Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/ENS/4 de abril de 20266 min

ENS para proveedores cloud en España: catálogo cualificado y cómo elegir

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

La guía CCN-STIC 823 establece el marco de referencia para el uso de servicios en la nube en sistemas bajo el ENS. El uso de cloud en sistemas de categoría Medio o Alta exige que el proveedor cloud esté incluido en el Catálogo de Servicios Cloud Cualificados del CCN. Los principales proveedores hiperescala (AWS, Microsoft Azure, Google Cloud, Oracle) tienen servicios ENS certificados, pero no todos sus servicios están cualificados.

Puntos clave

1Los servicios cloud usados en sistemas ENS de categoría Media y Alta deben estar en el Catálogo CCN
2El Catálogo de Servicios Cloud Cualificados del CCN es público y consultable online
3AWS, Azure y Google Cloud tienen servicios certificados ENS, pero solo algunos de ellos
4El ENS exige que el contrato con el proveedor cloud incluya cláusulas de seguridad y auditoría
5La responsabilidad del cumplimiento ENS siempre recae sobre la entidad (Administración o proveedor), no sobre el cloud
6Para sistemas de categoría Baja se puede usar cloud sin estar en el catálogo, con justificación documentada

El Catálogo de Servicios Cloud Cualificados del CCN

El CCN mantiene y actualiza el Catálogo de Servicios Cloud Cualificados, accesible en su web. El catálogo incluye proveedores que han superado el proceso de cualificación para cada nivel ENS. Para utilizar un servicio cloud en un sistema ENS de nivel Medio o Alto, debes verificar que el servicio específico (no el proveedor genéricamente) está cualificado en el catálogo.

Responsabilidad compartida en el modelo cloud

El modelo de responsabilidad compartida divide las obligaciones de seguridad entre el proveedor cloud (infraestructura física, red, hipervisor) y el cliente (configuración, datos, identidades, aplicaciones). Para el ENS, la entidad es siempre responsable de demostrar el cumplimiento de las medidas del Anexo II, incluso si utiliza servicios cloud cualificados. El proveedor solo cubre la parte de su alcance de control.

Responsabilidad del proveedor cloud: seguridad física de los centros de datos, red global, hipervisor
Responsabilidad del cliente: configuración de servicios, gestión de identidades y accesos (IAM), cifrado de datos propios, configuración de redes virtuales
Responsabilidad compartida: sistemas operativos (IaaS), aplicaciones (PaaS), control de acceso de usuarios

Próximos pasos recomendados

1Consulta el Catálogo de Servicios Cloud Cualificados del CCN antes de seleccionar un servicio cloud
2Verifica que los servicios específicos que vayas a utilizar están cualificados en el nivel ENS que necesitas
3Revisa los contratos con proveedores cloud para incluir cláusulas de seguridad, auditoría y notificación de incidentes
4Documenta la distribución de responsabilidades con el proveedor cloud en tu documentación de seguridad ENS

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

CCN — Catálogo de Servicios Cloud Cualificados, Catálogo oficial del CCN de servicios cloud cualificados para el ENS
CCN-STIC 823 — Utilización de servicios en la nube, Guía del CCN sobre el uso de servicios cloud en el marco del ENS
RD 311/2022 op.ext — BOE, Medidas del Anexo II sobre servicios externos en el ENS
ENISA — Cloud Cybersecurity Certification, Marco europeo de certificación de ciberseguridad para servicios cloud (EUCS)

También en ENS

ENS (RD 311/2022): guía práctica para entidades públicas y proveedores

9 min

ENS: cómo determinar el nivel de seguridad de tus sistemas (Bajo, Medio, Alto)

6 min

Obtener la certificación ENS: proceso, entidades acreditadas y tiempos orientativos

7 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.