Si tu PYME presta servicios a la Administracion Publica (o quiere hacerlo), hay una normativa que debes conocer: el Esquema Nacional de Seguridad (ENS). Regulado por el Real Decreto 311/2022, el ENS establece los principios basicos y requisitos minimos de seguridad que deben cumplir los sistemas de informacion del sector publico y, por extension, las empresas que trabajan con ellos.
Muchas PYMEs desconocen que el ENS les aplica. Si tu cliente es un ayuntamiento, una comunidad autonoma, un ministerio o cualquier organismo publico, y tratas informacion del sector publico en tus sistemas, probablemente debes cumplir con el ENS.
A quien aplica el ENS
El ENS aplica directamente a:
- Todas las Administraciones Publicas (estatal, autonomica, local).
- Las entidades de derecho publico vinculadas o dependientes de las Administraciones.
- Las empresas privadas que prestan servicios o soluciones tecnologicas a las Administraciones Publicas cuando traten informacion del sector publico.
Tu PYME esta afectada si…
- Desarrollas o mantienes software para un organismo publico.
- Alojas datos de una Administracion Publica en tus servidores o cloud.
- Prestas servicios IT (soporte, mantenimiento, consultoria) a entidades publicas.
- Gestionas sistemas de informacion que tratan datos de ciudadanos en nombre de una Administracion.
- Tu pliego de condiciones o contrato menciona el ENS como requisito.
Si solo vendes productos fisicos a una Administracion sin tratar su informacion, el ENS normalmente no te aplica directamente.
Las tres categorias del ENS
El ENS clasifica los sistemas de informacion en tres categorias segun el impacto que tendria un incidente de seguridad:
| Categoria | Impacto de un incidente | Ejemplo |
|---|---|---|
| Basica | Dano limitado, reversible | Web informativa de un ayuntamiento pequeno |
| Media | Dano grave para la organizacion o los ciudadanos | Sistema de gestion de padron municipal |
| Alta | Dano muy grave, potencialmente irreversible | Sistema sanitario, infraestructuras criticas |
La categoria se determina evaluando el impacto en cinco dimensiones de seguridad:
- Disponibilidad: Que pasa si el sistema no esta disponible?
- Autenticidad: Que pasa si no se puede verificar el origen de la informacion?
- Integridad: Que pasa si los datos se modifican sin autorizacion?
- Confidencialidad: Que pasa si los datos se exponen sin autorizacion?
- Trazabilidad: Que pasa si no se puede determinar quien hizo que?
Si cualquiera de estas dimensiones tiene un impacto ALTO, el sistema se clasifica como categoria Alta.
Requisitos por categoria
Categoria Basica (la mas habitual para PYMEs)
La mayoria de PYMEs que trabajan con Administraciones Publicas locales se encuentran en categoria Basica. Los requisitos principales son:
Organizativos:
- Politica de seguridad documentada.
- Identificacion de responsabilidades de seguridad.
- Normativa de seguridad interna basica.
Operacionales:
- Inventario de activos (sistemas, datos, servicios).
- Control de acceso basado en permisos.
- Gestion de cambios documentada.
- Proteccion contra codigo malicioso (antivirus).
- Copias de seguridad periodicas.
- Gestion de incidentes basica.
Tecnicos:
- Autenticacion de usuarios (contrasenas robustas).
- Comunicaciones cifradas (HTTPS, VPN).
- Proteccion de los registros de actividad.
Categoria Media
Ademas de los requisitos de categoria Basica:
- MFA obligatorio para accesos desde fuera de la red.
- Analisis de riesgos formal y documentado.
- Plan de continuidad de negocio.
- Segregacion de funciones (quien administra no audita).
- Registros de auditoria detallados y revisados.
- Formacion periodica en seguridad para todo el personal.
- Gestion de incidentes con procedimientos definidos y pruebas periodicas.
Categoria Alta
Ademas de todos los anteriores:
- Auditoria externa bienal por un auditor acreditado.
- Sistemas redundantes y alta disponibilidad.
- Cifrado avanzado de todos los datos sensibles.
- Vigilancia continua (SOC o SIEM).
- Pruebas de penetracion periodicas.
Como obtener la certificacion ENS
Paso 1: Determina tu categoria
Reunete con tu cliente del sector publico para determinar la categoria del sistema en cuestion. Si no lo sabes, asume categoria Basica como punto de partida y ajusta si es necesario.
