Sector publico y seguridad

Adecuación al ENS integrada con ISO 27001

Si tu empresa presta servicios, productos o soluciones tecnológicas a la Administración Pública española, el Esquema Nacional de Seguridad no es optativo: el RD 311/2022 (BOE-A-2022-7191) establece que los sistemas de información de las entidades del sector público y los de sus proveedores deben adecuarse, plazo que finalizó el 5 de mayo de 2024 para los sistemas ya existentes. Summum Calidad te acompaña en ese proceso desde la perspectiva del sistema de gestión de la seguridad de la información (SGSI), integrando los requisitos del ENS con los de la ISO 27001:2022 para aprovechar controles comunes, reducir la carga documental y preparar tu organización para la declaración o certificación de conformidad que corresponda a tu categoría. Dos marcos, un único proyecto, sin duplicidades innecesarias.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedoras de la Administración Pública española
ModalidadProyecto estructurado con acompañamiento continuo

El Esquema Nacional de Seguridad, aprobado mediante el Real Decreto 311/2022 de 3 de mayo, establece los principios y requisitos mínimos que deben cumplir los sistemas de información del sector público español y los de las entidades privadas que les presten servicios. Su alcance es más amplio de lo que muchas empresas creen: si participas en licitaciones públicas, si gestionas datos de ciudadanos por cuenta de una Administración o si tu software se ejecuta en infraestructuras del sector público, el ENS te aplica con toda su fuerza. La disposición transitoria única del RD 311/2022 dio 24 meses desde la entrada en vigor de la norma —el 5 de mayo de 2022— para que los sistemas ya existentes se adecuaran; ese plazo expiró el 5 de mayo de 2024. Operar hoy sin adecuación supone un incumplimiento que puede comprometer tu acceso a la contratación pública y generar responsabilidades para la entidad que contrató tus servicios.

Summum Calidad aborda la adecuación al ENS desde el enfoque propio de la gestión de la seguridad de la información, el mismo que rige la ISO 27001:2022. No son dos mundos separados: el ENS estructura sus requisitos en torno a un sistema de gestión —política de seguridad, análisis de riesgos, selección y aplicación de medidas proporcionales, revisión y mejora continua— que es esencialmente el ciclo PDCA de la ISO 27001 aplicado al contexto de la Administración Pública española. Cuando una organización ya está certificada en ISO 27001 o trabaja hacia esa certificación, la adecuación al ENS aprovecha el trabajo ya hecho: controles del Anexo A de la ISO 27001:2022 que coinciden con medidas del Anexo II del ENS, documentación que sirve para ambas normas y una sola auditoría interna que cubre los requisitos de las dos. El ahorro estimado respecto a dos proyectos paralelos es de entre el 30 % y el 40 % en coste y tiempo de equipo.

La categorización del sistema —el punto de partida obligatorio del ENS, regulado en el Anexo I del RD 311/2022— determina el nivel de exigencia: básico, medio o alto, según el impacto que un incidente de seguridad tendría sobre las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, o CIDAT). Esta categorización define las medidas del Anexo II que debes aplicar y la vía de conformidad que se te exige. Para sistemas de categoría básica, es suficiente una declaración de conformidad autoevaluada según el procedimiento de la CCN-STIC 809. Para categoría media o alta, se requiere certificación por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —eso es competencia exclusiva de los terceros acreditados—, pero sí prepara tu sistema para superarlo con garantías: diagnóstico de brechas, implantación de medidas, documentación de evidencias y revisión rigurosa antes de que llegue el auditor de conformidad.

El ENS es una pieza del cumplimiento integral de tu empresa. La capa legal —protección de datos (RGPD), DPO externo, canal de denuncias, compliance penal, planes de igualdad y prevención de blanqueo de capitales— la cubre nuestra división especializada, Summum Consultoría, para que tengas un único interlocutor de cumplimiento.

