cuando la Ley 11/2007 fue derogada y su contenido se repartió entre las leyes 39/2015 y 40/2015, el ENS no desapareció: se reubicó. Hoy su anclaje legal es el artículo 156 de la Ley 40/2015, que en su apartado 2 establece que el Esquema Nacional de Seguridad tiene por objeto fijar la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Ese mismo artículo 156 lo señala como instrumento para lograr la seguridad y la protección de los datos personales de los sistemas adoptados por las administraciones.
Resumiendo la cadena normativa sin rodeos: la administración electrónica y el ENS nacieron juntos en la Ley 11/2007 (artículo 42), se desarrollaron en paralelo en 2010, y hoy conviven en las leyes de 2015, donde la 39/2015 da los derechos al ciudadano y la 40/2015 (artículo 156) habilita el ENS que protege su ejercicio. El Real Decreto 311/2022 es la pieza que regula ese ENS al detalle.
Las cinco dimensiones de seguridad del ENS
El corazón técnico del ENS son sus cinco dimensiones de seguridad. Toda la información y todos los servicios que una administración maneja electrónicamente se valoran según cuánto daño causaría que se viera comprometida cada una de estas dimensiones. De esa valoración salen las categorías del sistema (básica, media o alta) y, con ellas, las medidas que hay que implantar.
Las cinco dimensiones, recogidas en el Real Decreto 311/2022, son:
- Confidencialidad: que la información solo sea accesible para quien está autorizado.
- Integridad: que la información no se altere de forma no autorizada.
- Trazabilidad: que pueda determinarse quién hizo qué y cuándo.
- Autenticidad: que se pueda garantizar la identidad de quien actúa y el origen de la información.
- Disponibilidad: que la información y los servicios estén accesibles cuando se necesitan.
Estas cinco dimensiones no son abstractas: aterrizan en cada elemento de la administración electrónica que usas. Lo desarrollo con más detalle en el apartado de la tabla, pero quédate con la idea: la sede que visitas, el registro donde presentas tus escritos y la notificación que recibes están —si la administración cumple el ENS— protegidos en estas cinco dimensiones a la vez.
¿Cómo protege el ENS la sede y los servicios electrónicos?
Aquí es donde la relación entre ENS y administración electrónica deja de ser teoría. Tomemos los grandes elementos que la Ley 39/2015 y la Ley 40/2015 ponen a tu disposición y veamos qué hace el ENS por cada uno.
La sede electrónica es la dirección electrónica titularidad de una administración a través de la cual te relacionas con ella (la define el artículo 38 de la Ley 40/2015). El ENS exige que esa sede garantice autenticidad —que sea realmente la sede oficial y no una suplantación—, integridad de la información que publica y disponibilidad para que no se caiga cuando hay plazos en juego.
El registro electrónico, que la Ley 39/2015 obliga a tener a todas las administraciones, recibe y da entrada a tus documentos. El ENS protege que lo que presentas se registre con su sello de tiempo, no se altere (integridad) y quede constancia imborrable del asiento (trazabilidad).
Las notificaciones electrónicas son quizá el caso más sensible, porque de ellas dependen plazos y derechos. El ENS asegura que la notificación llega íntegra, que solo accede a ella la persona interesada (confidencialidad) y que queda registrado el momento exacto de la puesta a disposición y del acceso (trazabilidad y autenticidad).
La identificación y la firma electrónica son la puerta de entrada a todo lo anterior. El ENS sostiene los sistemas que garantizan que quien firma es quien dice ser (autenticidad) y que esa firma no se puede repudiar después.
En mi experiencia, cuando una administración entiende este mapeo, deja de ver el ENS como una carga y empieza a verlo como lo que es: el cinturón de seguridad de su propia administración electrónica. Si quieres ver cómo se traduce esto en un proyecto real, lo cuento en mi página de consultoría de implantación del ENS.