Paso 2: Analisis GAP (donde estas vs donde debes estar)
Compara tus medidas de seguridad actuales con los requisitos de tu categoria. Identifica las carencias.
| Area | Requisito ENS | Estado actual | Accion necesaria |
|---|---|---|---|
| Politica de seguridad | Documento aprobado | No existe | Redactar y aprobar |
| MFA | Obligatorio (cat. Media+) | Solo correo | Extender a todos los servicios |
| Backup | 3-2-1, probado | Backup diario, no probado | Probar restauracion |
| Antivirus | Todos los equipos | 80% de equipos | Completar instalacion |
Paso 3: Implementa las medidas
Corrige las carencias identificadas. Prioriza por riesgo e impacto.
Paso 4: Documenta
El ENS requiere documentacion especifica:
- Politica de Seguridad: Documento de alto nivel que establece el compromiso de la organizacion.
- Normativa de Seguridad: Reglas concretas de uso aceptable, gestion de contrasenas, etc.
- Procedimientos operativos: Como se hacen los backups, como se gestionan los incidentes, como se dan de alta/baja usuarios.
- Declaracion de Aplicabilidad (SOA): Lista de todas las medidas del ENS y si se aplican o no (con justificacion).
- Analisis de Riesgos (cat. Media y Alta): Identificacion y valoracion de riesgos, con las medidas de mitigacion.
Paso 5: Auditoria y certificacion
- Categoria Basica: Autodeclaracion de cumplimiento. No requiere auditoria externa.
- Categoria Media: Auditoria cada 2 anos. Puede ser interna o externa.
- Categoria Alta: Auditoria externa cada 2 anos por un auditor acreditado por el ENS.
La certificacion se obtiene a traves de una entidad de certificacion acreditada. El coste para una PYME oscila entre:
| Categoria | Coste certificacion | Frecuencia |
|---|---|---|
| Basica | 0 EUR (autodeclaracion) | Cada 2 anos |
| Media | 3.000-8.000 EUR | Cada 2 anos |
| Alta | 8.000-20.000 EUR | Cada 2 anos |
Recursos y herramientas para el cumplimiento
Herramientas del CCN (Centro Criptologico Nacional)
El CCN, organo responsable del ENS, ofrece herramientas gratuitas:
- PILAR: Herramienta oficial de analisis de riesgos. Gratuita para entidades publicas y proveedores.
- AMPARO: Implantacion del ENS en entidades locales.
- INES: Informe Nacional del Estado de Seguridad. Autoevaluacion en linea.
- LUCIA: Gestion de incidentes de seguridad.
- Guias CCN-STIC: Cientos de guias tecnicas gratuitas sobre todos los aspectos de seguridad.
Consultoras especializadas
Si necesitas ayuda profesional, busca consultoras con experiencia demostrable en ENS. Verifica que tengan certificados como CISA, CISSP o similar.
Ventaja competitiva
Cumplir con el ENS no es solo una obligacion: es una ventaja competitiva. Cada vez mas licitaciones publicas exigen la certificacion ENS como requisito de solvencia tecnica. Una PYME certificada puede acceder a contratos publicos que las competidoras no certificadas no pueden.
Ademas, el nivel de seguridad necesario para cumplir el ENS beneficia a tu empresa en general, no solo para los contratos publicos.
Checklist de cumplimiento ENS (Categoria Basica)
- Politica de seguridad redactada y aprobada por la direccion
- Responsable de seguridad designado
- Inventario de activos (sistemas, datos, servicios) actualizado
- Control de acceso por roles con permisos documentados
- Contrasenas robustas (minimo 12 caracteres)
- Antivirus en todos los equipos
- Actualizaciones automaticas activadas
- Copias de seguridad periodicas (minimo diarias)
- Comunicaciones cifradas (HTTPS, VPN)
- Registros de actividad activados
- Normativa de uso aceptable documentada y firmada
- Procedimiento de gestion de incidentes documentado
- Declaracion de Aplicabilidad completada
- Autodeclaracion de cumplimiento firmada
Conclusion
El ENS no tiene por que ser un obstaculo para las PYMEs que quieren trabajar con la Administracion Publica. Para la mayoria de empresas pequenas, la categoria Basica requiere medidas de seguridad que ya deberian tener implementadas: contrasenas robustas, antivirus, copias de seguridad, comunicaciones cifradas y documentacion basica.
El paso mas importante es empezar: determina tu categoria, haz el analisis GAP e implementa las medidas que te falten. Si ya sigues las buenas practicas de ciberseguridad que recomendamos en CiberPIME, probablemente estas a un 70-80% del camino.
Este articulo es de caracter educativo y no constituye un servicio profesional de ciberseguridad ni asesoramiento legal. Consulte a un especialista certificado para soluciones especificas a su empresa.
