En breve: El Real Decreto 311/2022, de 3 de mayo, es la norma que regula hoy el Esquema Nacional de Seguridad (ENS). Se publicó en el BOE el 4 de mayo de 2022 (referencia BOE-A-2022-7191), entró en vigor al día siguiente y derogó el anterior RD 3/2010. Obliga a todo el sector público y, por extensión, a las empresas privadas que le prestan servicios, y actualiza principios, categorías y controles de seguridad.
El Real Decreto 311/2022, de 3 de mayo, es la norma que regula hoy el Esquema Nacional de Seguridad (ENS). Se publicó en el BOE el 4 de mayo de 2022 (referencia BOE-A-2022-7191), entró en vigor al día siguiente de su publicación y derogó el anterior RD 3/2010. Obliga a todo el sector público y, por extensión, a las empresas privadas que le prestan servicios. Sus principales novedades: nuevo catálogo de medidas con refuerzos, perfiles de cumplimiento específicos, la Declaración de Aplicabilidad y un plazo de adecuación de 24 meses para los sistemas preexistentes.
Si solo vas a leer una norma del ENS, es esta. El RD 311/2022 es el marco vigente y todo lo demás —guías CCN-STIC, certificaciones, auditorías— cuelga de él. En este resumen ejecutivo te cuento qué regula exactamente, cuándo empezó a aplicarse, a quién obliga, qué cambió respecto a la norma de 2010 y dónde encontrarlo en el BOE, sin perdernos en el articulado.
Acompaño a empresas y entidades en su adecuación al ENS desde Castilla y León y Canarias, y la primera pregunta de casi todos es la misma: "¿qué ley es esta exactamente y a mí en qué me afecta?". Vamos a responderla.
¿Qué regula el Real Decreto 311/2022?
El RD 311/2022 regula el Esquema Nacional de Seguridad: el conjunto de principios, requisitos y medidas que garantizan la seguridad de la información y los servicios en el ámbito de la administración digital. Da cumplimiento al mandato de la Ley 40/2015 de Régimen Jurídico del Sector Público de establecer una política de seguridad común.
Su estructura es clara: un cuerpo de articulado que fija principios básicos, requisitos mínimos y el régimen de cumplimiento, más cuatro anexos que son el músculo operativo de la norma:
| Anexo | Qué regula |
|---|---|
| Anexo I | Categorías de seguridad de los sistemas (básica, media, alta) y cómo se determinan |
| Anexo II | Las medidas de seguridad aplicables, organizadas en tres marcos |
| Anexo III | Objeto, niveles e interpretación de la auditoría de la seguridad |
| Anexo IV | Glosario de términos y definiciones |
Cada anexo tiene su propia guía detallada en este sitio: el Anexo II de medidas, el Anexo III de auditoría y las dimensiones de seguridad que sostienen el Anexo I. Si quieres la panorámica completa del ENS, empieza por la guía completa del Esquema Nacional de Seguridad.
¿Cuándo entró en vigor el RD 311/2022?
El Real Decreto 311/2022 se publicó en el BOE del 4 de mayo de 2022 y, conforme a su disposición final, entró en vigor el día siguiente al de su publicación. Es decir, es norma vigente y aplicable desde mayo de 2022.
Ahora bien, una cosa es la entrada en vigor y otra el plazo para adaptarse. La disposición transitoria única concede 24 meses a los sistemas de información preexistentes a la entrada en vigor para alcanzar su plena adecuación al nuevo esquema. Ese plazo de adecuación venció, por tanto, en mayo de 2024: a día de hoy, las entidades obligadas deben estar plenamente adecuadas al RD 311/2022.
| Hito | Fecha |
|---|---|
| Publicación en el BOE | 4 de mayo de 2022 |
| Entrada en vigor | Día siguiente a la publicación (mayo 2022) |
| Fin del plazo de adecuación (sistemas preexistentes) | 24 meses después (mayo 2024) |
¿A quién obliga el RD 311/2022?
El ámbito de aplicación lo fija el artículo 2 del Real Decreto, y es más amplio de lo que mucha gente cree:
- Todo el sector público definido en la Ley 40/2015: Administración General del Estado, comunidades autónomas, entidades locales, el sector público institucional, las universidades públicas, etc.
- El sector privado que presta servicios al sector público. Cuando una empresa, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presta servicios o provee soluciones a entidades del sector público, le aplican las medidas del ENS correspondientes a la información y los servicios afectados.
- La cadena de suministro. Las exigencias se trasladan a los proveedores y subcontratistas en la medida en que el análisis de riesgos lo requiera.
