En bref : El Décret royal 311/2022, de 3 de mayo, es la norma que regula hoy l'ENS (schéma national de sécurité espagnol). Se publicó en el BOE el 4 de mayo de 2022 (referencia BOE-A-2022-7191), entró en vigor al día siguiente y derogó el anterior RD 3/2010. Obliga a todo el sector público y, por extensión, a las empresas privadas que le prestan servicios, y actualiza principios, categorías y controles de seguridad.
El Décret royal 311/2022, de 3 de mayo, es la norma que regula hoy el ENS (schéma national de sécurité espagnol) (ENS). Se publicó en el BOE el 4 de mayo de 2022 (referencia BOE-A-2022-7191), entró en vigor al día siguiente de su publicación y derogó el anterior RD 3/2010. Obliga a todo el sector público y, por extensión, a las empresas privadas que le prestan servicios. Sus principales novedades: nuevo catálogo de medidas con refuerzos, profils de conformité específicos, la Declaración de Aplicabilidad y un plazo de adecuación de 24 meses para los sistemas preexistentes.
Si solo vas a leer una norma dl'ENS, es esta. El RD 311/2022 es el marco vigente y todo lo demás —guides CCN-STIC, certificaciones, auditorías— cuelga de él. En este resumen ejecutivo te cuento qué regula exactamente, cuándo empezó a aplicarse, a quién obliga, qué cambió respecto a la norma de 2010 y dónde encontrarlo en el BOE, sin perdernos en el articulado.
Acompaño a empresas y entidades en su adecuación al ENS desde Castilla y León y Canarias, y la primera pregunta de casi todos es la misma: "¿qué ley es esta exactamente y a mí en qué me afecta?". Vamos a responderla.
¿Qué regula el Décret royal 311/2022?
El RD 311/2022 regula el ENS (schéma national de sécurité espagnol): el conjunto de principios, requisitos y medidas que garantizan la sécurité de l'information y los servicios en el ámbito de la administración digital. Da cumplimiento al mandato de la Loi 40/2015 sur le régime juridique du secteur public de establecer una politique de sécurité común.
Su estructura es clara: un cuerpo de articulado que fija principios básicos, requisitos mínimos y el régimen de cumplimiento, más cuatro anexos que son el músculo operativo de la norma:
| Anexo | Qué regula |
|---|---|
| Anexo I | Categorías de seguridad de los sistemas (básica, media, alta) y cómo se determinan |
| Anexo II | Las mesures de sécurité aplicables, organizadas en tres marcos |
| Anexo III | Objeto, niveles e interpretación de la auditoría de la seguridad |
| Anexo IV | Glosario de términos y definiciones |
Cada anexo tiene su propia guía detallada en este sitio: el mesures de l'Annexe II, el Anexo III de auditoría y las dimensiones de seguridad que sostienen el Anexo I. Si quieres la panorámica completa dl'ENS, empieza por la guía completa dl'ENS (schéma national de sécurité espagnol).
¿Cuándo entró en vigor el RD 311/2022?
El Décret royal 311/2022 se publicó en el BOE del 4 de mayo de 2022 y, conforme a su disposición final, entró en vigor el día siguiente al de su publicación. Es decir, es norma vigente y aplicable desde mayo de 2022.
Ahora bien, una cosa es la entrada en vigor y otra el plazo para adaptarse. La disposición transitoria única concede 24 meses a los sistemas de información preexistentes a la entrada en vigor para alcanzar su plena adecuación al nuevo esquema. Ese plazo de adecuación venció, por tanto, en mayo de 2024: a día de hoy, las entidades obligadas deben estar plenamente adecuadas al RD 311/2022.
| Hito | Fecha |
|---|---|
| Publicación en el BOE | 4 de mayo de 2022 |
| Entrada en vigor | Día siguiente a la publicación (mayo 2022) |
| Fin del plazo de adecuación (sistemas preexistentes) | 24 meses después (mayo 2024) |
¿A quién obliga el RD 311/2022?
El ámbito de aplicación lo fija el artículo 2 del Real Decreto, y es más amplio de lo que mucha gente cree:
- Todo el sector público definido en la Ley 40/2015: Administración General del Estado, comunidades autónomas, entidades locales, el sector público institucional, las universidades públicas, etc.
- El sector privado que presta servicios au secteur public. Cuando una empresa, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presta servicios o provee soluciones a entidades du secteur public, le aplican las medidas dl'ENS correspondientes a la información y los servicios afectados.
- La chaîne d'approvisionnement. Las exigencias se trasladan a los proveedores y subsous-traitants en la medida en que el analyse de risques lo requiera.
De ahí que l'ENS afecte a muchísimas empresas privadas aunque no sean "administración": basta con prestar un servicio TIC a una entidad pública para entrar en su órbita. Los pliegos de marchés publics deben exigir las Déclarations ou Certifications de conformité con l'ENS correspondientes. Si tu empresa contrata con el sector público, lo desarrollo en cuándo es obligatorio l'ENS para empresas y proveedores.
