FRAMEWORK · ENS

ENS — Esquema Nacional de Segurança.
RD 311/2022. Três categorias cobertas.

Obrigatório para a AP espanhola e fornecedores críticos. Itamite cobre as famílias mp.eq (proteção de equipamentos), op.exp (exploração), mp.com (comunicações) em Categorias Básica, Média e Alta. Relatório assinado para CCN-CERT e organismo certificador.

Ver preços Demo ENS

Quem está sujeito a ENS

ENS aplica-se a: Administração Geral do Estado espanhol, Comunidades Autónomas, Entidades Locais, organismos públicos e entidades de direito público. Fornecedores da AP que prestem serviços ou geram informação do setor público (a maioria do TI corporativo). Setor privado regulado em setores onde outra norma remete para ENS (ex. NIS2 pode invocar ENS para entidades espanholas).

A categoria é determinada por análise de impacto nas dimensões C-I-D-A-T (confidencialidade, integridade, disponibilidade, autenticidade, rastreabilidade): Básica (impacto baixo em todas), Média (impacto médio em alguma), Alta (impacto alto em alguma).

FAMÍLIAS DE CONTROLOS

O que Itamite cobre do Anexo II ENS

mp.eq — Proteção de equipamentos

mp.eq.1 Posto de trabalho desimpedido. mp.eq.2 Bloqueio do posto de trabalho (bloqueio de ecrã). mp.eq.3 Proteção de portáteis (cifragem). mp.eq.4 Outros dispositivos ligados à rede.

op.exp — Exploração

op.exp.1 Inventário de ativos. op.exp.2 Configuração de segurança. op.exp.3 Gestão da configuração. op.exp.4 Manutenção (patches). op.exp.5 Gestão de alterações. op.exp.6 Proteção contra código malicioso (AV). op.exp.7 Gestão de incidentes. op.exp.8-11 Registos e proteção.

mp.com — Proteção de comunicações

mp.com.1 Perímetro seguro (firewall). mp.com.2 Proteção de confidencialidade (cifragem em trânsito). mp.com.3 Proteção autenticidade/integridade. mp.com.4 Segregação de redes.

op.acc — Controlo de acesso

op.acc.1 Identificação. op.acc.2 Requisitos de acesso. op.acc.3 Segregação de funções. op.acc.5 Mecanismo de autenticação. op.acc.6 Acesso local. op.acc.7 Acesso remoto.

op.mon — Monitorização do sistema

op.mon.1 Deteção de intrusão (com EDR integrado). op.mon.2 Sistema de métricas (postura medida). op.mon.3 Vigilância (alertas contínuos).

mp.s — Proteção de serviços

mp.s.1 Proteção contra negação de serviço. mp.s.2 Proteção de servidores. mp.s.8 Proteção da informação publicada.

PROCESSO DE CERTIFICAÇÃO

Como obter a conformidade ENS

01

Categorização do sistema

Análise de impacto C-I-D-A-T → determinas a categoria (Básica/Média/Alta). Itamite ajuda-te com dados do inventário, mas a categorização formal é feita pelo teu CISO ou consultor.

02

Análise de riscos

Metodologia MAGERIT v3 (norma da AP espanhola) ou ISO 27005. Itamite fornece inventário completo e dados de postura como entrada. A metodologia é conduzida pela tua equipa ou consultor.

03

Implementação de medidas

Aplicas controlos do Anexo II conforme a tua categoria. Itamite cobre as medidas técnicas de mp.eq, op.exp, mp.com automaticamente. As medidas organizacionais (políticas, formação, gestão de fornecedores) são trabalho manual.

04

Auditoria de conformidade

Para Categoria Média ou Alta: auditoria obrigatória por entidade acreditada (renovação bianual). O relatório Itamite é a evidência técnica que entregas ao auditor para os controlos cobertos. Para Básica: declaração de conformidade assinada pelo responsável.

05

Distintivo e registo

Após conformidade: obténs o distintivo ENS correspondente e é registado junto do CCN-CERT. Renovação de 2 em 2 anos com auditoria completa. Manutenção contínua com revisões anuais.

PERGUNTAS FREQUENTES

Dúvidas habituais sobre ENS

A minha empresa privada está obrigada ao ENS?
Se prestas serviços à AP espanhola que impliquem acesso aos seus sistemas ou informação, sim. A AP deve exigi-lo no contrato. Se o teu setor está em NIS2 com alguma referência a ENS, também. Para o setor privado puro, ENS é voluntário mas concede vantagem competitiva em concursos públicos.
Que categoria devo certificar?
Determinado pela análise de impacto do teu sistema. Para AP locais típicas com dados não classificados: Básica. Para AP autonómicas ou estatais com dados pessoais sensíveis: Média. Para infraestruturas críticas, defesa, saúde regional: Alta. O teu DPO ou consultor orienta-te.
Itrion Software está certificada em ENS?
Sim, Categoria Média certificada (alojamento europeu IONOS também está em ENS Alta). A trabalhar na Categoria Alta interna. Documentação de conformidade disponível mediante pedido para clientes da AP.
Quanto tempo demora obter conformidade ENS Média com Itamite?
Tempo total típico: 3-6 meses. A parte técnica (medidas Itamite) está pronta em 4-6 semanas após implementar o agente. A parte organizacional (políticas, análise de riscos MAGERIT, plano de adequação) e a auditoria por entidade acreditada levam o resto do tempo.
Que entidades acreditam ENS?
ENAC mantém a lista oficial: AENOR, Bureau Veritas, DNV, SGS, TÜV, LEET Security, Audisec, BDO, entre outras. Pede orçamento a várias para comparar. Custo típico auditoria inicial: 8.000-15.000 € + 4.000-7.000 € renovação bianual.

AP ou fornecedor crítico que precisa de ENS?

Demo orientada à tua categoria com um caso real de AP. Mostramos-te o plano de adequação.

Ver preços Solicitar demo ENS