Cumplimiento normativo
Te llevamos de la categorización al certificado: análisis de riesgos, declaración de aplicabilidad, plan de adecuación, implantación de las medidas del Anexo II, auditoría y mantenimiento. Para administraciones que deben cumplir el esquema y para empresas que quieren venderle al sector público.
Auditores del ENS en el equipo y sistema propio certificado en categoría ALTA.
Obligados
El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, obliga a todo el sector público español (estatal, autonómico y local) y alcanza también a las empresas privadas que prestan servicios o proveen soluciones tecnológicas a las administraciones: los pliegos de licitación piden la certificación ENS de forma habitual, y sin ella muchas puertas del sector público no se abren.
Si vendes a la Administración, o quieres empezar a hacerlo, el ENS no es opcional en la práctica. Y si eres una entidad pública, es directamente tu marco legal de seguridad.
Hay además un tercer grupo en aumento: las entidades esenciales e importantes de NIS2. El anteproyecto que traspone la directiva apunta al ENS como vía para demostrar el cumplimiento, así que si NIS2 te alcanza, el ENS es también tu camino.
El marco
El sistema se categoriza según el impacto que tendría un incidente sobre cinco dimensiones; la categoría la marca la dimensión con el nivel más alto, y de ella dependen las medidas del Anexo II y la forma de acreditar la conformidad.
Ninguna dimensión alcanza el nivel medio.
Declaración de conformidad
Alguna dimensión alcanza el nivel medio y ninguna el alto.
Certificación por entidad acreditada
Alguna dimensión alcanza el nivel alto.
Certificación por entidad acreditada
Beneficios
Sin certificado ENS, muchas licitaciones ni se pueden firmar. Con él, compites en el sector público.
Ni medidas de más que encarecen, ni de menos que no pasan la auditoría: lo que tu categoría exige.
La que pide el esquema y te ayuda a operar, alineada con las guías CCN-STIC. Nada de relleno.
Mantenimiento, evidencias al día y preparación de cada auditoría ordinaria, cubiertos.
Servicio
Categorización del sistema: información, servicios, dimensiones y categoría, con su aprobación formal.
Roles del esquema: responsable de la información, del servicio, de la seguridad y del sistema.
Análisis de riesgos con una metodología reconocida, ajustado al alcance de tu sistema y a su categoría.
Declaración de aplicabilidad: medidas del Anexo II según categoría, refuerzos y exclusiones justificadas.
Plan de adecuación priorizado y aprobado por el órgano competente: tu primera evidencia.
Implantación acompañada: política, normativas, procedimientos y medidas, todo alineado con las guías CCN-STIC.
Auditoría de certificación: preparación, acompañamiento y cierre de hallazgos.
Mantenimiento: revisión de evidencias, soporte continuado y el sistema listo para el siguiente ciclo.
Y algo que se suele contar poco: la adecuación no termina en un sello. Deja en marcha un sistema de gestión de la seguridad vivo, certificable ante terceros, que sigue mejorando tu seguridad mucho después de la auditoría.
Método
Alcance, dimensiones, categoría propuesta y mapa de riesgos, de dos a cuatro semanas.
Declaración de aplicabilidad y hoja de ruta aprobada por el órgano competente.
Medidas, documentación, formación y evidencias; de cuatro a doce meses según categoría y punto de partida.
Acompañamiento con la entidad acreditada y cierre de no conformidades. El RD fija después auditorías al menos cada dos años en MEDIA y ALTA, y te acompañamos en cada una.
Por partes
No todo el mundo necesita el camino entero. Estos dos tramos se contratan por separado, y los dos terminan en un informe que se entiende.
La foto de tu situación real frente al RD 311/2022: qué cumples ya, qué te falta para la categoría que necesitas y cuánto esfuerzo supone cerrarlo. Pensado para decidir con datos antes de comprometer presupuesto, o para llevar a dirección un plan defendible.
