FRAMEWORK · ENS

ENS — Esquema Nacional de Seguridad.
RD 311/2022. Tres categorías cubiertas.

Obligatorio para AAPP españolas y proveedores críticos. Itamite cubre las familias mp.eq (protección de equipos), op.exp (explotación), mp.com (comunicaciones) en Categorías Básica, Media y Alta. Informe firmado para CCN-CERT y organismo certificador.

Ver precios Demo ENS

Quién está sujeto a ENS

ENS aplica a: Administración General del Estado, Comunidades Autónomas, Entidades Locales, organismos públicos y entidades de derecho público. Proveedores de la AAPP que presten servicios o gestionen información del sector público (la mayoría de TI corporativa). Sector privado regulado en sectores donde otra norma remite a ENS (ej. NIS2 puede invocar ENS para entidades españolas).

Categoría se determina por análisis de impacto en dimensiones C-I-D-A-T (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad): Básica (impacto bajo en todas), Media (impacto medio en alguna), Alta (impacto alto en alguna).

FAMILIAS DE CONTROLES

Lo que Itamite cubre del Anexo II ENS

mp.eq — Protección de equipos

mp.eq.1 Puesto de trabajo despejado. mp.eq.2 Bloqueo de puesto de trabajo (screen lock). mp.eq.3 Protección de equipos portátiles (cifrado). mp.eq.4 Otros dispositivos conectados a la red.

op.exp — Explotación

op.exp.1 Inventario de activos. op.exp.2 Configuración de seguridad. op.exp.3 Gestión de la configuración. op.exp.4 Mantenimiento (parches). op.exp.5 Gestión de cambios. op.exp.6 Protección frente a código dañino (AV). op.exp.7 Gestión de incidentes. op.exp.8-11 Registros y protección.

mp.com — Protección comunicaciones

mp.com.1 Perímetro seguro (firewall). mp.com.2 Protección confidencialidad (cifrado tránsito). mp.com.3 Protección autenticidad/integridad. mp.com.4 Segregación de redes.

op.acc — Control de acceso

op.acc.1 Identificación. op.acc.2 Requisitos de acceso. op.acc.3 Segregación de funciones. op.acc.5 Mecanismo de autenticación. op.acc.6 Acceso local. op.acc.7 Acceso remoto.

op.mon — Monitorización del sistema

op.mon.1 Detección de intrusión (con EDR integrado). op.mon.2 Sistema de métricas (postura medida). op.mon.3 Vigilancia (alertas continuas).

mp.s — Protección de servicios

mp.s.1 Protección frente a denegación de servicio. mp.s.2 Protección de servidores. mp.s.8 Protección de la información publicada.

PROCESO DE CERTIFICACIÓN

Cómo se obtiene la conformidad ENS

01

Categorización del sistema

Análisis de impacto C-I-D-A-T → determinas categoría (Básica/Media/Alta). Itamite te ayuda con datos del inventario, pero la categorización formal la hace tu CISO o consultor.

02

Análisis de riesgos

Metodología MAGERIT v3 (estándar AAPP española) o ISO 27005. Itamite aporta inventario completo y datos de postura como input. La metodología la lleva tu equipo o consultor.

03

Implantación de medidas

Aplicas controles del Anexo II según tu categoría. Itamite cubre las medidas técnicas de mp.eq, op.exp, mp.com automáticamente. Las medidas organizativas (políticas, formación, gestión proveedores) son trabajo manual.

04

Auditoría de conformidad

Para Categoría Media o Alta: auditoría obligatoria por entidad acreditada (renovación bianual). El informe Itamite es la evidencia técnica que entregas al auditor para los controles cubiertos. Para Básica: declaración de conformidad firmada por el responsable.

05

Distintivo y registro

Tras conformidad: obtienes el distintivo ENS correspondiente y se registra ante CCN-CERT. Renovación cada 2 años con auditoría completa. Mantenimiento continuo con revisiones anuales.

PREGUNTAS FRECUENTES

Dudas habituales sobre ENS

¿Mi empresa privada está obligada a ENS?
Si prestas servicios a la AAPP que impliquen acceso a sus sistemas o información, sí. La AAPP debe exigírtelo en el contrato. Si tu sector está en NIS2 con alguna referencia a ENS, también. Para sector privado puro, ENS es voluntario pero otorga ventaja competitiva en licitaciones públicas.
¿Qué categoría debo certificar?
Lo determina el análisis de impacto de tu sistema. Para AAPP locales típicas con datos no clasificados: Básica. Para AAPP autonómicas o estatales con datos personales sensibles: Media. Para infraestructuras críticas, defensa, sanidad regional: Alta. Tu DPO o consultor te orienta.
¿Itrion Software está certificada en ENS?
Sí, Categoría Media certificada (hosting europeo IONOS también está en ENS Alto). Trabajando en Categoría Alta interna. Documentación de conformidad disponible bajo solicitud para clientes AAPP.
¿Cuánto tarda obtener conformidad ENS Media con Itamite?
Tiempo total típico: 3-6 meses. La parte técnica (medidas Itamite) está lista en 4-6 semanas tras desplegar el agente. La parte organizativa (políticas, análisis de riesgos MAGERIT, plan de adecuación) y la auditoría por entidad acreditada llevan el resto del tiempo.
¿Qué entidades acreditan ENS?
ENAC mantiene el listado oficial: AENOR, Bureau Veritas, DNV, SGS, TÜV, LEET Security, Audisec, BDO, entre otras. Pide presupuesto a varias para comparar. Coste típico auditoría inicial: 8.000-15.000 € + 4.000-7.000 € renovación bianual.

¿AAPP o proveedor crítico que necesita ENS?

Demo orientada a tu categoría con un caso real de AAPP. Te enseñamos el plan de adecuación.

Ver precios Solicitar demo ENS