El Anexo II del el cumplimiento del Esquema Nacional de Seguridad (ENS) es el catálogo de medidas de seguridad que un sistema debe aplicar para ser conforme. Lo aprueba el Real Decreto 311/2022 y organiza esas medidas en tres marcos —organizativo, operacional y de protección— que suman 73 medidas identificadas con códigos (org.*, op.*, mp.*). Qué medidas te aplican y con cuánta exigencia depende de la categoría del sistema (básica, media o alta) y de los refuerzos que esa categoría active. La selección final se formaliza en la Declaración de Aplicabilidad.
Si te has acercado al ENS por primera vez, el Anexo II es donde el esquema deja de ser teoría y se convierte en una lista concreta de cosas que hay que tener implantadas. Es, sin exagerar, el corazón del cumplimiento: el resto del Real Decreto define principios, ámbito y categorías, pero el Anexo II es lo que el auditor abre cuando llega a comprobar si tu sistema está protegido de verdad. En esta guía lo desgloso marco por marco, explico cómo se relaciona con la categoría del sistema y aclaro la diferencia entre tener una medida "implantada" y poder demostrarlo.
Trabajo el las obligaciones de cumplimiento de empresas y entidades desde Castilla y León y Canarias, y el patrón se repite: la mayoría de las organizaciones tropieza no por desconocer el Anexo II, sino por no entender que cada medida tiene una intensidad distinta según el nivel del sistema. Vamos a ordenarlo.
¿Qué es el Anexo II del ENS?
El Anexo II del RD 311/2022 es la parte del Esquema Nacional de Seguridad que enumera las medidas de seguridad que una entidad debe aplicar para proteger sus sistemas de información. Mientras que el Anexo I fija las categorías y el Anexo III regula la auditoría, el Anexo II es el "qué hay que hacer".
Su lógica es proporcional. No todas las medidas aplican a todos los sistemas: un portal informativo municipal de categoría básica no necesita el mismo blindaje que la sede electrónica que tramita expedientes con datos sensibles. Por eso cada medida del Anexo II indica si aplica —y con qué intensidad— en función de la categoría del sistema y, en su caso, del nivel de cada dimensión de seguridad afectada.
Una novedad importante respecto al antiguo RD 3/2010 es el sistema de refuerzos. En la versión vigente, muchas medidas tienen un requisito base más una serie de refuerzos (identificados con la letra R) que se activan a medida que sube el nivel de exigencia. Esto sustituye al esquema más rígido anterior y permite graduar mejor la protección.
Los tres marcos del Anexo II: organizativo, operacional y de protección
El Anexo II agrupa las 73 medidas en tres marcos. Entenderlos es la mitad del trabajo, porque cada uno responde a una pregunta distinta sobre cómo proteges la información.
Marco organizativo (org): las reglas del juego
El marco organizativo responde a "¿quién manda y con qué reglas?". Son las medidas de gobierno de la seguridad, las que sostienen todo lo demás. Está formado por cuatro medidas:
- org.1 Política de seguridad: el documento de máximo nivel, aprobado por el órgano de gobierno, que fija el compromiso, las responsabilidades y el marco general. Es el punto de partida de cualquier adecuación. Si te interesa cómo se redacta y cómo conecta con otros marcos, lo trato en mi guía de política de seguridad de la información alineada con ISO 27001 y ENS.
- org.2 Normativa de seguridad: las normas que desarrollan la política y describen qué está permitido y qué no.
- org.3 Procedimientos de seguridad: el cómo operativo, paso a paso, de las tareas relevantes para la seguridad.
- org.4 Proceso de autorización: el control formal de qué se incorpora al sistema (equipos, aplicaciones, conexiones, ubicaciones) y quién lo autoriza.
Son pocas medidas, pero su ausencia es de los hallazgos más frecuentes en auditoría: muchas entidades tienen controles técnicos razonables y, sin embargo, no tienen una política formalmente aprobada ni procedimientos escritos. Sin marco organizativo, lo demás queda en el aire.
Marco operacional (op): proteger el día a día
El marco operacional responde a "¿cómo opero el sistema de forma segura?". Es el más extenso y abarca el ciclo de vida operativo. Sus grupos son:
- op.pl Planificación: análisis de riesgos, arquitectura de seguridad, adquisición de componentes, dimensionamiento y gestión de capacidades.
- op.acc Control de acceso: identificación, requisitos de acceso, segregación de funciones, gestión de derechos, mecanismos de autenticación.
