Preguntas frecuentes sobre el Esquema Nacional de Seguridad (ENS)

¿Qué relación tiene el ENS con la ciberseguridad?

El ENS es un componente esencial de la ciberseguridad en el ámbito público, ya que establece las bases para proteger los sistemas de información frente a ataques cibernéticos y otros riesgos. A medida que los ataques cibernéticos aumentan en frecuencia y sofisticación, el ENS contribuye a la resiliencia digital de las administraciones públicas. También puedes consultar nuestra categoría sobre artículos de ciberseguridad del blog.

¿Cuál es el ámbito de aplicación del ENS?

El ENS es crucial para establecer un marco común de seguridad en las organizaciones del sector público, a las entidades del sector privado que les presten servicios competenciales y, en general, a la cadena de suministro de estas últimas, en la medida que un análisis de riesgos previo así lo determine.

Las medidas del ENS son asimismo de aplicación para aquellas entidades que determina la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantías de los derechos digitales, cuando se realicen tratamientos de datos personales. 

Por último, el ENS también se aplica a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas que asimismo están sujetos a la Ley 9/1968, de 5 de abril, de Secretos Oficiales (LSO), y las derivadas de los compromisos internacionales contraídos por España, o consecuencia de su pertenencia a organismos o foros internacionales. 

¿Cuál es la normativa que regula el Esquema Nacional de Seguridad?

El Esquema Nacional de seguridad está regulado específicamente por la siguiente normativa: 

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. 
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información. 
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional de Seguridad. 
• Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad. 
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad. 

La relación de otra normativa relacionada con la ciberseguridad en España puede consultarse en el Código de Derecho de la Ciberseguridad editado por el BOE. 

¿Qué son los niveles de seguridad del Esquema Nacional de Seguridad?

El ENS define tres niveles de seguridad, cada uno con requisitos específicos: 

• Categoría Básica: Adecuado para sistemas con bajo impacto en la seguridad de la información. 
• Categoría Media: Para sistemas con un impacto moderado. 
• Categoría Alta: Para aquellos sistemas con un alto impacto, como los que gestionan información crítica o sensible. 

¿Cómo puedo categorizar los sistemas? 

Las categorías de los sistemas de información en el ENS y cómo determinarla está definido en el Anexo I del Real Decreto 311/2022. En él se indica que la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para: 

a) Alcanzar sus objetivos.
b) Proteger los activos a su cargo.
c) Garantizar la conformidad con el ordenamiento jurídico.

¿Cuándo un sistema no estaría comprendido dentro del ámbito de aplicación del ENS?

Solo en los casos en que no esté relacionado con el ejercicio de derechos por medios electrónicos, o con un cumplimiento de deberes por medios electrónicos o tampoco esté relacionado con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo.

En cualquier otro caso la aplicación del ENS al sistema en cuestión es obligatoria. 

¿Un sistema Back-office, utilizado para gestionar procedimientos internos, quedaría dentro del alcance del Esquema Nacional de Seguridad?

Sí, aunque se trate de un sistema de información no visible su correcto funcionamiento incide en los procedimientos del organismo, por lo que le es de aplicación plena lo dispuesto en el ENS. 

¿Es de aplicación el ENS al correo electrónico corporativo?

En la medida en que el correo electrónico corporativo se utilice -en todo o en parte- para la prestación de servicios o el desarrollo de las competencias o potestades de la entidad, resultará de aplicación lo dispuesto en el ENS. 

¿Se consideran incluidos en el ámbito del Esquema Nacional de Seguridad medios como la atención telefónica?

La atención telefónica está comprendida dentro de los canales que podrán ser utilizados por los ciudadanos para el ejercicio de sus derechos. De modo que, si un incidente sobre los canales de atención telefónica pudiera tener repercusión en la capacidad de la organización para el logro de sus servicios, tales canales estarían dentro del ámbito del Esquema Nacional de Seguridad. 

¿Si necesito implantar medidas de teletrabajo, que información debo tener en cuenta? 

Para resolver dudas se ha publicado el «Abstract – Medidas de seguridad para acceso remoto«. En él se recogen soluciones que permiten implementar, de forma ágil, acceso remoto a los recursos de una Organización minimizando el impacto en los recursos IT y optimizando el tiempo para su puesta en producción. Además, también está disponible el documento “CCN-CERT BP/18 Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia (marzo 2020)”. 

