Esquema Nacional de Seguridad (ENS)

En el entorno digital actual, la protección de la información es vital. El Esquema Nacional de Seguridad (ENS) se ha establecido como un pilar fundamental para garantizar la seguridad en las administraciones públicas y sus proveedores en España. Este artículo examina en profundidad qué es el ENS, su conformidad y la importancia de su implementación.

¿Qué es el ENS(Esquema Nacional de Seguridad)?

El ENS, regulado por el Real Decreto 311/2022 de 3 de mayo, es una normativa que establece los principios y requisitos mínimos necesarios para garantizar la protección adecuada de la información manejada por las administraciones públicas y sus proveedores. Su objetivo principal es asegurar la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y protección de los datos en los sistemas de información.

Ámbito de Aplicación

El artículo 2 del RD 311/2022 establece que el ENS es aplicable a:

  • Entidades del Sector Público: Todas las administraciones públicas, incluyendo entidades generales del Estado, autonómicas y locales.
  • Entidades Privadas: Sistemas de información de las entidades privadas que prestan servicios o proveen soluciones a las entidades públicas para el ejercicio de sus competencias y funciones administrativas.

Los pliegos de los contratos celebrados con la Administración Pública deben incluir todos los requisitos necesarios para asegurar la conformidad con el ENS. Esto se hace mediante la Declaración de conformidad o Certificación.

La certificación se hace mediante la auditoría realizada por las entidades de certificación.

Niveles de Categorización

El ENS establece tres niveles de categorización para las medidas de seguridad, cada uno con un conjunto específico de medidas:

  1. Categoría Básica: 52 medidas de seguridad. (Aquí habría que hacer Declaración de conformidad, pero la certificación sería voluntaria)
  2. Categoría Media: 68 medidas de seguridad. (Certificación obligatoria, se registra y es público)
  3. Categoría Alta: 73 medidas de seguridad. (Certificación obligatoria, se registra y es público)

No hace falta implementar todas, solo las necesarias para el tipo de servicio que se ofrezca.

Principios Básicos del ENS

El ENS se basa en varios principios fundamentales:

  • Seguridad Integral: Incluye aspectos físicos, lógicos y organizativos.
  • Gestión de Riesgos: Identificación y mitigación de riesgos potenciales.
  • Prevención, Detección, Respuesta y Recuperación: Establece directrices para la gestión de incidentes de seguridad.
  • Vigilancia Continua: Monitoreo constante de los sistemas para identificar y abordar amenazas.
  • Reevaluación Periódica: Evaluaciones regulares para asegurar la eficacia de las medidas de seguridad.
  • Diferenciación de Responsabilidades: Asignación clara de roles y responsabilidades en la gestión de la seguridad.

Medidas de Seguridad Implantadas

Las medidas de seguridad del ENS se dividen en tres marcos:

  1. Marco Organizativo: Establece la estructura organizativa y responsabilidades en materia de seguridad. Aquí se definen los principios, el comité de seguridad, establece un procedimiento de gestión de incidentes…
  2. Marco Operacional: Define los procedimientos y operaciones diarias más técnicas para mantener la seguridad. Enfocado a nivel informático, la monitorización del sistema, medidas para proteger el servidor, los equipos, las redes usadas…
  3. Marco de Protección: Especifica las técnicas y herramientas necesarias para proteger la información y los sistemas. Son las medidas físicas, como señalizar la puerta de emergencia, tener extintores en regla, medidas en caso de incendios,  inundación… 

La normativa define al equipo de trabajo encargado de esto. El equipo se denomina comité de seguridad y está compuesto por 4 figuras principales: 

ResponsableDescripciónRecomendación
Responsable de la informaciónSuele caer en el directivo de la entidad. Es la persona que tiene la responsabilidad del sistema de información.Directivo de la entidad
Responsable de sistemasEncargado de la implementación de medidas técnicas e informáticas.Aconsejable que sea un técnico
Responsable de seguridadEncargado de las medidas de seguridad. Precaución: la persona designada como responsable de sistemas no puede ser la misma que la responsable de seguridad.Recomendable que sea un técnico
Responsable de servicioEs el jefe del departamento.Jefe del departamento
*El responsable de sistemas se puede externalizar. 

Impacto del ENS en las Empresas

El ENS es esencial para cualquier empresa que interactúe con la administración pública o maneje información sensible. Los principales impactos incluyen:

  • Cumplimiento y Auditorías: Es crucial cumplir con las normativas del ENS y someterse a auditorías regulares para asegurar la conformidad.
  • Formación y Concienciación: Capacitar al personal en las mejores prácticas de seguridad es vital para mantener un entorno seguro.

Beneficios del ENS

Adoptar el ENS ofrece numerosas ventajas:

  • Mejora la Confianza: Fortalece la confianza en los servicios ofrecidos tanto en el sector público como privado.
  • Protección contra Amenazas: Proporciona un marco robusto para la seguridad de la información.
  • Fomento de la Mejora Continua: Impulsa a mejorar constantemente las prácticas de seguridad.

Cumplimiento del ENS

El cumplimiento del ENS implica varias etapas clave:

  1. Evaluación Inicial: Identificar el nivel de cumplimiento actual y las áreas que necesitan mejoras.
  2. Plan de Adecuación: Desarrollar un plan detallado para implementar las medidas de seguridad necesarias.
  3. Implementación de Medidas Técnicas: Adoptar medidas como el cifrado de datos, controles de acceso y monitoreo de sistemas.
  4. Formación y Concienciación: Capacitar a los empleados sobre la importancia de la seguridad de la información y las medidas del ENS.
  5. Revisión y Auditoría: Realizar revisiones y auditorías periódicas para asegurar el cumplimiento continuo.

Kit Consulting

El Kit Consulting es un programa de ayudas del Gobierno de España destinado a pymes para diseñar su hoja de ruta hacia la transformación digital. Este programa incluye un Bono de Asesoramiento Digital, que proporciona fondos para la contratación de servicios de asesoramiento:

  • Entre 10 y 50 empleados: 12.000 €
  • Entre 50 y 100 empleados: 18.000 €
  • Entre 100 y 250 empleados: 24.000 €

Fecha importante: 5 de mayo de 2024

Una fecha importante que hay tener en cuenta es el 5 de mayo. Así, los sistemas de información de las entidades adecuadas al anterior ENS (2010) tenían 2 años para adecuar sus sistemas al nuevo ENS, cumpliéndose este plazo el 5 de mayo de 2024.

Conclusión

El Esquema Nacional de Seguridad (ENS) es fundamental para la protección de la información en la era digital, especialmente en el ámbito de la contratación pública en España. Cumplir con el ENS no solo garantiza la seguridad de los datos, sino que también fortalece la confianza y la competitividad en el mercado. Las empresas deben actuar proactivamente para adaptarse a esta normativa, teniendo en cuenta que las empresas que ya estaban adecuadas en el anterior ENS tienen hasta el 5 de mayo de 2024 para renovarlo, asegurando así su capacidad para colaborar con las administraciones públicas y proteger adecuadamente la información que manejan.

Cristian Pérez López
Consultor jurídico, DPD y CO certificado | Ayuda a las empresas a navegar por el complejo panorama legal y a implementar las medidas necesarias para cumplir con regulaciones como el RGPD, la LOPDGDD, ENS…

Artículos relacionados:

Scroll al inicio