Tabla: las 5 dimensiones de seguridad del ENS aplicadas a la administración electrónica
Esta es la tabla que más me piden cuando explico el ENS a equipos que vienen del mundo de la administración electrónica. Conecta cada dimensión abstracta del Esquema con qué garantiza en la práctica y con un ejemplo concreto en una sede o servicio electrónico.
| Dimensión del ENS | Qué garantiza | Ejemplo en una sede o servicio electrónico |
|---|---|---|
| Confidencialidad | Que a la información solo accede quien está autorizado. | Tu notificación electrónica no puede ser leída por otro ciudadano ni por personal sin permiso. |
| Integridad | Que la información no se altera sin autorización. | El documento que presentas en el registro electrónico llega y se conserva exactamente como lo enviaste. |
| Trazabilidad | Que queda constancia de quién hizo qué y cuándo. | Cada asiento del registro y cada acceso a una notificación deja un rastro fechado e imborrable. |
| Autenticidad | Que se garantiza la identidad de quien actúa y el origen de la información. | La firma con certificado y la propia sede electrónica son verificables y no suplantables. |
| Disponibilidad | Que la información y los servicios están accesibles cuando se necesitan. | La sede y el registro siguen operativos en el último día de plazo de una convocatoria. |
¿A quién obliga el ENS dentro de la administración electrónica?
Esta es la pregunta que decide si el ENS te afecta o no. El Real Decreto 311/2022, en línea con la Ley 40/2015, tiene un ámbito de aplicación muy amplio. Obliga, en esencia, a:
- Todo el sector público: la Administración General del Estado, las comunidades autónomas y las entidades locales (ayuntamientos, diputaciones, etc.), además de sus organismos y entidades dependientes. Si presta servicios por medios electrónicos, está dentro.
- Los sistemas que manejan información clasificada, con sus particularidades.
- Las empresas privadas que prestan servicios o soluciones tecnológicas a las administraciones públicas: proveedores, contratistas y operadores del sector privado que, para dar ese servicio, tratan información o sistemas que entran en el alcance del ENS. Aquí muchas empresas se llevan la sorpresa de que el ENS también va con ellas.
Para las entidades locales este punto es especialmente relevante, porque son las que más cerca tienen al ciudadano y las que más sedes y registros gestionan. Si trabajas en o con un ayuntamiento, te será útil mi artículo específico sobre el ENS en ayuntamientos y administración local. Y si tu organización presta servicios al sector público desde asesoramiento en Castilla y León o desde Canarias, son las dos zonas donde más acompaño este tipo de proyectos.
ENS, interoperabilidad y la protección de datos: el ecosistema completo
El ENS no trabaja solo. Forma parte de un ecosistema de normas que hacen funcionar la administración electrónica, y conviene no confundirlas.
Su hermano histórico es el Esquema Nacional de Interoperabilidad (ENI), regulado por el Real Decreto 4/2010. Si el ENS responde a "que sea seguro", el ENI responde a "que los sistemas se entiendan entre sí". Ambos nacieron del mismo artículo 42 de la Ley 11/2007 y son complementarios: de poco vale que dos administraciones puedan intercambiar datos (interoperabilidad) si ese intercambio no es seguro, y de poco vale que sea seguro si los sistemas no pueden hablarse. El propio ENI remite al ENS para todo lo que va más allá de lo estrictamente necesario para la interoperabilidad.
Por otro lado está la protección de datos personales. El ENS y el RGPD no son lo mismo, pero se refuerzan: el artículo 156 de la Ley 40/2015 menciona expresamente la protección de los datos personales como una de las finalidades, y muchas medidas del ENS (cifrado, control de acceso, registro de actividad) son a la vez medidas de seguridad de los datos personales. Cumplir el ENS te pone gran parte del trabajo técnico del RGPD hecho, aunque cada uno tenga su propio régimen.
Y junto al ENS conviven los estándares internacionales de seguridad, como la ISO/IEC 27001, que comparte filosofía con el Esquema aunque sea de adopción voluntaria. Muchas organizaciones que ya tienen ISO 27001 descubren que les facilita enormemente la adecuación al ENS.
De la obligación a la práctica: cómo se demuestra el cumplimiento
Cumplir el ENS no es declararlo, es demostrarlo. El Esquema exige que cada organización valore sus sistemas, elija la categoría que les corresponde (básica, media o alta), implante las medidas del Anexo II que toquen y, según el caso, lo acredite mediante una autoevaluación o una certificación con auditoría.
