El ENS tiene tres categorías —básica, media y alta— y la que te corresponde no se elige, se deduce. Valoras las cinco dimensiones de seguridad de tu sistema (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) en niveles bajo, medio o alto, y luego aplicas la regla del artículo 40 del Real Decreto 311/2022: el sistema es de categoría alta si alguna dimensión llega a nivel alto; media si alguna llega a medio (y ninguna a alto); y básica si alguna llega a bajo (y ninguna a medio ni alto). La pregunta correcta no es "¿qué nivel quiero?", sino "¿qué daño causaría un incidente?".
Esta es la duda con la que arranca casi todo el mundo que se enfrenta al ENS por primera vez, y es donde más se equivoca: o se quedan cortos por desconocimiento, o se pasan "por si acaso" y se cargan con medidas que no necesitan. Esta guía es deliberadamente práctica: te doy la regla, un árbol de decisión y ejemplos por tipo de servicio para que aciertes con tu categoría. Si lo que buscas es la descripción detallada de cada categoría y sus requisitos, la tienes en mi página sobre las categorías ENS básica, media y alta; aquí nos centramos en decidir.
Ayudo a empresas y entidades a categorizar sus sistemas desde Castilla y León y Canarias, y el método siempre es el mismo: primero el impacto, después el nivel, nunca al revés.
¿Cuántos niveles tiene el ENS?
El ENS define tres categorías de seguridad para los sistemas: básica, media y alta. No hay una cuarta ni medias tintas. Lo que sí tiene matices es cómo se llega a cada una, porque la categoría es el resultado de valorar antes cinco dimensiones de seguridad en tres niveles (bajo, medio, alto).
Conviene no confundir conceptos: las dimensiones (qué garantías protege el sistema) se valoran en niveles, y de esos niveles se deriva la categoría del sistema completo. Las cinco dimensiones —el conjunto CIDAT— las explico a fondo en las 5 dimensiones de seguridad del ENS.
La regla del impacto: cómo se determina la categoría
El corazón de la decisión está en el artículo 40 del RD 311/2022. La categoría del sistema la fija la dimensión más exigente: no se promedia, se toma el máximo. Esta es la regla, sin ambigüedad:
| Si la dimensión más exigente está en nivel… | …la categoría del sistema es |
|---|---|
| Alguna dimensión en ALTO | ALTA |
| Alguna en MEDIO y ninguna en alto | MEDIA |
| Alguna en BAJO y ninguna en medio ni alto | BÁSICA |
La consecuencia es importante: basta con que una sola dimensión sea alta para que todo el sistema sea de categoría alta, con todo lo que eso implica en medidas y refuerzos del Anexo II. Por eso valorar bien cada dimensión —ni por exceso ni por defecto— es la decisión más rentable de toda la adecuación.
¿Cómo saber si mi sistema es de nivel básico, medio o alto?
El nivel de cada dimensión se determina por el impacto que tendría un incidente que afectara a esa garantía. El RD 311/2022 lo gradúa así:
- Nivel BAJO: el incidente causaría un perjuicio limitado a las funciones, los activos o las personas afectadas.
- Nivel MEDIO: el incidente causaría un perjuicio grave.
- Nivel ALTO: el incidente causaría un perjuicio muy grave, incluso irreparable.
La valoración examina el efecto sobre la capacidad de la organización para cumplir sus objetivos, proteger sus activos, atender sus obligaciones de servicio y respetar la legalidad y los derechos de las personas. No es un juicio caprichoso: se argumenta dimensión a dimensión.
Árbol de decisión para categorizar tu sistema
Aplica esta secuencia, una dimensión cada vez. Hazte estas preguntas para confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad:
- ¿Un incidente en esta dimensión causaría un perjuicio muy grave o irreparable? Si sí → la dimensión es ALTA. Detente: el sistema completo será de categoría alta.
- ¿Causaría un perjuicio grave (pero no irreparable)? Si sí → la dimensión es MEDIA.
- ¿Causaría solo un perjuicio limitado? Si sí → la dimensión es BAJA.
- ¿La dimensión no aplica al sistema? No se le asigna nivel.
Cuando hayas valorado las cinco, quédate con el nivel más alto que haya aparecido: ese determina la categoría. Es un sistema deliberadamente conservador, porque el ENS prioriza no infravalorar el riesgo.
