Auditoría del Esquema Nacional de Seguridad (ENS): qué exige y cómo prepararse

Por el equipo de QuantumSec

El Esquema Nacional de Seguridad (ENS) regula la seguridad de los sistemas de información de las administraciones públicas españolas y de las empresas que les prestan servicios. A diferencia de NIS2 o DORA, el ENS lleva vigente desde 2010 y su versión actual (Real Decreto 311/2022) exige un proceso de auditoría periódico y formal, no solo una declaración de intenciones. Esta guía explica qué implica esa auditoría y cómo preparar tu organización antes de pasar por ella.

Qué es el ENS y a quién obliga

El ENS es de obligado cumplimiento para las administraciones públicas españolas y para cualquier empresa privada que les preste servicios cuando esos servicios impliquen el tratamiento de información o el uso de sistemas de la administración. Es habitual encontrarlo como requisito en licitaciones públicas: si tu empresa quiere optar a contratos con la administración, necesitas poder acreditar tu adecuación al ENS.

Las tres categorías: básica, media y alta

El ENS clasifica cada sistema según el impacto que tendría un incidente sobre cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Esa categorización (básica, media o alta) determina qué medidas de seguridad del Anexo II son exigibles y, de forma crucial, qué tipo de verificación aplica: autoevaluación para categoría básica, auditoría formal para media y alta.

Qué verifica la auditoría de certificación

Para sistemas de categoría media o alta, la conformidad se acredita mediante una auditoría formal —no una autoevaluación— que revisa el cumplimiento de las medidas de seguridad del marco organizativo (políticas, normativa, procedimientos), el marco operacional (planificación, control de acceso, explotación) y las medidas de protección (protección de instalaciones, del personal, de equipos, de comunicaciones y de la información). El resultado se materializa en una Certificación de Conformidad con el ENS, emitida por una entidad de certificación acreditada por ENAC.

Auditoría ENS vs pentesting: qué aporta cada uno

La auditoría de certificación ENS verifica que existen las medidas organizativas y técnicas exigidas por el Anexo II —es una auditoría de cumplimiento frente a un marco normativo—. Un pentesting confirma si esas medidas resisten un ataque real, con independencia de si están formalmente documentadas. Muchas organizaciones combinan ambos: un pentesting antes de la auditoría formal ayuda a detectar y corregir debilidades técnicas que, de otro modo, podrían aflorar durante la auditoría de certificación.

Periodicidad: por qué no es un trámite de una sola vez

La conformidad con el ENS no se obtiene una vez y se olvida. Para categoría básica, la autoevaluación debe repetirse al menos cada dos años. Para categorías media y alta, la Certificación de Conformidad debe renovarse mediante una nueva auditoría formal con la misma periodicidad bienal. Tratar el ENS como un proyecto puntual en vez de un proceso continuo es el error más habitual de las organizaciones que lo abordan por primera vez.

Cómo prepararse antes de la auditoría formal

El punto de partida es un análisis de brechas (gap analysis) que compare la situación real de tu organización con las medidas exigidas por tu categoría. A partir de ahí: documentar las políticas y procedimientos que falten, implementar las medidas técnicas pendientes, y —especialmente si nunca se ha hecho— realizar un pentesting o análisis de vulnerabilidades previo para llegar a la auditoría formal con la confianza de que las medidas documentadas también funcionan en la práctica.

FAQ

¿Una empresa privada puede necesitar cumplir el ENS aunque no sea administración pública?

Sí. Cualquier empresa privada que preste servicios a una administración pública española que impliquen tratamiento de su información o uso de sus sistemas puede estar obligada a acreditar su adecuación al ENS, habitualmente como requisito de la licitación o el contrato.

¿Con qué frecuencia hay que repetir la auditoría o autoevaluación del ENS?

Al menos cada dos años, tanto para la autoevaluación de categoría básica como para la auditoría de certificación formal de categorías media y alta.

¿Necesito hacer un pentesting para certificarme en el ENS?

No es un requisito documental obligatorio en sí mismo, pero es muy recomendable como preparación: ayuda a confirmar que las medidas técnicas que vas a declarar en la auditoría de certificación realmente funcionan frente a un ataque real, no solo sobre el papel.