¿Qué cambió respecto al RD 3/2010?
El RD 311/2022 derogó el Real Decreto 3/2010, que había regulado l'ENS durante doce años. No fue un simple lavado de cara: la norma se reescribió para alinearse con la realidad tecnológica y normativa actual. Los cambios más relevantes:
- Nuevo sistema de medidas con refuerzos. El Anexo II pasó a un esquema de requisito base más refuerzos graduables (identificados con R), más flexible que el modelo rígido anterior.
- Perfiles de cumplimiento específicos. El artículo 30 permite aprobar perfiles adaptados a sectores o tipos de entidad (entidades locales, universidades, etc.), que ajustan el conjunto de medidas exigibles. Los aprueba el CCN.
- Declaración de Aplicabilidad. El artículo 28 formaliza el documento, firmado por el responsable de seguridad, que recoge qué medidas se seleccionan y permite medidas compensatorias justificadas.
- Seguridad en la nube. Se incorporó un bloque específico de medidas para servicios en la nube (
op.nub), inexistente en 2010. - Mayor énfasis en la chaîne d'approvisionnement y en la coordinación con el marco europeo de ciberseguridad.
En conjunto, la norma de 2022 es más moderna, más proporcional y más conectada con cómo se prestan hoy los servicios digitales. La filosofía de fondo —proteger la información valorando su impacto— se mantiene, pero las herramientas se actualizaron.
¿Dónde se publica l'ENS en el BOE?
El texto oficial y vigente dl'ENS es el Décret royal 311/2022, publicado en el Journal officiel espagnol (BOE) con la referencia BOE-A-2022-7191. Puedes consultarlo de dos formas:
- Texto consolidado (con las modificaciones posteriores ya integradas): boe.es/buscar/act.php?id=BOE-A-2022-7191. Es la versión que conviene usar para cualquier consulta normativa.
- PDF oficial de la publicación original: boe.es/eli/es/rd/2022/05/03/311.
Para la interpretación práctica y la mise en œuvre, el complemento imprescindible son las guides CCN-STIC del Centre National Cryptologique (CCN), disponibles en el portal oficial dl'ENS. La norma fija el "qué"; las guías desarrollan el "cómo".
Los principios básicos y requisitos mínimos del RD 311/2022
Antes de los anexos, el articulado del RD 311/2022 fija dos pilares que conviene conocer porque informan toda la interpretación de la norma. Por un lado, los principios básicos, que son las ideas rectoras de la seguridad en el ámbito dl'ENS:
- Seguridad como proceso integral, no como un producto que se compra una vez.
- Gestión de la seguridad basada en los riesgos, valorando el impacto de los incidentes.
- Prevención, detección, respuesta y conservación como funciones que deben coexistir.
- Existencia de líneas de defensa, sin confiar la seguridad a un único control.
- Vigilancia continua y reevaluación periódica de las medidas.
- Diferenciación de responsabilidades entre quien usa, opera y decide.
Por otro lado, los requisitos mínimos concretan qué debe garantizar toda entidad: organización e mise en œuvre del proceso de seguridad, análisis y gestión de riesgos, gestión del personal, profesionalidad, autorización y control de accesos, protección de las instalaciones, adquisición de productos y servicios de seguridad, mínimo privilegio, integridad y actualización del sistema, protección de la información almacenada y en tránsito, prevención frente a sistemas interconectados, registro de actividad, incidents de sécurité, continuidad de la actividad y mejora continua. Estos requisitos son el puente entre los principios abstractos y las medidas concretas del Anexo II.
El RD 311/2022 frente a otras normas: RGPD y NIS2
Una duda habitual es cómo encaja l'ENS con otras obligaciones de seguridad y protección de datos. No son lo mismo, pero se complementan:
- las obligaciones del RGPD para empresas y LOPDGDD. Regulan la protección de datos personales. El ENS no sustituye al RGPD, pero muchas de sus medidas (control de acceso, cifrado, trazabilidad) ayudan a cumplir el principio de seguridad del tratamiento que exige el reglamento europeo. Donde hay datos personales, ambos marcos conviven.
- Directiva la directiva NIS2. El marco europeo de ciberseguridad para entidades esenciales e importantes empuja en la misma dirección que l'ENS: gestión de riesgos, medidas técnicas y organizativas, notification des incidents. El CCN ha publicado guías de mapeo para entidades que deban atender ambos.
- el sistema de gestión de sécurité de l'information. No es obligatoria, pero comparte filosofía con l'ENS y sirve de base: la guide CCN-STIC 825 mapea sus controles. Disponer de un sistema de gestión ISO 27001 acelera la adecuación al ENS.
La idea de fondo es que el RD 311/2022 no vive aislado: forma parte de un ecosistema normativo de seguridad y protección de datos en el que las medidas bien implantadas suman para varios marcos a la vez. Aprovechar esas sinergias es la forma más eficiente de cumplir.