Te llevas: el grado de cumplimiento, medida a medida del Anexo II, y una hoja de ruta priorizada, en pocas semanas.
Una revisión con metodología de auditor antes de la auditoría que cuenta: la de certificación inicial o la ordinaria bienal. Para llegar sin sorpresas, con los hallazgos encontrados y corregidos cuando todavía es barato. En categoría BÁSICA, sirve de apoyo a la autoevaluación.
Te llevas: informe de hallazgos con evidencia y plan de acciones. Prepara la auditoría de la entidad acreditada, no la sustituye.
Sinergias
Con ISO 27001, la correlación es muy alta y está documentada por el propio CCN en su guía de correspondencias: riesgos, política, roles y buena parte de los controles se aprovechan en ambos sentidos. Si ya tienes el SGSI, el ENS llega con la mayor parte hecha; si empiezas por el ENS, la ISO 27001 queda a un paso. Y para demostrar que las medidas técnicas del Anexo II protegen de verdad, nuestro pentest de infraestructura las pone a prueba.
Y hacia NIS2, el ENS se perfila como la vía española de cumplimiento: el anteproyecto de ley que traspone la directiva se apoya en perfiles de cumplimiento basados en el esquema, exige a las entidades esenciales una certificación de conformidad acreditada (en la práctica, el ENS en categoría MEDIA o ALTA) y permite a las importantes elegir entre esa certificación o una autoevaluación. Certificarse hoy es adelantar el cumplimiento de mañana.
Dudas
Todo el sector público español y las empresas privadas que prestan servicios o proveen soluciones tecnológicas a las administraciones. Para el proveedor, la obligación llega por el contrato y por los pliegos: la certificación se pide como requisito para licitar o para mantener el servicio.
Depende del impacto que tendría un incidente sobre la información y los servicios que tratas, valorado en cinco dimensiones. La categoría la determina formalmente tu organización siguiendo el Anexo I; nuestro trabajo es ayudarte a valorarla bien y a justificarla, porque categorizar de más encarece la adecuación y categorizar de menos no pasa una auditoría.
En categoría BÁSICA basta una autoevaluación con su Declaración de conformidad. En MEDIA y ALTA la conformidad exige una auditoría formal según el Anexo III y la certificación de una entidad acreditada.
Depende de la categoría y del punto de partida. Como referencia, la implantación suele moverse entre cuatro y doce meses; la categorización inicial te da una estimación realista en pocas semanas.
El RD 311/2022 establece auditorías ordinarias al menos cada dos años para las categorías MEDIA y ALTA. Entre auditorías, el sistema debe mantenerse vivo: por eso ofrecemos el mantenimiento como parte del servicio.
Sirve, y mucho: la correspondencia entre ambos marcos es muy alta y la aprovechamos con el mapeo oficial del CCN. Pero no equivale: el ENS exige categorización formal, medidas concretas del Anexo II y conformidad acreditada en España. La buena noticia es que el camino restante es corto.
Sí. La adecuación completa es el camino entero, pero cada tramo se contrata por separado: un análisis de brechas frente al ENS si quieres saber dónde estás antes de decidir, o una auditoría interna de revisión si ya estás certificado y quieres llegar a la auditoría ordinaria sin sorpresas. Esa revisión no sustituye a la auditoría de la entidad acreditada: la prepara.
Todo apunta a que será la vía española: el anteproyecto de ley que traspone NIS2 se apoya en perfiles de cumplimiento basados en el ENS, pide a las entidades esenciales una certificación de conformidad acreditada y deja a las importantes elegir entre certificarse o autoevaluarse. El texto aún está en tramitación, pero la dirección es clara: quien llega a NIS2 con el ENS certificado llega con el trabajo hecho.
¿Hablamos?
La categorización resuelve mucho en poco tiempo: con ella sabrás tu categoría, qué medidas te aplican y el camino real hasta el certificado.
Ponte en contacto