El Esquema Nacional de Seguridad (ENS) nació con el Real Decreto 3/2010, de 8 de enero, publicado en el BOE el 29 de enero de 2010 para desarrollar el artículo 42 de la Ley 11/2007. Aquella norma se modificó a fondo con el Real Decreto 951/2015 y hoy está derogada: desde el 5 de mayo de 2022 el ENS se rige por el el marco legal del ENS, de 3 de mayo. Si buscas el RD 3/2010, lo que se te aplica realmente es el RD 311/2022. En este artículo repaso cómo ha evolucionado el Esquema, qué cambió en cada versión y por qué se actualizó.
Qué fue el Real Decreto 3/2010 y por qué importa su historia
Cuando alguien me escribe preguntando por el «real decreto 3/2010 del ENS», casi siempre llega desde un pliego antiguo, un manual interno desactualizado o una búsqueda heredada de hace años. Es lógico: el RD 3/2010 fue la norma fundacional del Esquema Nacional de Seguridad y durante más de doce años fue la referencia en seguridad de la Administración electrónica española. Conocer su recorrido no es un ejercicio de arqueología jurídica: ayuda a entender por qué el ENS está estructurado como está, qué problemas vino a resolver cada reforma y, sobre todo, a no aplicar por error un texto que ya no está vigente.
El Esquema Nacional de Seguridad es el marco que fija los principios básicos y los requisitos mínimos para proteger la información y los servicios que manejan las administraciones públicas y, cada vez más, sus proveedores tecnológicos. Si quieres una visión de conjunto del marco actual, escribí una guía completa del ENS que conviene tener a mano mientras lees esta historia. Aquí me centro en lo que casi nadie cuenta bien: la línea de tiempo de la norma.
2010: el nacimiento del ENS con el RD 3/2010
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica se publicó en el BOE núm. 25, de 29 de enero de 2010 (referencia BOE-A-2010-1330) y entró en vigor al día siguiente. Su existencia no fue una ocurrencia aislada: respondía a un mandato legal concreto.
Ese mandato estaba en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos (la conocida LAECSP). El apartado 2 de aquel artículo preveía la creación de un Esquema Nacional de Seguridad cuyo objeto sería establecer la política de seguridad en el uso de medios electrónicos. Dicho de otro modo: el legislador de 2007 dijo «hace falta un esquema de seguridad común para toda la Administración digital» y el Gobierno lo desarrolló reglamentariamente tres años después con el RD 3/2010.
¿Qué aportó aquel texto? Por primera vez en España se fijaba un lenguaje común de seguridad para el sector público: principios básicos (gestión de la seguridad basada en riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica), requisitos mínimos y un catálogo de medidas de seguridad organizado por niveles. El ENS introdujo la idea de categorizar los sistemas en función del impacto que tendría un incidente sobre cinco dimensiones —disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad— y de aplicar medidas proporcionales a esa categoría (básica, media o alta). Esa lógica de proporcionalidad sigue viva hoy, y es uno de los grandes aciertos de diseño que el RD 3/2010 nos dejó.
2015: el Real Decreto 951/2015, la primera gran revisión
Cinco años después llegó la primera reforma de calado. El Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010 se publicó en el BOE núm. 264, de 4 de noviembre de 2015 (referencia BOE-A-2015-11881). No derogaba el ENS: lo modificaba para ponerlo al día tras un lustro de cambios tecnológicos y normativos.
¿Qué movió el RD 951/2015? Tres cosas que merece la pena destacar:
En primer lugar, vinculó de forma explícita las Instrucciones Técnicas de Seguridad y las guías CCN-STIC. Hasta entonces, esas guías del Centro Criptológico Nacional (CCN) tenían un papel orientativo difuso. La reforma clarificó que determinadas instrucciones técnicas serían de obligado cumplimiento para las administraciones y regularían cuestiones como el informe del estado de seguridad, la notificación de incidentes, la conformidad o la adquisición de productos de seguridad. Aquí se sembró la semilla del ecosistema de guías que hoy es indispensable para implantar el ENS.
