El Anexo III del ENS regula la auditoría de la seguridad: el procedimiento por el que se verifica que un sistema cumple realmente las medidas del Anexo II. Según el Real Decreto 311/2022 y su artículo 31, los sistemas de categoría media y alta deben someterse a una auditoría ordinaria al menos cada dos años —y a una extraordinaria ante cambios sustanciales—, mientras que los de categoría básica pueden acreditar su conformidad mediante autoevaluación. El auditor no se queda en el papel: revisa que cada medida esté implantada, sea adecuada y, sobre todo, demostrable con evidencias.
El Anexo II te dice qué hay que tener; el Anexo III comprueba que lo tienes de verdad. Es la diferencia entre redactar una política de seguridad y poder enseñar el acta que la aprobó, los registros que la aplican y la configuración que la materializa. Si el Anexo II es el examen, el Anexo III es el corrector. En esta guía explico qué revisa exactamente la auditoría del ENS, qué evidencias pide por cada tipo de medida, cómo se diferencia de la autoevaluación y cuáles son los hallazgos que más se repiten.
Acompaño a empresas y entidades en este proceso desde Castilla y León y Canarias, y casi siempre el problema no es la falta de controles, sino la falta de evidencia ordenada. Vamos a evitar ese tropiezo.
¿Qué es el Anexo III del ENS?
El Anexo III del RD 311/2022 fija el objeto, los niveles y la interpretación de la auditoría de la seguridad. Es el complemento natural del Anexo II: define cómo se comprueba la conformidad con las medidas que aquel cataloga. Su desarrollo operativo se apoya en el artículo 31 del Real Decreto y en la guía CCN-STIC 808, que detalla cómo verificar el cumplimiento medida por medida.
La auditoría del ENS no es una formalidad burocrática. Verifica tres cosas sobre cada medida aplicable: que está implantada, que es adecuada al riesgo y la categoría, y que su funcionamiento puede demostrarse. Una medida que existe sobre el papel pero no deja rastro operativo es, a efectos de auditoría, una medida no acreditada.
¿Quién puede auditar la conformidad con el ENS?
Depende de para qué se haga la auditoría y de la naturaleza de la entidad:
- Sector público. La verificación puede realizarla un Órgano de Auditoría Técnica (OAT) del propio sector público o, mediante la Declaración de Conformidad, la propia entidad apoyándose en la guía CCN-STIC 809.
- Certificación de conformidad. Cuando se busca la Certificación de Conformidad con el ENS (habitual en empresas privadas que prestan servicios al sector público), la auditoría la realiza una Entidad de Certificación acreditada por ENAC para el ENS. El resultado se materializa en un certificado con validez temporal.
En la práctica, si eres un proveedor que quiere acreditar el ENS para licitar, acabarás trabajando con una entidad de certificación acreditada. Lo relaciono con el detalle del proceso y los costes en mi guía de certificación ENS: proceso, requisitos y costes.
¿Cada cuánto se audita un sistema según el ENS?
El artículo 31 del RD 311/2022 marca la frecuencia según la categoría:
| Categoría del sistema | Mecanismo de verificación | Periodicidad ordinaria |
|---|---|---|
| Básica | Autoevaluación o auditoría | Revisión periódica recomendada |
| Media | Auditoría formal | Al menos cada 2 años |
| Alta | Auditoría formal | Al menos cada 2 años |
Además de la ordinaria, el artículo 31 obliga a una auditoría extraordinaria siempre que se produzcan modificaciones sustanciales en el sistema de información: un cambio de arquitectura, una migración relevante, una nueva integración con servicios externos. El reloj de los dos años no exime de revisar cuando el sistema cambia de forma significativa.
¿Qué diferencia hay entre autoevaluación y auditoría?
Esta distinción es clave y la categoría del sistema la determina. Si no sabes qué categoría tienes, lo aclaro paso a paso en cómo elegir entre nivel básico, medio o alto.
- Autoevaluación (categoría básica). La propia entidad verifica el cumplimiento de las medidas que le aplican, normalmente con el apoyo del anexo de verificación de la CCN-STIC 808. Es más ligera, pero no menos rigurosa: hay que dejar constancia documentada de la revisión.
- Auditoría (categoría media y alta). La verificación la realiza un auditor con la independencia exigida (OAT o entidad de certificación). Produce un informe formal con hallazgos y, en su caso, el certificado de conformidad.
La diferencia esencial no es solo "quién mira", sino el grado de independencia y la formalidad del resultado. Una autoevaluación bien hecha es excelente preparación para una futura auditoría, pero no la sustituye cuando la categoría exige verificación independiente.
¿Qué evidencias revisa la auditoría del ENS?