La diferencia es importante: los sistemas de categoría básica pueden acreditar su conformidad mediante autoevaluación, mientras que los de categoría media y alta requieren una certificación formal tras una auditoría realizada por una entidad acreditada. Ese proceso, con sus plazos y costes, lo detallo en mi artículo sobre la certificación del ENS, su proceso, requisitos y costes.
En la práctica, el camino que recomiendo a cualquier administración o proveedor es ordenado: primero entender qué información y servicios electrónicos manejas, después categorizarlos según las cinco dimensiones, luego cerrar la brecha con las medidas que falten y, por último, acreditar lo conseguido. No es un proyecto de una semana, pero tampoco es el monstruo que muchos temen cuando lo ven por primera vez. Con un buen mapa de partida, es perfectamente abordable.
Preguntas frecuentes
¿Qué relación hay entre el ENS y la administración electrónica?
Es una relación de medio a fin. La administración electrónica permite tramitar y prestar servicios por internet, y el ENS es el marco legal que garantiza que esos medios electrónicos sean seguros. El ENS nació precisamente para dar seguridad a la administración electrónica: el primer Esquema, el Real Decreto 3/2010, se titulaba "en el ámbito de la Administración Electrónica". Hoy su anclaje está en el artículo 156 de la Ley 40/2015.
¿Por qué la administración electrónica necesita el ENS?
Porque digitalizar un trámite multiplica los riesgos de manipulación, suplantación o interrupción del servicio. Sin garantías de seguridad, los derechos que la Ley 39/2015 reconoce al ciudadano —notificarse, presentar escritos, identificarse electrónicamente— no serían fiables. El ENS aporta esas garantías a través de cinco dimensiones: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad.
¿Qué servicios electrónicos cubre el ENS?
El ENS cubre toda la información y todos los servicios prestados por medios electrónicos dentro de su ámbito: sedes electrónicas, registros electrónicos, notificaciones electrónicas, sistemas de identificación y firma, intercambio de datos entre administraciones y, en general, cualquier sistema que trate información en el marco de la administración electrónica del sector público.
¿El ENS aplica a las sedes electrónicas?
Sí. La sede electrónica es uno de los elementos centrales protegidos por el ENS. El Esquema exige que la sede garantice su autenticidad (que sea la sede oficial y no una suplantación), la integridad de la información que ofrece y su disponibilidad, especialmente importante cuando hay plazos administrativos en juego.
¿El ENS solo obliga a las administraciones públicas?
No solo a ellas. El Real Decreto 311/2022 obliga a todo el sector público, pero también a las empresas privadas que prestan servicios o soluciones tecnológicas a las administraciones cuando, para hacerlo, tratan información o sistemas dentro del alcance del ENS. Muchos proveedores tecnológicos descubren que el ENS también les afecta.
¿Cuál es la diferencia entre el ENS y el Esquema Nacional de Interoperabilidad?
El ENS (Real Decreto 311/2022) garantiza que los sistemas de la administración electrónica sean seguros; el Esquema Nacional de Interoperabilidad o ENI (Real Decreto 4/2010) garantiza que esos sistemas puedan entenderse e intercambiar información entre administraciones. Son complementarios y nacieron del mismo artículo 42 de la Ley 11/2007.
¿Cómo demuestra una administración que cumple el ENS?
Valorando sus sistemas, asignándoles una categoría (básica, media o alta) e implantando las medidas correspondientes. Los sistemas de categoría básica pueden acreditarlo por autoevaluación; los de categoría media y alta necesitan una certificación tras una auditoría realizada por una entidad acreditada.
Fuentes
- BOE — Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
- BOE — Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (artículo 156)
- BOE — Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
- BOE — Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad
- CCN — Normativa del Esquema Nacional de Seguridad
- Portal de Administración Electrónica (PAe) — Gobierno de España
¿Tu organización presta servicios por medios electrónicos y necesita ordenar su adecuación al ENS? Hablemos y te ayudo a trazar el camino. Contenido elaborado por Summum Marketing.