Niveles ENS: guía para categorizar tu sistema correctamente

·

Cuando una empresa proveedora de la Administración Pública decide iniciar su adecuación al Esquema Nacional de Seguridad, la primera pregunta que debe responder es también la más importante: ¿en qué categoría entra mi sistema? La categoría —básica, media o alta— no es un trámite burocrático; determina el volumen de medidas que deben implantarse, el grado de exigencia documental y, sobre todo, el tipo de conformidad que se exige antes de que una licitación pública llegue a buen puerto.

¿Por qué la categorización del sistema es el punto de partida obligatorio?

El Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad (BOE-A-2022-7191), organiza su lógica de cumplimiento en torno a un principio fundamental: la proporcionalidad. No todos los sistemas de información gestionan el mismo tipo de datos ni prestan los mismos servicios; por tanto, no todos necesitan las mismas medidas. El Anexo I del RD 311/2022 establece el procedimiento para determinar la categoría del sistema, y ese resultado condiciona directamente qué subconjunto de las 75 medidas del Anexo II es exigible y con qué nivel de refuerzo.

Esta categorización debe realizarse antes de seleccionar ningún control de seguridad. Comenzar implantando medidas sin haber categorizado el sistema es un error frecuente que genera sobrecoste —se aplican controles de nivel superior que no son exigibles— o, peor aún, infracoste cuando se omiten controles que sí son obligatorios para la categoría real del sistema.

¿Cuáles son las cinco dimensiones de seguridad CIDAT y cómo se valoran?

La categoría de un sistema se determina evaluando el impacto que un incidente de seguridad tendría sobre cada una de las cinco dimensiones de seguridad que el ENS agrupa bajo el acrónimo CIDAT:

Para cada servicio en alcance, se valora el impacto en cada dimensión utilizando la escala de tres niveles del Anexo I: BAJO, MEDIO o ALTO. La valoración se basa en las consecuencias reales que un incidente tendría sobre la organización, los ciudadanos, el servicio público o, en casos extremos, la seguridad nacional. La guía CCN-STIC 806 proporciona criterios concretos de valoración que ayudan a objetivar estas decisiones.

¿Cómo se determina la categoría final del sistema: básica, media o alta?

La categoría del sistema resulta del impacto máximo asignado en cualquiera de las cinco dimensiones CIDAT para cualquiera de los servicios en alcance. La regla del Anexo I es precisa:

Nótese que basta con que una sola dimensión de un solo servicio en alcance alcance el nivel ALTO para que todo el sistema quede catalogado en categoría alta, lo que activa el conjunto más exigente de medidas del Anexo II. Por ello, definir correctamente el alcance del sistema —y no ampliarlo innecesariamente— es una decisión estratégica con consecuencias directas en el coste y el tiempo del proyecto de adecuación.

¿Qué diferencia práctica hay entre los tres niveles en cuanto a medidas y conformidad?

Las diferencias entre categorías no son solo cuantitativas. Las medidas de nivel medio y alto exigen un nivel de refuerzo mayor: controles más granulares, mayor trazabilidad y procedimientos más rigurosos. El Anexo II indica para cada medida si es aplicable en categoría básica, media o alta, y con qué nivel de refuerzo (R1, R2 o R3 según la terminología de las guías CCN-STIC serie 800).

La diferencia más determinante desde el punto de vista operativo es la vía de conformidad exigida:

Es importante subrayar que el acompañamiento especializado —como el que ofrece Summum Calidad en su servicio de adecuación al ENS— no sustituye ni emite el certificado de conformidad, que es competencia exclusiva de las entidades acreditadas por ENAC. El acompañamiento prepara el sistema para superar ese proceso con las mayores garantías.

¿Con qué frecuencia hay que renovar la categorización y la conformidad?

El Anexo III del RD 311/2022 establece que los sistemas de información sujetos al ENS deben someterse a una auditoría de seguridad al menos cada dos años. Para sistemas de categoría básica, la renovación de la declaración de conformidad autoevaluada sigue el mismo ciclo bienal. Para categoría media o alta, la entidad acreditada por ENAC realiza la auditoría de renovación en ese plazo.

Cualquier cambio significativo en el alcance del sistema, en su arquitectura tecnológica o en los servicios prestados puede obligar a una nueva categorización y, en consecuencia, a una auditoría extraordinaria fuera del ciclo regular. La categorización no es un ejercicio que se realiza una vez y se archiva: debe actualizarse siempre que el sistema o los servicios en alcance cambien de forma relevante.

¿Qué errores frecuentes se cometen al categorizar un sistema ENS?

La experiencia en proyectos de adecuación permite identificar patrones de error recurrentes en la fase de categorización:

¿Cómo encaja la categorización del ENS con el sistema de gestión de la seguridad de la información?

Si tu organización trabaja con una norma ISO 27001:2022 certificada o en proceso de certificación, el análisis de impacto de la categorización ENS se alinea directamente con la evaluación de riesgos que ISO 27001 exige. Las cinco dimensiones CIDAT del ENS tienen su equivalente conceptual en los criterios de valoración de activos de la ISO 27001, y el resultado del análisis puede aprovecharse para ambos marcos sin duplicar el trabajo.

Este solapamiento es precisamente la razón por la que la adecuación integrada ENS–ISO 27001 es más eficiente que dos proyectos separados. Como se analiza en detalle en el artículo sobre cuánto ahorra implantar ENS e ISO 27001 juntos, el ahorro estimado respecto a dos proyectos paralelos está entre el 30 % y el 40 % en coste y tiempo de equipo.

Si todavía no tienes claro si el ENS te aplica o bajo qué circunstancias te obliga, puedes consultar primero el artículo sobre cuándo el ENS es obligatorio para empresas privadas, que aclara el ámbito de aplicación del artículo 2 del RD 311/2022 y los supuestos más frecuentes de obligación para proveedores.

¿Qué hacer después de determinar la categoría del sistema?

Una vez determinada la categoría, el siguiente paso es elaborar el plan de adecuación conforme a la guía CCN-STIC 806, que selecciona las medidas del Anexo II aplicables, las prioriza por impacto en el riesgo residual y establece un calendario de implantación con responsables asignados. Ese plan, junto con el análisis de riesgos con metodología MAGERIT y la Declaración de Aplicabilidad, es la hoja de ruta que guiará todo el proceso de adecuación hasta la declaración o certificación de conformidad.

En Summum Calidad acompañamos organizaciones proveedoras de la Administración Pública en todo ese recorrido, desde la categorización inicial hasta la preparación rigurosa para la auditoría de conformidad. Nuestro servicio de acompañamiento ENS abarca el diagnóstico inicial, el análisis de brechas, la elaboración de documentación y la revisión pre-auditoría para que el proceso de declaración o certificación se supere con las mayores garantías posibles.