En segundo lugar, reforzó el papel del CCN-CERT, la capacidad de respuesta a incidentes del Centro Criptológico Nacional, como referente de coordinación frente a las ciberamenazas dirigidas al sector público.
En tercer lugar, actualizó el Anexo II de medidas y simplificó el Anexo III de auditoría, y alineó el ENS con el contexto europeo, en particular con el Reglamento (UE) 910/2014 (eIDAS) sobre identificación electrónica y servicios de confianza. La exposición de motivos del RD 951/2015 era transparente sobre su finalidad: reforzar la protección de las administraciones frente a unas ciberamenazas que evolucionaban mucho más rápido que la norma.
Conviene tener clara una cosa: durante el periodo 2015-2022, cuando alguien decía «el ENS» se refería al RD 3/2010 en su redacción dada por el RD 951/2015. Eran la misma norma, no dos esquemas distintos.
2022: el Real Decreto 311/2022 deroga el RD 3/2010
El punto de inflexión llegó en mayo de 2022. El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad se publicó en el BOE núm. 106, de 4 de mayo de 2022 (referencia BOE-A-2022-7191) y entró en vigor el 5 de mayo de 2022. Su disposición derogatoria fue tajante: suprime el Real Decreto 3/2010, de 8 de enero, y cuantas disposiciones de igual o inferior rango se opongan a lo nuevo.
Hay un detalle jurídico que casi nadie menciona y que a mí me parece clave para entender la historia. El RD 3/2010 nacía del artículo 42 de la Ley 11/2007. Pero la Ley 11/2007 fue derogada en 2015 por las leyes 39/2015 y 40/2015. El RD 311/2022 ya no se dicta al amparo de la vieja LAECSP, sino del artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que es donde hoy vive la habilitación legal del ENS. Es decir: la reforma de 2022 no fue solo una actualización técnica, sino también una puesta al día de los cimientos legales del Esquema.
Si te interesa el detalle de la norma vigente, mantengo una guía completa del ENS centrada en el RD 311/2022; y si tu pregunta es de fondo —si tu organización está obligada—, lo trato en el artículo sobre cuándo el ENS es obligatorio para empresas y proveedores.
¿Qué cambió de fondo en 2022?
El RD 311/2022 no fue un simple maquillaje. Persigue tres grandes objetivos declarados: alinear el ENS con el marco normativo y el contexto estratégico vigentes, introducir la capacidad de ajustar sus requisitos a la realidad de determinados colectivos o tipos de sistemas, y facilitar una mejor respuesta ante las ciberamenazas. Estos son los cambios que más impacto tienen en la práctica:
Las 73 medidas reorganizadas en tres marcos. El Anexo II del RD 311/2022 estructura las medidas de seguridad en tres bloques: el marco organizativo (cómo se gobierna la seguridad: política, normativa, procedimientos, autorización), el marco operacional (cómo se gestionan los sistemas en el día a día: planificación, control de acceso, explotación, continuidad, monitorización) y las medidas de protección (controles técnicos sobre instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, información y servicios). En total, 73 medidas que sustituyen al catálogo anterior con una lógica más clara.
Perfiles de cumplimiento específicos. Es, para mí, la novedad más útil. El artículo 30 del RD 311/2022 habilita perfiles de cumplimiento adaptados a categorías concretas de entidades o tipos de sistema, de manera que se pueda aplicar el ENS de forma proporcionada sin renunciar al nivel de protección. Esto abrió la puerta a perfiles para ayuntamientos pequeños o para determinados servicios, algo que el RD 3/2010 no contemplaba con esa flexibilidad. Si trabajas en administración local, lo desarrollo en el artículo sobre el ENS en ayuntamientos y administración local.
Refuerzo de la cadena de suministro. El nuevo ENS pone el foco en la seguridad de los proveedores y subcontratistas, reconociendo que muchos incidentes entran por terceros. Por eso el cumplimiento del ENS se ha extendido de facto a las empresas que prestan servicios a la Administración.
Monitorización continua y vigilancia. Se incorpora con más fuerza el principio de vigilancia continua y reevaluación permanente, frente a la foto estática que dominaba el enfoque inicial.
Régimen de notificación de incidentes. El ENS de 2022 articula la notificación al CCN-CERT con plazos según el impacto del incidente, lo que profesionaliza la respuesta frente a ataques.