- op.exp Explotación: inventario de activos, configuración de seguridad, gestión de cambios, protección frente a código dañino, registro de actividad, gestión de incidentes.
- op.ext Recursos externos: uso de servicios de terceros y exigencias a la cadena de suministro.
- op.nub Servicios en la nube: grupo introducido por el RD 311/2022 para los sistemas que se apoyan en proveedores cloud.
- op.cont Continuidad del servicio: análisis de impacto, plan de continuidad y pruebas periódicas.
- op.mon Monitorización del sistema: detección de intrusión y vigilancia continua.
El grupo op.nub es una de las grandes incorporaciones de la norma vigente y reconoce algo evidente: hoy buena parte de los servicios públicos se prestan sobre infraestructura externa, y la seguridad no termina en el perímetro propio.
Medidas de protección (mp): blindar cada activo
El tercer marco responde a "¿cómo protejo cada tipo de activo?". Va de lo físico a lo lógico, recorriendo todos los elementos que componen un sistema:
- mp.if Protección de las instalaciones e infraestructuras: acceso físico, energía, climatización, protección frente a incendios e inundaciones.
- mp.per Gestión del personal: caracterización del puesto, deberes, concienciación y formación.
- mp.eq Protección de los equipos: puesto de trabajo, bloqueo, protección de portátiles.
- mp.com Protección de las comunicaciones: perímetro seguro, confidencialidad e integridad del tráfico, segregación de redes.
- mp.si Protección de los soportes de información: etiquetado, cifrado, borrado seguro y destrucción.
- mp.sw Protección de las aplicaciones informáticas: desarrollo seguro y aceptación y puesta en servicio.
- mp.info Protección de la información: calificación, cifrado, firma electrónica, copias de seguridad.
- mp.s Protección de los servicios: protección del correo, de servicios y aplicaciones web, frente a denegación de servicio.
¿Cuántas medidas de seguridad tiene el ENS?
El Anexo II del RD 311/2022 contiene 73 medidas de seguridad distribuidas en los tres marcos. La cifra suele sorprender en los dos sentidos: a quien viene de marcos más extensos le parece manejable, y a quien empieza de cero le parece mucho. La clave es que no todas te aplican.
Sobre esas 73 medidas operan los refuerzos: requisitos adicionales que se activan según el nivel de las dimensiones afectadas. Por eso dos sistemas con el mismo número de medidas aplicables pueden tener cargas de implantación muy distintas. La cuenta que de verdad importa no es "cuántas medidas tiene el ENS", sino "cuántas medidas y refuerzos me aplican a mí", y eso lo determina la categoría.
¿Cómo se relacionan las medidas con la categoría del sistema?
Aquí está el mecanismo que más confusión genera. La secuencia es esta:
- Valoras las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) de tu sistema en niveles bajo, medio o alto. Lo explico en detalle en las 5 dimensiones de seguridad del ENS.
- Determinas la categoría del sistema a partir de esos niveles, según el artículo 40 y el Anexo I: el sistema es de categoría alta si alguna dimensión alcanza nivel alto; media si alguna alcanza medio (y ninguna alto); y básica si alguna alcanza bajo (y ninguna media ni alta). Si dudas con la categoría, te ayudo a decidirla en cómo elegir entre nivel básico, medio o alto.
- Seleccionas del Anexo II las medidas que aplican a esa categoría y los refuerzos que activa cada nivel.
Es decir: las dimensiones fijan los niveles, los niveles fijan la categoría, y la categoría fija qué parte del Anexo II tienes que implantar. No es opcional elegir "a ojo"; es una cadena trazable que el auditor reconstruirá en sentido inverso.
¿Qué diferencia hay entre marco organizativo, operacional y de protección?
Una forma sencilla de fijarlo: el marco organizativo es el gobierno (quién decide y con qué reglas), el marco operacional es la operación (cómo se gestiona el sistema a lo largo de su vida) y las medidas de protección son los activos (cómo se blinda cada cosa concreta). Esta misma estructura la desarrollo, con foco en los controles, en controles del ENS por marco.
| Marco | Pregunta que responde | Ejemplos de medidas |
|---|---|---|
| Organizativo (org) | ¿Quién manda y con qué reglas? | Política, normativa, procedimientos, proceso de autorización |
| Operacional (op) | ¿Cómo opero el sistema de forma segura? | Control de acceso, explotación, continuidad, monitorización, nube |
| Protección (mp) | ¿Cómo blindo cada activo? | Instalaciones, equipos, comunicaciones, información, servicios |
La Declaración de Aplicabilidad: dónde aterriza todo
El artículo 28 del RD 311/2022 introduce la Declaración de Aplicabilidad (DA), el documento que formaliza qué medidas del Anexo II se han seleccionado para un sistema concreto y que firma el responsable de seguridad. Es el puente entre el catálogo abstracto y tu realidad: en él justificas qué aplicas, qué no aplicas y por qué.
