Saltar al contenido principal →
Buscar Acceso clientes
Herramienta gratuita · Cumplimiento

Autodiagnóstico del Esquema Nacional de Seguridad (ENS): ¿qué nivel de adecuación tienes?

Categoriza tu sistema según el Anexo I del RD 311/2022 y evalúa en menos de tres minutos tu grado de adecuación en los tres marcos del Anexo II: organizativo, operacional y de protección. Resultado con el porcentaje de preparación por marco, tus gaps concretos y los próximos pasos.

Gratis, sin registro Resultado al instante Tus respuestas no salen del navegador
Paso 1 1 / 4

Categoriza tu sistema: Anexo I del ENS

El ENS valora el impacto de un incidente en cinco dimensiones de seguridad. Marca el nivel de perjuicio que tendría un fallo en cada una — si una dimensión no aplica a tu sistema, marca "No afecta". Tu categoría final es la del nivel más alto que alcances en cualquier dimensión (art. 40 y anexo I, RD 311/2022).

Marco organizativo — la base (org)

El Anexo II agrupa 73 medidas en tres marcos. Estas 4 son la base del marco organizativo: sin ellas, el resto de medidas técnicas se sostienen en el aire. Marca tu situación real, no la que te gustaría tener.

Sí, implementada Parcialmente No, todavía no

Marco operacional — cómo proteges la operación (op)

8 medidas representativas de las 33 que exige este marco, una por cada familia: planificación, control de acceso, explotación, recursos externos, servicios en la nube, continuidad y monitorización.

Sí, implementada Parcialmente No, todavía no

Medidas de protección — los activos concretos (mp)

8 medidas representativas de las 36 que exige este marco, una por cada familia: instalaciones, personal, equipos, comunicaciones, soportes de información, aplicaciones, información y servicios.

Sí, implementada Parcialmente No, todavía no
Resultado orientativo

Tu nivel de adecuación al ENS

Aviso legal: este resultado es orientativo y se genera automáticamente a partir de tus respuestas. No es una Declaración de Aplicabilidad ni sustituye la auditoría oficial cuando tu categoría la exige (art. 28, 31 y 38, RD 311/2022). Ante cualquier duda sobre tu adecuación al ENS, consulta la fuente oficial o agenda una sesión con nosotros.
Cómo funciona

Dos anexos, un porcentaje de preparación.

01

Categorizas tu sistema

Marcas el impacto en las cinco dimensiones del Anexo I — confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Tu categoría es la del nivel más alto que alcances.

02

Evalúas los tres marcos

20 preguntas representativas de las 73 medidas del Anexo II, agrupadas en organizativo, operacional y de protección.

03

Todo ocurre en tu navegador

La lógica es JavaScript local: ninguna respuesta se envía a un servidor ni se almacena en ningún sitio.

04

Cruzamos con el RD 311/2022

Categoría (art. 40, anexo I) + aplicabilidad de medidas por marco (anexo II) + régimen de auditoría o autoevaluación (art. 31 y 38).

05

Obtienes tu % de preparación

Por marco, con tus gaps concretos priorizados y los próximos pasos para cerrarlos — más el enlace para profundizar en cada caso.

Por qué esta herramienta

Tres marcos, 73 medidas, una categoría que lo determina todo.

El Esquema Nacional de Seguridad — Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) — regula la seguridad de los sistemas de información de todo el sector público español, y también alcanza a las empresas privadas que, por relación contractual, prestan servicios o proveen soluciones a las administraciones públicas para el ejercicio de sus competencias, incluida su cadena de suministro cuando el análisis de riesgos lo requiere (art. 2). La confusión más habitual entre pymes que quieren licitar o mantener un contrato con la Administración no es no saber que existe el ENS, sino no saber en qué categoría cae su sistema — y esa categoría es la que determina cuántas medidas y con qué nivel de refuerzo hay que aplicar.

Anexo I: cinco dimensiones, la categoría es la del nivel más alto

El Anexo I valora el impacto que tendría un incidente sobre cinco dimensiones de seguridad: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Cada dimensión afectada se adscribe a un nivel — BAJO (perjuicio limitado, reparable sin dificultad), MEDIO (perjuicio grave, de difícil reparación) o ALTO (perjuicio muy grave o irreparable) — y aquí está la regla que más pymes pasan por alto: la categoría del sistema completo es la del nivel más alto alcanzado en cualquier dimensión. Si la disponibilidad de tu sistema es solo BAJO pero la confidencialidad de los datos que trata es ALTO, todo el sistema es de categoría ALTA, con las 73 medidas del Anexo II aplicándose con su nivel de refuerzo más exigente (art. 40 y anexo I, apartado 4).