De ahí que el ENS afecte a muchísimas empresas privadas aunque no sean "administración": basta con prestar un servicio TIC a una entidad pública para entrar en su órbita. Los pliegos de contratación pública deben exigir las Declaraciones o Certificaciones de Conformidad con el ENS correspondientes. Si tu empresa contrata con el sector público, lo desarrollo en cuándo es obligatorio el ENS para empresas y proveedores.
¿Qué cambió respecto al RD 3/2010?
El RD 311/2022 derogó el Real Decreto 3/2010, que había regulado el ENS durante doce años. No fue un simple lavado de cara: la norma se reescribió para alinearse con la realidad tecnológica y normativa actual. Los cambios más relevantes:
- Nuevo sistema de medidas con refuerzos. El Anexo II pasó a un esquema de requisito base más refuerzos graduables (identificados con R), más flexible que el modelo rígido anterior.
- Perfiles de cumplimiento específicos. El artículo 30 permite aprobar perfiles adaptados a sectores o tipos de entidad (entidades locales, universidades, etc.), que ajustan el conjunto de medidas exigibles. Los aprueba el CCN.
- Declaración de Aplicabilidad. El artículo 28 formaliza el documento, firmado por el responsable de seguridad, que recoge qué medidas se seleccionan y permite medidas compensatorias justificadas.
- Seguridad en la nube. Se incorporó un bloque específico de medidas para servicios en la nube (
op.nub), inexistente en 2010. - Mayor énfasis en la cadena de suministro y en la coordinación con el marco europeo de ciberseguridad.
En conjunto, la norma de 2022 es más moderna, más proporcional y más conectada con cómo se prestan hoy los servicios digitales. La filosofía de fondo —proteger la información valorando su impacto— se mantiene, pero las herramientas se actualizaron.
¿Dónde se publica el ENS en el BOE?
El texto oficial y vigente del ENS es el Real Decreto 311/2022, publicado en el Boletín Oficial del Estado con la referencia BOE-A-2022-7191. Puedes consultarlo de dos formas:
- Texto consolidado (con las modificaciones posteriores ya integradas): boe.es/buscar/act.php?id=BOE-A-2022-7191. Es la versión que conviene usar para cualquier consulta normativa.
- PDF oficial de la publicación original: boe.es/eli/es/rd/2022/05/03/311.
Para la interpretación práctica y la implantación, el complemento imprescindible son las guías CCN-STIC del Centro Criptológico Nacional, disponibles en el portal oficial del ENS. La norma fija el "qué"; las guías desarrollan el "cómo".
Los principios básicos y requisitos mínimos del RD 311/2022
Antes de los anexos, el articulado del RD 311/2022 fija dos pilares que conviene conocer porque informan toda la interpretación de la norma. Por un lado, los principios básicos, que son las ideas rectoras de la seguridad en el ámbito del ENS:
- Seguridad como proceso integral, no como un producto que se compra una vez.
- Gestión de la seguridad basada en los riesgos, valorando el impacto de los incidentes.
- Prevención, detección, respuesta y conservación como funciones que deben coexistir.
- Existencia de líneas de defensa, sin confiar la seguridad a un único control.
- Vigilancia continua y reevaluación periódica de las medidas.
- Diferenciación de responsabilidades entre quien usa, opera y decide.
Por otro lado, los requisitos mínimos concretan qué debe garantizar toda entidad: organización e implantación del proceso de seguridad, análisis y gestión de riesgos, gestión del personal, profesionalidad, autorización y control de accesos, protección de las instalaciones, adquisición de productos y servicios de seguridad, mínimo privilegio, integridad y actualización del sistema, protección de la información almacenada y en tránsito, prevención frente a sistemas interconectados, registro de actividad, incidentes de seguridad, continuidad de la actividad y mejora continua. Estos requisitos son el puente entre los principios abstractos y las medidas concretas del Anexo II.
El RD 311/2022 frente a otras normas: RGPD y NIS2
Una duda habitual es cómo encaja el ENS con otras obligaciones de seguridad y protección de datos. No son lo mismo, pero se complementan:
- las obligaciones del RGPD para empresas y LOPDGDD. Regulan la protección de datos personales. El ENS no sustituye al RGPD, pero muchas de sus medidas (control de acceso, cifrado, trazabilidad) ayudan a cumplir el principio de seguridad del tratamiento que exige el reglamento europeo. Donde hay datos personales, ambos marcos conviven.
- Directiva la directiva NIS2. El marco europeo de ciberseguridad para entidades esenciales e importantes empuja en la misma dirección que el ENS: gestión de riesgos, medidas técnicas y organizativas, notificación de incidentes. El CCN ha publicado guías de mapeo para entidades que deban atender ambos.
- el sistema de gestión de seguridad de la información. No es obligatoria, pero comparte filosofía con el ENS y sirve de base: la guía CCN-STIC 825 mapea sus controles. Disponer de un sistema de gestión ISO 27001 acelera la adecuación al ENS.