El mismo artículo admite medidas compensatorias: si una medida del Anexo II no encaja en tu caso, puedes sustituirla por otras que protejan igual o mejor el activo, siempre que se documente y se satisfagan los principios básicos del ENS. Esta flexibilidad es útil, pero tiene letra pequeña: la compensación hay que argumentarla y dejar constancia, no darla por hecho. En auditoría, una DA bien construida ahorra muchísimas discusiones.
Anexo II e ISO 27001: ¿se solapan?
En buena medida, sí. La guía CCN-STIC 825 mapea los controles de ISO 27001 con las medidas del ENS, porque ambos marcos comparten filosofía. Si ya tienes implantado un sistema de gestión ISO 27001, parte del trabajo del Anexo II está hecho: muchos de tus controles sirven como evidencia. No son intercambiables —el ENS es obligatorio por norma y tiene su propio sistema de categorías—, pero aprovechar lo que ya tienes acelera la adecuación y evita duplicar esfuerzos.
Errores frecuentes al abordar el Anexo II
- Empezar por lo técnico y olvidar el marco organizativo. Sin política ni procedimientos formales, las medidas
opympquedan sin sustento. - Confundir "implantado" con "demostrable". Una medida sin evidencia (registro, configuración, acta) no cuenta en auditoría. Lo desarrollo en el Anexo III y la auditoría de conformidad.
- Sobredimensionar la categoría. Asignar nivel alto "por seguridad" dispara medidas y refuerzos innecesarios. La categoría se justifica, no se infla.
- Ignorar la cadena de suministro. Los grupos
op.extyop.nubobligan a trasladar exigencias a tus proveedores, no solo a tu sistema.
Preguntas frecuentes sobre el Anexo II del ENS
¿Qué es el Anexo II del ENS?
Es la parte del Real Decreto 311/2022 que enumera las medidas de seguridad que un sistema debe aplicar para ser conforme con el Esquema Nacional de Seguridad. Agrupa 73 medidas en tres marcos: organizativo, operacional y de protección.
¿Cuántas medidas de seguridad tiene el ENS?
El Anexo II del RD 311/2022 contiene 73 medidas, identificadas con códigos org.*, op.* y mp.*. Sobre ellas operan refuerzos adicionales que se activan según el nivel de las dimensiones de seguridad del sistema.
¿Cómo se relacionan las medidas con la categoría del sistema?
Cada medida del Anexo II indica si aplica a categoría básica, media o alta. Primero valoras las dimensiones de seguridad, eso fija la categoría, y la categoría determina qué medidas y refuerzos del Anexo II te corresponde implantar.
¿Qué diferencia hay entre marco organizativo, operacional y de protección?
El marco organizativo cubre el gobierno de la seguridad (política, normativa, procedimientos); el operacional cubre la operación segura del sistema (control de acceso, explotación, continuidad, nube); y las medidas de protección blindan cada activo concreto (instalaciones, equipos, comunicaciones, información, servicios).
¿Tengo que aplicar las 73 medidas del Anexo II?
No. Aplicas solo las que correspondan a la categoría de tu sistema, más los refuerzos que active el nivel de cada dimensión. La selección final se documenta en la Declaración de Aplicabilidad, donde se justifica qué se aplica, qué no y por qué.
¿Sirve mi certificación ISO 27001 para el Anexo II?
Sirve como punto de partida: la guía CCN-STIC 825 mapea controles ISO 27001 con medidas del ENS, así que muchos controles ya implantados aportan evidencia. No sustituye al ENS, que es obligatorio por norma y tiene su propio esquema de categorías, pero reduce el esfuerzo de adecuación.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191) — texto consolidado, Anexo II y artículo 28.
- Real Decreto 3/2010, de 8 de enero (BOE-A-2010-1330) — norma derogada, referencia de evolución.
- Portal del ENS — CCN (ens.ccn.cni.es) — documentación oficial y guías CCN-STIC (808, 825).