Anexo II: organizativo, operacional y protección

Las medidas de seguridad se reparten en tres marcos: el organizativo [org], con 4 medidas que son la base de todo — política, normativa, procedimientos y proceso de autorización; el operacional [op], con 33 medidas repartidas en siete familias (planificación, control de acceso, explotación, recursos externos, servicios en la nube, continuidad del servicio y monitorización); y las medidas de protección [mp], con 36 medidas en ocho familias que protegen activos concretos — instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, información y servicios. No todas las 73 se aplican por igual en cualquier sistema: cada una tiene refuerzos (R1, R2...) que se activan según tu categoría, y el conjunto que aplicas se formaliza en la Declaración de Aplicabilidad, un documento firmado por el responsable de seguridad (art. 28).

Auditoría o autoevaluación, según tu categoría

Aquí está el segundo dato que más cambia el esfuerzo de cumplimiento: los sistemas de categoría BÁSICA solo requieren una autoevaluación para declarar su conformidad con el ENS, mientras que los de categoría MEDIA o ALTA necesitan una auditoría de certificación, con revisión ordinaria al menos cada dos años y de forma extraordinaria si el sistema sufre modificaciones sustanciales (art. 31 y 38). En los sistemas de categoría ALTA, además, si la auditoría detecta deficiencias graves, el responsable del sistema puede suspender temporalmente el tratamiento de información o la prestación del servicio hasta su subsanación (art. 31.6). Los sistemas ya existentes antes de la entrada en vigor del RD 311/2022 dispusieron de 24 meses para adecuarse — plazo que venció en mayo de 2024 — mientras que los sistemas nuevos aplican el Reglamento desde su concepción.

Si el autodiagnóstico te sitúa en categoría MEDIA o ALTA con gaps importantes, en las 73 medidas del ENS explicadas con su aplicabilidad tienes el detalle completo de cada control por marco, y en el proceso, requisitos y costes de la certificación ENS el siguiente paso hacia la auditoría. Para el texto completo de la norma, el resumen del Real Decreto 311/2022 vigente. Todo esto forma parte de nuestra área de cumplimiento normativo, donde tratamos también la NIS2, DORA, el RGPD y el AI Act. Y si todavía no tienes claro si además te aplican esas otras normativas, la herramienta hermana ¿qué normativa me aplica? las cruza todas de una sola vez.

Preguntas frecuentes

Antes de hacer el autodiagnóstico.

¿Qué es el ENS y a quién obliga?+

El Esquema Nacional de Seguridad (ENS) es el Real Decreto 311/2022, de 3 de mayo, que regula la seguridad de los sistemas de información de todo el sector público español. También obliga a las empresas privadas que, por relación contractual, prestan servicios o proveen soluciones a las administraciones públicas para el ejercicio de sus competencias — incluida la cadena de suministro de esos contratistas cuando el análisis de riesgos lo requiera (art. 2).

¿Cómo se determina si mi sistema es de categoría básica, media o alta?+

Se valora el impacto de un incidente en cinco dimensiones de seguridad — confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad (anexo I) — asignando a cada una el nivel BAJO, MEDIO o ALTO. La categoría del sistema es la del nivel más alto alcanzado en cualquier dimensión: si una sola dimensión llega a ALTO, todo el sistema es de categoría ALTA, aunque las demás sean más bajas (art. 40 y anexo I, apartado 4).

¿Cuántas medidas de seguridad exige el Anexo II y tengo que aplicarlas todas?+

El Anexo II recoge 73 medidas repartidas en tres marcos: organizativo (4), operacional (33) y de protección (36). No se aplican todas por igual: cada medida tiene refuerzos (R1, R2...) que se activan según la categoría del sistema. El conjunto de medidas y refuerzos que aplicas se formaliza en la Declaración de Aplicabilidad, firmada por el responsable de seguridad (art. 28).

¿Necesito una auditoría externa o me vale con autoevaluación?+

Depende de la categoría: los sistemas de categoría BÁSICA solo requieren autoevaluación para declarar su conformidad, mientras que los de categoría MEDIA o ALTA precisan una auditoría de certificación, con revisión ordinaria al menos cada dos años (art. 31 y 38, RD 311/2022).

¿Este resultado es una certificación oficial del ENS?+

No. Es una orientación automática basada en tus respuestas para que sepas por dónde empezar, no una Declaración de Aplicabilidad ni una certificación de conformidad. No sustituye la auditoría oficial cuando tu categoría la exige. Y no se guarda nada: el test se ejecuta entero en tu navegador con JavaScript, sin enviar ninguna respuesta a ningún servidor.

¿Hablamos de tu adecuación?

¿Quieres que lo revisemos juntos?

Agenda una sesión gratuita de 30 minutos. Repasamos tu resultado, aclaramos qué gap pesa más en tu caso y qué pasos concretos tomar primero — categorización, Declaración de Aplicabilidad o preparación de la auditoría.

Agendar sesión gratuita →