Ejemplos por tipo de servicio
Los ejemplos ayudan a calibrar, aunque cada caso real exige su propia valoración. Esta tabla orienta sobre dónde suelen caer distintos servicios:
| Tipo de servicio | Dimensión más crítica | Categoría orientativa |
|---|---|---|
| Web informativa institucional (solo publica contenidos) | Integridad / disponibilidad bajas | Básica |
| Sede electrónica con trámites y datos personales | Confidencialidad / autenticidad medias | Media |
| Sistema con datos especialmente protegidos (salud, ideología) | Confidencialidad alta | Alta |
| Servicio crítico cuya caída afecta a la ciudadanía | Disponibilidad alta | Alta |
| Plataforma de notificaciones con valor probatorio | Trazabilidad / autenticidad medias-altas | Media o alta |
El patrón es claro: en cuanto entra en juego un dato especialmente protegido o un servicio cuya indisponibilidad tendría consecuencias graves, la categoría escala. Un portal que solo informa rara vez pasará de básica.
¿Qué cambia entre básico, medio y alto?
Subir de categoría no es una etiqueta: cambia el esfuerzo real de cumplimiento en tres frentes.
- Medidas del Anexo II. A mayor categoría, más medidas aplicables y, sobre todo, más refuerzos activos sobre cada medida. Lo detallo en el Anexo II explicado.
- Verificación. Básica admite autoevaluación; media y alta exigen auditoría formal al menos cada dos años, según el artículo 31. Lo trato en el Anexo III y la auditoría de conformidad.
- Coste y plazos. Cada salto de categoría incrementa el trabajo de implantación y la documentación de evidencia.
De ahí la importancia de no sobredimensionar: declararte de categoría alta "para ir sobre seguro" te obliga a sostener medidas, refuerzos y auditorías que quizá tu sistema no necesita. La categoría correcta es la que se ajusta al impacto real, ni más ni menos.
Ejemplo completo: categorizar paso a paso una sede electrónica
Veamos el método aplicado de principio a fin. Imagina la sede electrónica de un ayuntamiento mediano, donde la ciudadanía presenta solicitudes, consulta expedientes y recibe notificaciones con valor jurídico. Recorremos sus cinco dimensiones:
- Confidencialidad: maneja datos personales de los ciudadanos (no especialmente protegidos). Una filtración causaría un perjuicio grave, pero no irreparable. → MEDIA.
- Integridad: alterar un expediente o una resolución tendría consecuencias jurídicas serias. → ALTA.
- Disponibilidad: su caída afecta a plazos administrativos, aunque existen vías presenciales alternativas. → MEDIA.
- Autenticidad: debe garantizarse que quien presenta o firma es quien dice ser; un fallo abriría la puerta a fraudes. → ALTA.
- Trazabilidad: el valor probatorio de las notificaciones depende de registros fiables. → ALTA.
El nivel más alto que ha aparecido es ALTO (en tres dimensiones). Por tanto, el sistema es de categoría alta, aunque dos de sus dimensiones sean solo medias. Este es justo el efecto de la regla del máximo: no importa que la mayoría sean medias; basta con una alta para fijar la categoría. Ese sistema deberá implantar las medidas de categoría alta del Anexo II, con sus refuerzos, y someterse a auditoría formal cada dos años.
Fíjate en lo que habría pasado si hubiéramos valorado mal una sola dimensión: rebajar la integridad a media "porque rara vez pasa" habría cambiado toda la categoría y, con ella, el alcance del cumplimiento. De ahí la importancia de argumentar cada nivel con honestidad.
¿Cuánto esfuerzo supone cada categoría?
Subir de categoría no es gratis, y conviene tenerlo presente al valorar para no infraestimar ni sobredimensionar. A título orientativo, así crece el esfuerzo:
| Aspecto | Básica | Media | Alta |
|---|---|---|---|
| Medidas del Anexo II | Las imprescindibles | Ampliadas | Ampliadas + refuerzos |
| Verificación | Autoevaluación | Auditoría cada 2 años | Auditoría cada 2 años |
| Documentación de evidencia | Básica | Detallada | Exhaustiva |
| Carga de gestión continua | Baja | Media | Alta |
El salto más relevante en términos de carga suele ser el de básica a media, porque introduce la auditoría formal. De media a alta, el incremento viene sobre todo de los refuerzos y de la profundidad de la evidencia. Por eso una categorización honesta —ni a la baja por comodidad ni al alza por miedo— es la decisión que más impacto tiene en el coste total de la adecuación.
¿Quién decide la categoría del sistema?
La categorización no es decisión del equipo técnico en solitario. Es una decisión de negocio y de responsabilidad: la valoración del impacto la realiza el responsable de la información y de los servicios —quien conoce el valor de lo que se protege—, con el apoyo del responsable de seguridad, y queda formalizada en la documentación del sistema. El equipo técnico aporta el conocimiento de la arquitectura, pero quién valora el daño de un incidente es quien responde de la información.