Aquí está el núcleo práctico. El auditor recorre las medidas del Anexo II que te aplican y, por cada una, busca evidencia objetiva. Esta es la correspondencia típica por marco:
| Marco / medida | Qué pide el auditor (evidencia) |
|---|---|
| org.1 Política de seguridad | Documento aprobado por el órgano de gobierno, con fecha y acta de aprobación. |
| org.3 Procedimientos | Procedimientos escritos, versionados y comunicados al personal. |
| op.pl Análisis de riesgos | Análisis de riesgos vigente con metodología reconocida (el análisis de riesgos con MAGERIT). |
| op.acc Control de acceso | Matriz de permisos, registros de altas/bajas, evidencia de revisión periódica. |
| op.exp Registro de actividad | Logs conservados, con la retención y la protección exigidas. |
| op.cont Continuidad | Plan de continuidad y actas de las pruebas realizadas. |
| mp.info Copias de seguridad | Política de copias, registros de ejecución y evidencia de pruebas de restauración. |
| mp.com Comunicaciones | Configuración de cifrado, segmentación de red, reglas de perímetro. |
El patrón se repite: documento que lo define + registro que lo aplica + prueba de que funciona. Una copia de seguridad sin prueba de restauración, un log que no se conserva o una política sin acta de aprobación son los huecos clásicos. Las medidas del Anexo II que sustentan esta revisión las desgloso en el Anexo II explicado.
¿Qué contiene el informe de auditoría del ENS?
El informe es el entregable formal de la auditoría. Conforme al Anexo III y a la CCN-STIC 808, debe recoger al menos:
- Alcance: qué sistemas y servicios se han auditado y su categoría.
- Criterio y metodología: el marco de referencia (RD 311/2022, guías CCN-STIC) y cómo se ha verificado.
- Hallazgos: no conformidades, observaciones y oportunidades de mejora, calificadas por gravedad.
- Recomendaciones: acciones correctoras propuestas para cerrar los hallazgos.
- Dictamen: la conclusión sobre el grado de conformidad del sistema.
Un informe con no conformidades no significa necesariamente "suspenso": significa que hay que abrir un plan de acción correctora y subsanarlas. La gestión de ese plan es tan importante como la auditoría en sí.
Hallazgos típicos en una auditoría del ENS
Por experiencia, estos son los que más se repiten —y casi todos son evitables:
- Política sin aprobar formalmente. Existe el documento, pero falta el acta del órgano de gobierno.
- Análisis de riesgos desactualizado. Se hizo una vez y nunca se revisó tras los cambios del sistema.
- Copias sin pruebas de restauración. Se hacen backups, pero nadie ha verificado que se puedan recuperar.
- Permisos sin revisión periódica. Cuentas de personas que ya no están, accesos que nadie audita.
- Cadena de suministro sin controlar. Proveedores y servicios en la nube a los que no se traslada el nivel de exigencia del ENS.
- Declaración de Aplicabilidad incoherente. Medidas marcadas como aplicables sin evidencia, o exclusiones sin justificar.
Niveles de la auditoría: qué profundiza el auditor según la categoría
El Anexo III no aplica el mismo rasero a todos los sistemas. La profundidad de la verificación crece con la categoría, igual que crece la exigencia del Anexo II. En términos prácticos, esto se traduce en cuánto y con qué detalle se revisa cada medida:
- Categoría básica. La verificación se centra en comprobar que las medidas aplicables existen y están operativas. La autoevaluación documentada suele bastar, siempre que deje constancia de qué se revisó y con qué resultado.
- Categoría media. El auditor entra en el detalle de la implantación: no solo que la medida existe, sino que está correctamente configurada, se aplica de forma sistemática y genera evidencia repetible. Aparecen las pruebas de muestreo sobre registros y configuraciones.
- Categoría alta. La verificación es la más exigente. Se revisan los refuerzos del Anexo II, se contrasta la eficacia de las medidas frente a escenarios de riesgo concretos y se examina la robustez de los controles más críticos (cifrado, segregación, continuidad, monitorización).
De ahí que conocer bien tu categoría sea el punto de partida también para la auditoría: define no solo qué medidas te aplican, sino con qué lupa las mirarán. Si todavía no la tienes clara, repásala en las categorías ENS básica, media y alta.
El ciclo de vida de la certificación de conformidad
Cuando la auditoría busca la Certificación de Conformidad con el ENS, no es un acto único, sino un ciclo que se repite en el tiempo. Conviene entenderlo para planificar recursos:
- Adecuación previa. Antes de cualquier auditoría, el sistema debe estar implantado: categorizado, con sus medidas del Anexo II desplegadas y su Declaración de Aplicabilidad firmada.