La idea de fondo es que el RD 311/2022 no vive aislado: forma parte de un ecosistema normativo de seguridad y protección de datos en el que las medidas bien implantadas suman para varios marcos a la vez. Aprovechar esas sinergias es la forma más eficiente de cumplir.
Resumen ejecutivo del RD 311/2022
Si tuviera que condensarlo en cinco ideas para alguien que se acerca por primera vez:
- Es la norma vigente del ENS desde mayo de 2022; sustituyó al RD 3/2010.
- Obliga al sector público y a sus proveedores privados.
- Clasifica los sistemas en tres categorías (básica, media, alta) según el impacto de un incidente.
- Exige implantar medidas del Anexo II proporcionales a la categoría, formalizadas en la Declaración de Aplicabilidad.
- El plazo de adecuación para sistemas preexistentes ya venció (24 meses, mayo 2024): hoy hay que estar conforme.
Qué implica el RD 311/2022 para una empresa privada
Si diriges una empresa que trabaja o quiere trabajar con la Administración, el RD 311/2022 te afecta de forma muy concreta, más allá de la teoría normativa. Estas son las implicaciones prácticas:
- En las licitaciones. Los pliegos de contratación pública del sector TIC exigen cada vez con más frecuencia acreditar la conformidad con el ENS. Sin ella, quedas fuera de muchos concursos.
- En el alcance. No tienes que certificar toda tu empresa, sino los sistemas y servicios concretos que prestas al sector público y la información que manejas en esa relación.
- En la categoría. La categoría de tu certificación debe ser, como mínimo, la del sistema o servicio público al que das soporte. No vale certificar "a la baja".
- En el mantenimiento. La conformidad hay que mantenerla con auditorías periódicas; no es un trámite de una sola vez.
La buena noticia es que el ENS, bien planteado, deja de ser una barrera y se convierte en una ventaja competitiva: acredita ante la Administración —y ante cualquier cliente— que tu organización gestiona la seguridad con seriedad. Profundizo en cuándo y cómo te obliga en si el ENS es obligatorio para empresas y proveedores.
Modificaciones posteriores al RD 311/2022
Como toda norma viva, el RD 311/2022 se ha ido complementando y precisando con desarrollo posterior, fundamentalmente a través de las guías CCN-STIC y de las órdenes ministeriales que aprueban las políticas de seguridad de cada departamento. El cuerpo del Real Decreto se mantiene estable, pero su interpretación práctica evoluciona con las guías, que se actualizan periódicamente.
Por eso la recomendación es doble: para la obligación legal, consulta siempre el texto consolidado del BOE, que integra cualquier modificación; y para la implantación, trabaja con la última versión de las guías CCN-STIC aplicables a tu caso. Apoyarte en una guía desactualizada es uno de los errores que más retrasan una adecuación.
Preguntas frecuentes sobre el RD 311/2022
¿Qué regula el Real Decreto 311/2022?
Regula el Esquema Nacional de Seguridad: los principios, requisitos mínimos y medidas que garantizan la seguridad de la información y los servicios en la administración digital. Se complementa con cuatro anexos (categorías, medidas, auditoría y glosario).
¿Cuándo entró en vigor el RD 311/2022?
Se publicó en el BOE el 4 de mayo de 2022 y entró en vigor al día siguiente. Concedió un plazo de adecuación de 24 meses a los sistemas preexistentes, que venció en mayo de 2024.
¿A quién obliga el RD 311/2022?
A todo el sector público (Ley 40/2015) y a las empresas privadas que, en virtud de una relación contractual, prestan servicios a entidades públicas, así como a su cadena de suministro en lo que el análisis de riesgos requiera.
¿Dónde se publica el ENS en el BOE?
En el Boletín Oficial del Estado con la referencia BOE-A-2022-7191. La versión recomendada para consulta es el texto consolidado disponible en boe.es.
¿El RD 311/2022 derogó al RD 3/2010?
Sí. La disposición derogatoria del RD 311/2022 suprime el Real Decreto 3/2010, que había regulado el ENS durante doce años. El RD 3/2010 ya no está vigente.
¿Qué guías desarrollan el RD 311/2022?
Las guías CCN-STIC del Centro Criptológico Nacional (por ejemplo, la 804 de implantación, la 808 de verificación o la 825 de mapeo con ISO 27001), disponibles en el portal oficial del ENS. La norma fija el marco y las guías detallan la implantación.
Fuentes
- Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) — texto consolidado oficial.
- RD 311/2022 — PDF oficial de la publicación (BOE).
- Real Decreto 3/2010, de 8 de enero (BOE-A-2010-1330) — norma derogada.
- Portal del ENS — CCN (ens.ccn.cni.es) — guías CCN-STIC.