Línea de tiempo del ENS: RD 3/2010 → RD 951/2015 → RD 311/2022
Para verlo de un vistazo, esta es la evolución completa del Esquema Nacional de Seguridad con sus referencias normativas verificadas en el BOE:
| Norma | Fecha BOE | Ley habilitante | Novedades clave | Estado actual |
|---|---|---|---|---|
| RD 3/2010, de 8 de enero | BOE núm. 25, de 29/01/2010 | Art. 42 de la Ley 11/2007 (LAECSP) | Crea el ENS: principios básicos, requisitos mínimos, categorización de sistemas y medidas por niveles | Derogado desde el 05/05/2022 |
| RD 951/2015, de 23 de octubre | BOE núm. 264, de 04/11/2015 | Modifica el RD 3/2010 | CCN-STIC obligatorias, refuerzo del CCN-CERT, actualización del Anexo II, alineación con eIDAS | Sin efecto: modificaba una norma ya derogada |
| RD 311/2022, de 3 de mayo | BOE núm. 106, de 04/05/2022 | Art. 156 de la Ley 40/2015 (LRJSP) | 73 medidas en 3 marcos, perfiles de cumplimiento, cadena de suministro, monitorización continua | Vigente |
La lectura es sencilla: hay un solo ENS vivo hoy, el del RD 311/2022. El RD 3/2010 y su modificación de 2015 son historia normativa, útil para entender el origen pero inaplicable como exigencia.
¿Por qué se actualizó el Esquema Nacional de Seguridad?
Cuando un cliente me pregunta por qué hubo que cambiar una norma que «funcionaba», suelo darle tres razones. La primera es tecnológica: en 2010 el cloud, la movilidad masiva, los servicios gestionados por terceros y el ransomware industrializado no eran lo que son hoy. Un esquema diseñado para una Administración mayoritariamente on-premise se quedó corto frente a un escenario de servicios distribuidos y amenazas profesionales.
La segunda razón es jurídica. Como expliqué antes, la Ley 11/2007 que daba cobertura al RD 3/2010 desapareció en 2015. Mantener un reglamento colgando de una ley derogada es, como mínimo, incómodo. El RD 311/2022 reancla el ENS en la Ley 40/2015, que es la sede natural del régimen jurídico del sector público y de sus relaciones electrónicas.
La tercera es estratégica. El ENS dejó de ser un asunto exclusivamente interno de la Administración para convertirse en una palanca de ciberseguridad nacional que arrastra a todo el ecosistema de proveedores. La reforma de 2022 asume esa realidad: extiende su influencia a la cadena de suministro y se coordina mejor con el marco europeo (directiva NIS, después el marco europeo NIS2) y con el resto de obligaciones de ciberseguridad. En la práctica, esto convierte al ENS en un requisito comercial para muchas empresas privadas, no solo en una obligación de organismos públicos.
Si buscabas el RD 3/2010, esto es lo que necesitas hacer
Voy a ser muy directo, porque es el error que más veo. Si has llegado aquí desde un pliego, una plantilla o un curso que cita el «Real Decreto 3/2010», no trabajes sobre ese texto: está derogado. Comprueba la fecha de tus documentos internos y migra cualquier referencia al RD 311/2022. Un pliego de contratación que todavía exija «cumplimiento del RD 3/2010» está, técnicamente, exigiendo una norma inexistente, y eso puede generar problemas de interpretación.
Si tu organización tiene que adecuarse al ENS vigente o renovar su conformidad, el proceso ha cambiado respecto a 2010: hoy se apoya en perfiles de cumplimiento, en las guías CCN-STIC actualizadas y en un esquema de certificación más maduro. Lo explico paso a paso en el artículo sobre la certificación del ENS: proceso, requisitos y costes. Y si lo que necesitas es ayuda para implantarlo, trabajo este encaje en proyectos de consultoría e implantación del ENS tanto desde Castilla y León como desde Canarias.
Una última nota para quien venga del mundo de la seguridad de la información privada: el ENS comparte mucha filosofía con la norma internacional ISO 27001, aunque no son lo mismo ni se sustituyen. Si quieres entender las diferencias y las sinergias, lo desarrollo en mi guía completa de la ISO 27001.
