Grupo Adapting

NORMATIVA: Esquema Nacional de Seguridad (ENS) en España

En la mayoría de los pliegos de licitación de las administraciones públicas en España se está demandando el cumplimiento de las empresas candidatas que dispongan de un certificado del Esquema Nacional de Seguridad (ENS) o, al menos, una declaración de su cumplimiento. En ocasiones se habla también de la norma ISO 27001 y existen dudas sobre si la certificación según ISO 27001 equivale al cumplimiento de ENS.

Las dos normas tratan sobre la seguridad de la información y ciertamente existen paralelismos entre ambas, es decir, si una empresa cumple con los requisitos de una de las dos normas, ya tiene un “terreno ganado” de cumplimiento de los requisitos de la otra norma, pero no son equivalentes, por lo que disponer del certificado de una de ellas no equivale a cumplir con los requisitos normativos de la otra.

La primera pregunta sería, por qué se generó este Esquema Nacional de Seguridad, existiendo ya normas internacionales que regulan la Seguridad de la Información. Para ello, lo primero es repasar el objetivo del ENS, según se indica en el artículo 156 de la Ley 40 / 2015: “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

Los objetivos concretos de ENS se resumen de la siguiente forma:

–  Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

–  Promover la gestión continuada de la seguridad.

–  Promover la prevención detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.

Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción, así como la comunicación de los requisitos de seguridad de la información a la Industria.

– Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE «Digital Security Risk Management for Economic and Social Prosperity – OECD Recommendation and Companion Document».

En el Esquema Nacional de Seguridad se distinguen tres niveles de cumplimiento:

  1. Básico
  2. Medio
  3. Alto

Cada uno de estos niveles supone el cumplimiento de una serie de requisitos que se van sumando, así el cumplimiento del nivel medio incorpora los requisitos del nivel Básico, más las propias del nivel medio y, de igual manera con los de nivel Alto con respecto a las dos anteriores.

Los elementos principales del ENS son los siguientes:

El proceso de certificación del Esquema Nacional de Seguridad es similar al de otras normas equivalentes, por ejemplo, la Norma ISO 27001, ya que se realizan por parte de Entidades de Certificación autorizadas por ENAC en España para llevar a cabo las auditorías pertinentes (acreditados por ENAC “para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios, para la certificación de sistemas del ámbito de aplicación del ENS.”),

A diferencia de las otras normas, el certificado de ENS tiene una validez de 2 años (el de las normas ISO 27001 o 9001 tiene validez de tres años), no habiendo auditorías de seguimiento durante la validez del certificado.


Sigue Nuestras redes sociales y mantente enterado de la novedad del mundo documental: