Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/ENS/10 de abril de 20269 min

ENS (RD 311/2022): guía práctica para entidades públicas y proveedores

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

El Real Decreto 311/2022 actualizó el Esquema Nacional de Seguridad (ENS), el marco normativo de seguridad para los sistemas de información de las Administraciones Públicas españolas y sus proveedores. La gran novedad respecto al RD 3/2010 es la extensión explícita a los proveedores y contratistas TIC que presten servicios a la Administración.

Puntos clave

1El ENS aplica a todas las Administraciones Públicas y a sus proveedores TIC
2Los sistemas se clasifican en tres niveles: Bajo, Medio y Alto, según el impacto de un incidente
3El Anexo II define las medidas de seguridad organizadas en tres marcos: organizativo, operacional y de protección
4Los niveles Medio y Alto requieren auditoría; el Alto requiere certificación por entidad acreditada (ENAC)
5El plazo de adecuación al RD 311/2022 era el 2 de mayo de 2024
6El CCN ofrece la herramienta PILAR para la valoración y el análisis de riesgos

Tres niveles de seguridad

El nivel de seguridad de un sistema se determina valorando el impacto potencial de un incidente sobre las cinco dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. El nivel más alto de cualquier dimensión determina el nivel del sistema.

Nivel	Impacto potencial	Certificación requerida
Bajo	Daño limitado a las funciones de la organización	Declaración de conformidad firmada
Medio	Daño grave a funciones o activos	Auditoría (interna o externa)
Alto	Daño muy grave a la misión o a personas	Certificación por entidad acreditada ENAC

Estructura del Anexo II: medidas de seguridad

El Anexo II organiza las medidas en tres bloques. El marco organizativo incluye política de seguridad y normativa interna. El marco operacional cubre el análisis de riesgos, control de acceso, explotación, servicios externos y continuidad del servicio. Las medidas de protección abordan instalaciones, personal, equipos, redes, soportes, aplicaciones e información.

¿Qué deben hacer los proveedores TIC?

Si eres proveedor de servicios o soluciones TIC a la Administración, el pliego de contratación indicará el nivel ENS requerido. Debes: (1) identificar qué sistemas o servicios están en el ámbito del contrato; (2) clasificarlos según el Anexo I del RD 311/2022; (3) implantar las medidas del Anexo II para ese nivel; (4) obtener la declaración o certificación requerida.

Próximos pasos recomendados

1Identifica qué contratos con la Administración están en ámbito ENS y qué nivel requieren
2Realiza la valoración de tus sistemas con la herramienta PILAR del CCN o metodología propia
3Implanta las medidas del Anexo II correspondientes a tu nivel
4Contacta con una entidad certificadora acreditada por ENAC si necesitas certificación de nivel Alto

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Real Decreto 311/2022 — BOE, Texto oficial del Esquema Nacional de Seguridad
CCN — Portal ENS, Portal oficial del CCN con recursos ENS, PILAR y guías CCN-STIC
CCN-CERT — Series CCN-STIC, Guías técnicas del Centro Criptológico Nacional para implementar el ENS
ENAC — Entidades certificadoras ENS, Listado de entidades acreditadas por ENAC para certificar el ENS

También en ENS

ENS: cómo determinar el nivel de seguridad de tus sistemas (Bajo, Medio, Alto)

6 min

Obtener la certificación ENS: proceso, entidades acreditadas y tiempos orientativos

7 min

ENS para proveedores cloud en España: catálogo cualificado y cómo elegir

6 min

← Volver a La Gaceta