Preguntas frecuentes
¿El RD 3/2010 sigue vigente?
No. El Real Decreto 3/2010, de 8 de enero, fue derogado expresamente por la disposición derogatoria del Real Decreto 311/2022, de 3 de mayo, que entró en vigor el 5 de mayo de 2022. Desde esa fecha, el único Esquema Nacional de Seguridad aplicable es el del RD 311/2022. Cualquier documento que todavía exija el RD 3/2010 está desactualizado.
¿Qué diferencia hay entre el RD 3/2010 y el RD 311/2022?
El RD 3/2010 fue la norma fundacional del ENS, dictada al amparo del artículo 42 de la Ley 11/2007. El RD 311/2022 lo deroga y lo sustituye al amparo del artículo 156 de la Ley 40/2015. En el plano técnico, el de 2022 reorganiza las medidas en 73 controles agrupados en tres marcos (organizativo, operacional y de protección), introduce perfiles de cumplimiento específicos, refuerza la seguridad de la cadena de suministro y la monitorización continua, y se alinea con el marco europeo de ciberseguridad. El de 2010 establecía los principios y la categorización de sistemas, pero con un enfoque menos flexible.
¿Cuándo se creó el ENS?
El Esquema Nacional de Seguridad se creó formalmente con el Real Decreto 3/2010, de 8 de enero, publicado en el BOE del 29 de enero de 2010. Su origen legal está en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, que en 2007 ya previó la necesidad de un esquema de seguridad común para la Administración electrónica.
¿Por qué se actualizó el Esquema Nacional de Seguridad?
Por tres motivos combinados: la evolución tecnológica (cloud, movilidad, servicios de terceros, ciberamenazas profesionalizadas) que dejó corto al diseño de 2010; el cambio del marco legal, ya que la Ley 11/2007 que sostenía el RD 3/2010 fue derogada en 2015 y la habilitación pasó a la Ley 40/2015; y la necesidad estratégica de extender la seguridad a la cadena de suministro y coordinarse mejor con el marco europeo de ciberseguridad.
¿El RD 951/2015 sigue teniendo efecto?
No de forma autónoma. El Real Decreto 951/2015 fue una modificación del RD 3/2010, no una norma independiente. Al quedar derogado el RD 3/2010 por el RD 311/2022, las modificaciones de 2015 perdieron su objeto. Su valor hoy es histórico: muestra cómo el ENS se fue endureciendo entre 2010 y 2022, sobre todo en lo relativo a las guías CCN-STIC y al papel del CCN-CERT.
¿Dónde puedo consultar el texto oficial del ENS vigente?
En el BOE, bajo la referencia BOE-A-2022-7191 (Real Decreto 311/2022). Además, el portal del ENS del Centro Criptológico Nacional (ens.ccn.cni.es) y el Portal de Administración Electrónica (administracionelectronica.gob.es) publican el texto consolidado, las guías CCN-STIC y materiales de apoyo para la implantación.
¿Afecta el ENS solo a las administraciones públicas?
No solo. El ENS obliga directamente al sector público, pero el RD 311/2022 refuerza la seguridad de la cadena de suministro, de modo que las empresas que prestan servicios a la Administración suelen tener que acreditar conformidad con el ENS. Por eso se ha convertido en un requisito frecuente en licitaciones y contratos públicos. Lo desarrollo en el artículo sobre cuándo el ENS es obligatorio para empresas y proveedores.
Fuentes
- BOE — Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE-A-2010-1330)
- BOE — Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010 (BOE-A-2015-11881)
- BOE — Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191)
- CCN — Portal del ENS: normativa del Esquema Nacional de Seguridad
- CCN — ENS: preguntas frecuentes
- Portal de Administración Electrónica (administracionelectronica.gob.es)
Contenido elaborado por Summum Marketing para angelortegacastro.com. Información normativa verificada contra fuentes oficiales (BOE y CCN) a fecha de junio de 2026; las referencias legales pueden actualizarse, por lo que conviene contrastar siempre con el texto consolidado del BOE.