ENS en la administración pública española: guía para entidades del sector público

El Esquema Nacional de Seguridad es de aplicación obligatoria para todas las administraciones públicas españolas —estatal, autonómica y local— y para los proveedores privados que les presten servicios digitales. Con el Real Decreto 311/2022, que actualizó el ENS original de 2010, las obligaciones se han intensificado y los plazos de adecuación se han ajustado.

El proceso de adecuación al ENS comienza con la categorización de los sistemas de información según el impacto que tendría un incidente en su disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. Esta categorización determina el conjunto de controles que la entidad debe implementar: el Anexo II del ENS establece qué controles son de aplicación para cada nivel de categoría.

La declaración de conformidad y la certificación

Las entidades categorizadas en nivel básico pueden emitir una declaración de conformidad propia. Las categorizadas en nivel medio o alto deben obtener una certificación emitida por una entidad de certificación acreditada por el CCN (Centro Criptológico Nacional). Este proceso de certificación incluye una auditoría técnica en profundidad que evalúa tanto la documentación como la implementación real de los controles.

Para los proveedores privados que contratan con la administración pública, obtener la certificación ENS o disponer de evidencias sólidas de adecuación es cada vez más un requisito de acceso al mercado público. Las licitaciones de sistemas de información de las administraciones españolas incluyen habitualmente cláusulas de cumplimiento ENS que los proveedores deben poder acreditar.

Para los proveedores privados que contratan con la administración pública, acreditar cumplimiento ENS es cada vez más un requisito de acceso al mercado. Blindara proporciona la monitorización continua y los registros de evidencia que hacen ese proceso auditable y predecible.