El proceso de Adecuación al ENS integrada con ISO 27001.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema

Revisamos el alcance de tus sistemas de información, los servicios que prestas a la Administración y los datos que manejas para determinar la categoría ENS que te corresponde según el Anexo I del RD 311/2022, valorando el impacto en las cinco dimensiones CIDAT para cada servicio en alcance. Al mismo tiempo, analizamos si dispones de una certificación ISO 27001 vigente y en qué medida sus controles ya cubren requisitos del ENS, para aprovechar al máximo el trabajo previo y no rehacer lo que ya funciona.

02

Análisis de brechas ENS–ISO 27001

Mapeamos los controles del Anexo II del ENS contra los controles de tu sistema de gestión ISO 27001 o contra las prácticas de seguridad existentes si aún no tienes ISO 27001 certificada. El resultado es una tabla priorizada de brechas —lo que falta, lo que está parcialmente cubierto y lo que puede reutilizarse directamente— con el esfuerzo estimado para cerrar cada gap antes de la auditoría de conformidad.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cubra simultáneamente los requisitos de la ISO 27001 y los del ENS. Elaboramos la Declaración de Aplicabilidad integrada, que justifica la selección y exclusión de controles conforme al formato esperado por los auditores de conformidad ENS, y redactamos la política de seguridad de la información adaptada al artículo 12 del RD 311/2022.

04

Implantación de controles y documentación de evidencias

Acompañamos la implantación de las medidas de seguridad pendientes del Anexo II —organizativas, operativas y de protección— y generamos la documentación de evidencias requerida: procedimientos, registros, informes de análisis de riesgos, actas de revisión por la dirección y registros de formación. Todo queda estructurado y listo para presentar ante la entidad auditora o para sustentar la declaración de conformidad autoevaluada. La parte técnica de implantación de controles (hardening, monitorización, cifrado) la coordina con nosotros Summum Sistemas.

Qué incluye

Qué incluye Adecuación al ENS integrada con ISO 27001.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada al sistema —básico, medio o alto— valorando el impacto en las cinco dimensiones de seguridad CIDAT para cada servicio en alcance, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de los controles del Anexo II del ENS con los controles de tu sistema ISO 27001:2022, identificando reutilizaciones, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap antes de la auditoría.

  • Declaración de Aplicabilidad integrada

    Documento formal que recoge la selección y exclusión justificada de los controles del ENS y del Anexo A de la ISO 27001:2022, conforme al formato esperado por los auditores de conformidad y por la CCN-STIC 809.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según los requisitos del artículo 12 del RD 311/2022 y adaptada a la cultura y estructura de tu organización: propósito, alcance, roles, compromisos de la dirección y ciclo de revisión.

  • Procedimientos, registros y paquete de evidencias

    Conjunto completo de procedimientos operativos, registros y evidencias que acreditan la implantación real de los controles: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal.

  • Revisión pre-auditoría y simulacro de conformidad

    Para categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de que llegue el auditor externo, minimizando el riesgo de no conformidades en la auditoría de certificación.

Preguntas frecuentes sobre Adecuación al ENS integrada con ISO 27001.

¿Cuándo es obligatorio el ENS para una empresa privada?

Una empresa privada debe adecuarse al ENS cuando presta servicios o suministra soluciones a entidades del sector público español sujetas al propio ENS. Esto incluye proveedores de software, servicios en la nube, mantenimiento de sistemas, procesamiento de datos por cuenta de la Administración y cualquier otro servicio en el que los sistemas de la empresa privada entren en contacto con los del sector público. El plazo general de adecuación para sistemas ya existentes finalizó el 5 de mayo de 2024, conforme a la disposición transitoria única del RD 311/2022. Los nuevos sistemas que se pongan en marcha tras esa fecha deben cumplir desde el primer día.

¿Cuál es la diferencia entre categoría básica, media y alta en el ENS?