- Auditoría inicial de certificación. La entidad de certificación verifica la conformidad y, si el dictamen es favorable, emite el certificado.
- Vigencia del certificado. El certificado tiene una validez temporal limitada y queda sujeto a seguimiento.
- Auditorías de seguimiento y renovación. Periódicamente —al menos cada dos años en media y alta— se vuelve a verificar la conformidad para mantener el certificado vigente.
- Auditorías extraordinarias. Cualquier cambio sustancial en el sistema reabre la necesidad de verificar.
La consecuencia es clara: la conformidad con el ENS no se "consigue y se olvida". Es un estado que hay que mantener, lo que exige integrar la seguridad en la operación cotidiana del sistema, no tratarla como un proyecto puntual. El detalle de costes y plazos de este ciclo lo desarrollo en certificación ENS: proceso, requisitos y costes.
Un ejemplo de evidencia bien construida
Para que se vea la diferencia entre "tener la medida" y "poder demostrarla", tomemos la medida de copias de seguridad (mp.info). Una entidad puede afirmar que hace copias, pero en auditoría eso no basta. La evidencia sólida sería:
- Una política de copias documentada (qué se copia, con qué frecuencia, cuánto se conserva, dónde se guarda).
- Registros de ejecución que muestren que las copias se realizan según lo previsto, sin huecos.
- Actas de pruebas de restauración que demuestren que las copias no solo se hacen, sino que se pueden recuperar.
- Evidencia de que las copias están protegidas (cifrado, control de acceso, copia fuera de las instalaciones cuando la categoría lo exige).
Ese conjunto —política, registro, prueba y protección— es lo que convierte una afirmación en una medida acreditada. Aplica el mismo razonamiento a cada medida de tu Declaración de Aplicabilidad y tendrás la auditoría medio resuelta.
Cómo prepararte para superar la auditoría
La mejor preparación no se improvisa la semana antes. Un enfoque que funciona:
- Parte de la Declaración de Aplicabilidad y, para cada medida marcada, identifica dónde está su evidencia. Si no la encuentras tú, tampoco la encontrará el auditor.
- Haz una autoevaluación previa con la CCN-STIC 808 aunque tu categoría sea media o alta: te muestra los huecos antes de que los vea un tercero.
- Ordena la evidencia en un repositorio único, trazable desde cada medida.
- Revisa los puntos sensibles: aprobación de política, vigencia del análisis de riesgos, pruebas de restauración y revisión de accesos.
Si quieres profundizar en la preparación operativa, lo trato en detalle en cómo prepararse para la auditoría del ENS.
Preguntas frecuentes sobre el Anexo III del ENS
¿Qué es el Anexo III del ENS?
Es la parte del RD 311/2022 que regula la auditoría de la seguridad: define el objeto, los niveles y la interpretación de la verificación de conformidad con las medidas del Anexo II. Su desarrollo práctico se apoya en el artículo 31 y la guía CCN-STIC 808.
¿Quién puede auditar la conformidad con el ENS?
En el sector público, un Órgano de Auditoría Técnica o la propia entidad mediante Declaración de Conformidad. Para la Certificación de Conformidad —habitual en proveedores privados—, la auditoría la realiza una entidad de certificación acreditada por ENAC para el ENS.
¿Cada cuánto se audita?
Los sistemas de categoría media y alta se auditan al menos cada dos años, según el artículo 31, más una auditoría extraordinaria ante modificaciones sustanciales. Los de categoría básica pueden acreditar su conformidad mediante autoevaluación.
¿Qué evidencias revisa la auditoría del ENS?
Por cada medida aplicable del Anexo II, el auditor busca el documento que la define, el registro que la aplica y la prueba de que funciona: política aprobada, análisis de riesgos vigente, logs conservados, pruebas de restauración de copias, matriz de accesos revisada, configuración de comunicaciones, etc.
¿Qué diferencia hay entre autoevaluación y auditoría?
La autoevaluación la hace la propia entidad (válida para categoría básica) y la auditoría la realiza un verificador independiente con resultado formal (obligatoria para media y alta). Ambas verifican lo mismo, pero difieren en independencia y formalidad del dictamen.
¿Qué pasa si la auditoría detecta no conformidades?
Se recogen en el informe calificadas por gravedad y se abre un plan de acción correctora para subsanarlas. Las no conformidades no implican un suspenso automático; lo decisivo es cerrarlas en plazo y dejar evidencia de la corrección.
Fuentes
- Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) — artículo 31 (auditoría) y Anexo III.
- CCN-CERT — Guía CCN-STIC 808: Verificación del cumplimiento del ENS.
- Portal del ENS — CCN (ens.ccn.cni.es) — guías CCN-STIC 808 y 809 (Declaración y Certificación de Conformidad).