¿Cuál es el procedimiento de certificación en el ENS?

El procedimiento para obtener la conformidad con el Esquema Nacional de Seguridad está regulado en el artículo 38 del ENS, así como en la resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. Dicha ITS se encuentra en proceso de revisión para adecuarla al Real Decreto 311/2022. 

Como resumen, existen dos vías diferenciadas: 

La Certificación de Conformidad, válida para todas las categorías del sistema (BÁSICA, MEDIA y ALTA). 

La Declaración de Conformidad, únicamente válida para sistemas de categoría BÁSICA. 

¿Quién puede certificar un sistema en el ENS?

Las Entidades de Certificación (EC) de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios. 

Asimismo, los Órganos de Auditoría Técnica del ENS (OAT), podrán certificar sistemas de información respecto al ENS en su ámbito de competencias. 

¿Contempla el ENS algún mecanismo de auditoría?

El ENS alienta y propicia una gestión continua de la seguridad. Todas las actuaciones deben estar formalizadas permitiendo una auditoría de la seguridad, prevista en el artículo 34 del ENS.

Esta auditoría de la seguridad se describe en el Anexo III del ENS, indicándose que la seguridad de los sistemas de información – que debe estar formalizada por medio de un sistema de gestión de seguridad de la información- debe ser auditada, al menos cada dos años, para las categorías media y alta.

Como resultado de esta auditoría, se determinarán las posibles deficiencias existentes y deberán ponerse en marcha las correspondientes acciones correctoras por el Responsable de Seguridad. 

¿Qué pasa si una organización quiere trabajar con administraciones públicas y no cumple con el ENS?

Las responsabilidades derivadas del incumplimiento del ENS serían las que correspondieren a cada caso concreto, en virtud de lo dispuesto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. 

¿Es el ENS de aplicación a las entidades vinculadas o dependientes de las administraciones públicas?

El esquema nacional de seguridad es aplicable a las entidades de derecho público vinculadas o dependientes de la administración pública, aunque puede ser necesario un análisis en cada caso. 

¿Cómo se determinan las medidas de seguridad que hay que aplicar?

Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
a) Identificación de los tipos de activos presentes.
b) Determinación de las dimensiones de seguridad relevantes.
c) Determinación del nivel correspondiente a cada dimensión de seguridad.
d) Determinación de la categoría del sistema.
e) Selección de las medidas de seguridad apropiadas de acuerdo con las dimensiones de seguridad y sus niveles.

Para ello se seguirán los procedimientos de seguridad del Anexo II del Esquema Nacional de Seguridad  

En caso de necesitar adquirir productos para un sistema de categoría MEDIA o ALTA, ¿Qué requisitos deben cumplir? 

Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, publicado bajo la guía CCN-STIC 105, para seleccionar los productos o servicios suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y aquellos que se referencien expresamente en las medidas del ENS. 

En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19 del ENS. Una posibilidad es Common Criteria u otra certificación de producto reconocida internacionalmente. 

Una posibilidad existente, si acaba de realizarse una importante inversión tecnológica en productos de fabricantes reputados, es aplicar varias medidas complementarias de vigilancia hasta la reposición programada; por ejemplo, aumentar la monitorización de los productos actuales y estar atentos a los avisos de vulnerabilidades (CVE) del fabricante y del CERT de referencia, aplicando de inmediato los parches y actualizaciones necesarias, entre otras medidas.  

¿Se pueden entender equivalentes los niveles de LOPD con los niveles ENS?

Puesto que su determinación obedece a procedimientos distintos, cada sistema / servicio / tratamiento debe cualificarse independientemente: para su conformidad con la normativa de Protección de Datos de Carácter Personal y para con lo dispuesto en el ENS. De modo que las denominaciones Básico, Medio y Alto que utiliza el ENS no poseen la misma semántica que el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos. 

En Forlopd como agencia especializada en protección de datos, ayudamos también a empresas y organizaciones a tomar todas las medidas necesarias para certificar el esquema nacional de seguridad ENS, por lo que nuestros expertos te guiarán en el proceso. Puedes solicitar información a través de nuestro formulario de contacto.