La categoría se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance. Si el impacto máximo en cualquier dimensión es BAJO, el sistema es de categoría básica; si alguna dimensión alcanza un impacto MEDIO, es categoría media; si alguna alcanza un impacto ALTO, es categoría alta. La categoría determina el subconjunto de medidas del Anexo II que son obligatorias y la vía de conformidad requerida: básica = declaración de conformidad autoevaluada; media o alta = certificación por entidad acreditada por ENAC.

¿Puedo integrar la adecuación al ENS con mi certificación ISO 27001 existente?

Sí, y es la forma más eficiente de hacerlo. La ISO 27001:2022 y el ENS comparten una estructura de gestión muy similar y muchos controles son coincidentes o complementarios. Con ISO 27001 certificada, el gap hacia el ENS se concentra en los aspectos específicos del marco español: la categorización del Anexo I, los controles del Anexo II sin equivalente exacto en ISO 27001 y la adaptación de la documentación al formato de la CCN. Summum Calidad realiza el análisis de brechas preciso y cierra únicamente lo que falta, sin rehacer lo que ya funciona.

¿Quién emite la certificación de conformidad del ENS?

Para sistemas de categoría básica, la conformidad se acredita mediante una declaración de conformidad autoevaluada por la propia organización, de acuerdo con el procedimiento descrito en la CCN-STIC 809. Para sistemas de categoría media o alta, la certificación debe realizarla una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad no emite ningún certificado de conformidad —eso es competencia exclusiva de las entidades acreditadas—, sino que prepara tu sistema para superar ese proceso de certificación con las mayores garantías.

¿Cuánto tiempo lleva adecuarse al ENS?

Depende de la categoría del sistema, del tamaño de la organización y del punto de partida en materia de seguridad. Para sistemas de categoría básica con prácticas de seguridad ya implantadas, el proceso puede completarse en tres a seis meses. Para categoría media o alta, con sistemas complejos y sin ISO 27001 previa, el proceso suele requerir entre nueve y dieciocho meses, incluyendo el análisis de riesgos con metodología MAGERIT, la implantación de medidas técnicas y organizativas y la auditoría de conformidad por la entidad acreditada.

¿Qué es la Declaración de Aplicabilidad en el contexto del ENS?

La Declaración de Aplicabilidad (DdA) es un documento que recoge, para cada control del Anexo II del ENS, si aplica al sistema en cuestión, en qué medida está implantado y la justificación de las exclusiones. Es un requisito tanto del ENS como de la ISO 27001:2022, lo que facilita su elaboración integrada. La DdA es uno de los documentos que los auditores de conformidad revisan con mayor detenimiento, por lo que su rigor y completitud es determinante para el resultado de la auditoría.

¿Cada cuánto hay que renovar la declaración o certificación de conformidad?

El Anexo III del RD 311/2022 establece que los sistemas de información sujetos al ENS deben someterse a una auditoría de seguridad al menos cada dos años. Para sistemas de categoría básica, la renovación de la declaración de conformidad autoevaluada sigue el mismo ciclo bienal. Para categoría media o alta, la entidad acreditada realiza la auditoría de renovación en ese plazo. Cualquier cambio significativo en el alcance o en la arquitectura del sistema de información puede obligar a una auditoría extraordinaria fuera de ese ciclo regular.

¿El ENS y el RGPD son complementarios o se solapan?

Son complementarios. El ENS regula la seguridad de los sistemas de información en el ámbito de la Administración Pública y sus proveedores; el RGPD regula la protección de datos personales de ciudadanos europeos. Cuando un proveedor de la Administración maneja datos personales de ciudadanos —la situación más habitual—, ambos marcos aplican simultáneamente. Muchas medidas de seguridad del Anexo II del ENS —gestión de accesos, cifrado, copias de seguridad, gestión de incidentes— satisfacen también requisitos de seguridad del RGPD, por lo que abordarlos de forma integrada es eficiente y reduce la duplicidad documental.