Resumen ejecutivo del RD 311/2022
Si tuviera que condensarlo en cinco ideas para alguien que se acerca por primera vez:
- Es la norma vigente dl'ENS desde mayo de 2022; sustituyó al RD 3/2010.
- Obliga al sector público y a sus proveedores privados.
- Clasifica los sistemas en tres categorías (básica, media, alta) según el impacto de un incidente.
- Exige implantar mesures de l'Annexe II proporcionales a la categoría, formalizadas en la Declaración de Aplicabilidad.
- El plazo de adecuación para sistemas preexistentes ya venció (24 meses, mayo 2024): hoy hay que estar conforme.
Qué implica el RD 311/2022 para una empresa privada
Si diriges una empresa que trabaja o quiere trabajar con l'Administration, el RD 311/2022 te afecta de forma muy concreta, más allá de la teoría normativa. Estas son las implicaciones prácticas:
- En las licitaciones. Los pliegos de marchés publics del sector TIC exigen cada vez con más frecuencia acreditar la conformidad con l'ENS. Sin ella, quedas fuera de muchos appel d'offress.
- En el alcance. No tienes que certificar toda tu empresa, sino los sistemas y servicios concretos que prestas au secteur public y la información que manejas en esa relación.
- En la categoría. La categoría de tu certificación debe ser, como mínimo, la del sistema o servicio público al que das soporte. No vale certificar "a la baja".
- En el mantenimiento. La conformidad hay que mantenerla con auditorías periódicas; no es un trámite de una sola vez.
La buena noticia es que l'ENS, bien planteado, deja de ser una barrera y se convierte en una ventaja competitiva: acredita ante l'Administration —y ante cualquier cliente— que tu organización gestiona la seguridad con seriedad. Profundizo en cuándo y cómo te obliga en si l'ENS es obligatorio para empresas y proveedores.
Modificaciones posteriores al RD 311/2022
Como toda norma viva, el RD 311/2022 se ha ido complementando y precisando con desarrollo posterior, fundamentalmente a través de las guides CCN-STIC y de las órdenes ministeriales que aprueban las políticas de seguridad de cada departamento. El cuerpo del Real Decreto se mantiene estable, pero su interpretación práctica evoluciona con las guías, que se actualizan periódicamente.
Por eso la recomendación es doble: para la obligación legal, consulta siempre el texto consolidado del BOE, que integra cualquier modificación; y para la mise en œuvre, trabaja con la última versión de las guides CCN-STIC aplicables a tu caso. Apoyarte en una guía desactualizada es uno de los errores que más retrasan una adecuación.
Questions fréquentes sobre el RD 311/2022
¿Qué regula el Décret royal 311/2022?
Regula l'ENS (schéma national de sécurité espagnol): los principios, requisitos mínimos y medidas que garantizan la sécurité de l'information y los servicios en la administración digital. Se complementa con cuatro anexos (categorías, medidas, auditoría y glosario).
¿Cuándo entró en vigor el RD 311/2022?
Se publicó en el BOE el 4 de mayo de 2022 y entró en vigor al día siguiente. Concedió un plazo de adecuación de 24 meses a los sistemas preexistentes, que venció en mayo de 2024.
¿A quién obliga el RD 311/2022?
A todo el sector público (Ley 40/2015) y a las empresas privadas que, en virtud de una relación contractual, prestan servicios a entidades públicas, así como a su chaîne d'approvisionnement en lo que el analyse de risques requiera.
¿Dónde se publica l'ENS en el BOE?
En el Journal officiel espagnol (BOE) con la referencia BOE-A-2022-7191. La versión recomendada para consulta es el texto consolidado disponible en boe.es.
¿El RD 311/2022 derogó al RD 3/2010?
Sí. La disposición derogatoria del RD 311/2022 suprime el Real Decreto 3/2010, que había regulado l'ENS durante doce años. El RD 3/2010 ya no está vigente.
¿Qué guías desarrollan el RD 311/2022?
Las guides CCN-STIC del Centre National Cryptologique (CCN) (por ejemplo, la 804 de mise en œuvre, la 808 de verificación o la 825 de mapeo con ISO 27001), disponibles en el portal oficial dl'ENS. La norma fija el marco y las guías detallan la mise en œuvre.
Sources
- Décret royal 311/2022, de 3 de mayo (BOE-A-2022-7191) — texto consolidado oficial.
- RD 311/2022 — PDF oficial de la publicación (BOE).
- Real Decreto 3/2010, de 8 de enero (BOE-A-2010-1330) — norma derogada.
- Portal dl'ENS — CCN (ens.ccn.cni.es) — guides CCN-STIC.
Contenido elaborado por Ángel Ortega Castro para angelortegacastro.com. Información divulgativa; para cualquier obligación legal, consulta el texto vigente del RD 311/2022 en el BOE.