Esta valoración no es para siempre: cuando el sistema cambia de forma sustancial —nuevos datos, nuevos servicios, nueva criticidad—, hay que revisarla. Una categoría asignada hace años y nunca revisada es uno de los hallazgos habituales en auditoría.
Errores frecuentes al elegir el nivel
- Promediar las dimensiones. La categoría la fija la dimensión más alta, no la media. Una sola dimensión alta hace alto todo el sistema.
- Elegir "por seguridad" un nivel superior. Sobredimensionar dispara medidas, refuerzos y auditorías innecesarias.
- Valorar el sistema sin valorar el dato. El nivel nace del impacto sobre la información y el servicio, no de la tecnología empleada.
- No revisar tras los cambios. La categoría se revalida cuando el sistema evoluciona; no es una foto fija.
Categoría del sistema frente a perfiles de cumplimiento
Conviene anticipar un matiz que aparece en cuanto profundizas: la categoría no siempre es la última palabra sobre qué medidas te aplican. El RD 311/2022 introdujo los perfiles de cumplimiento específicos, conjuntos de medidas adaptados a un tipo de entidad o sector concreto y aprobados por el Centro Criptológico Nacional. Existen perfiles, por ejemplo, para entidades locales pequeñas o para determinados sectores, pensados para ajustar la exigencia a su realidad.
Esto significa que dos sistemas de la misma categoría pueden acabar con conjuntos de medidas distintos si a uno le aplica un perfil específico. Para la mayoría de organizaciones, sin embargo, el camino es el general: valorar dimensiones, derivar categoría y seleccionar las medidas del Anexo II correspondientes. Los perfiles son una capa de ajuste posterior, no un atajo para saltarse la categorización. Si tu entidad encaja en uno de esos colectivos, merece la pena comprobar si existe un perfil aplicable antes de abordar la adecuación.
Qué hacer una vez conoces tu categoría
Determinar la categoría no es el final, sino el punto de partida de la adecuación. Con la categoría en la mano, la hoja de ruta habitual es:
- Documentar la valoración. Deja constancia escrita de cómo has valorado cada dimensión y por qué; el auditor lo pedirá.
- Seleccionar las medidas del Anexo II que aplican a tu categoría, con sus refuerzos.
- Redactar la Declaración de Aplicabilidad, justificando qué aplicas, qué excluyes y qué medidas compensatorias usas.
- Implantar y evidenciar cada medida, ordenando la documentación que la respalda.
- Verificar la conformidad: autoevaluación si eres categoría básica, auditoría formal si eres media o alta.
Cada uno de estos pasos tiene su propia complejidad, pero todos arrancan de una buena categorización. Si la base está bien puesta, el resto del proceso fluye; si la categoría está mal valorada, todo lo que viene después hereda el error.
Preguntas frecuentes sobre los niveles del ENS
¿Cuántos niveles tiene el ENS?
El ENS define tres categorías de sistema: básica, media y alta. Se derivan de valorar las cinco dimensiones de seguridad en tres niveles (bajo, medio, alto) y tomar el más exigente.
¿Cómo saber si mi sistema es de nivel básico, medio o alto?
Valora el impacto de un incidente en cada dimensión: perjuicio limitado es nivel bajo, perjuicio grave es medio y perjuicio muy grave es alto. La categoría del sistema la fija la dimensión con el nivel más alto, según el artículo 40 del RD 311/2022.
¿Qué cambia entre básico, medio y alto?
A mayor categoría, más medidas y refuerzos del Anexo II, verificación más exigente (autoevaluación en básica frente a auditoría cada dos años en media y alta) y mayor coste de implantación y documentación.
¿Quién decide la categoría del sistema?
La valoración del impacto corresponde al responsable de la información y de los servicios, con el apoyo del responsable de seguridad, y se formaliza en la documentación del sistema. No es una decisión exclusivamente técnica.
¿Puedo tener un sistema con dimensiones de distinto nivel?
Sí, y es lo habitual: cada dimensión se valora por separado. La categoría del sistema completo la determina la dimensión que alcance el nivel más alto.
¿Tengo que elegir la categoría más alta para ir sobre seguro?
No. Sobredimensionar la categoría obliga a implantar medidas, refuerzos y auditorías que el sistema quizá no necesita. La categoría correcta es la que se ajusta al impacto real del sistema, justificada dimensión a dimensión.
Fuentes
- Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) — artículo 40 (categorías) y Anexo I.
- Portal del ENS — CCN (ens.ccn.cni.es) — guías de categorización CCN-STIC 803 y 804.