Sector publico y seguridad

Adecuación al ENS en León: sistema de gestión de la seguridad para proveedores de la Administración

La Diputación de León, el Ayuntamiento de León y la Universidad de León (ULE) son entidades sujetas al Esquema Nacional de Seguridad. Esto significa que cualquier empresa que les suministre software, servicios tecnológicos o soluciones de tratamiento de datos debe adecuarse al RD 311/2022 (BOE-A-2022-7191) para poder licitar y operar con ellas. Summum Calidad acompaña a empresas leonesas y del entorno provincial en ese proceso desde el enfoque del sistema de gestión de la seguridad de la información (SGSI), integrando los requisitos del ENS con los de la ISO 27001:2022 para aprovechar controles comunes y evitar duplicidades. Si quieres seguir siendo proveedor de la Administración en León, la adecuación al ENS no es optativa: te ayudamos a afrontarla con orden, rigor y el menor impacto posible en tu operativa diaria.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedoras de organismos públicos de León
ModalidadAcompañamiento estructurado ENS + ISO 27001

El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, obliga a que los sistemas de información del sector público español y los de sus proveedores cumplan unos requisitos mínimos de seguridad. En León, eso se traduce en una realidad concreta: la Diputación de León gestiona servicios municipales de decenas de ayuntamientos de la provincia, el Ayuntamiento de León tiene plataformas digitales de atención ciudadana y contratación electrónica, y la Universidad de León (ULE) como universidad pública está igualmente sujeta al ENS. Si tu empresa presta servicios tecnológicos, desarrolla software, gestiona infraestructuras o procesa datos por cuenta de cualquiera de estas entidades, el ENS te alcanza directamente. El plazo de adecuación para sistemas ya existentes expiró el 5 de mayo de 2024; operar sin haber completado ese proceso supone un riesgo real para tu acceso a la contratación pública provincial y autonómica.

Desde Summum Calidad abordamos la adecuación al ENS desde el enfoque del sistema de gestión, que es el mismo que rige la ISO 27001:2022: política de seguridad, análisis de riesgos, selección de medidas proporcionales al nivel de impacto del sistema, implantación con evidencias auditables y ciclo de revisión y mejora continua. El Anexo II del RD 311/2022 recoge 75 medidas de seguridad organizadas en tres marcos —organizativo, operacional y de protección— y 16 familias, incluyendo la familia op.nub específica para servicios en la nube. Esta estructura es compatible con el Anexo A de la ISO 27001:2022, lo que permite construir un único sistema de gestión que cumpla con ambas normas. Para una empresa proveedora de la Administración leonesa, trabajar con ese enfoque integrado no solo ahorra tiempo y coste: también posiciona a la organización para responder con agilidad cuando los pliegos de contratación exijan acreditación de conformidad con el ENS.

El proceso de adecuación comienza con la categorización del sistema según el Anexo I del RD 311/2022: se evalúa el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance, y el resultado determina si el sistema es de categoría básica, media o alta. La categoría define tanto el subconjunto de medidas del Anexo II que son obligatorias como la vía de conformidad requerida: para sistemas de categoría básica, basta con una declaración de conformidad autoevaluada siguiendo la guía CCN-STIC 809; para sistemas de categoría media o alta, la conformidad debe certificarla una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad acompaña todo ese proceso —diagnóstico, categorización, implantación, documentación y preparación para la auditoría— pero no emite certificados de conformidad, que son competencia exclusiva de las entidades acreditadas.

El proceso de Adecuación al ENS en León.

El proceso · cuatro tiempos
01

Diagnóstico y categorización del sistema (Anexo I ENS)

Analizamos el alcance de los servicios que prestas a organismos públicos leoneses —Diputación de León, Ayuntamiento de León, ULE u otros— y los datos que gestionas por su cuenta. Con esa información, aplicamos la metodología del Anexo I del RD 311/2022 para valorar el impacto en las cinco dimensiones CIDAT y determinar la categoría del sistema (básica, media o alta). Si ya tienes una certificación ISO 27001 o prácticas de seguridad documentadas, identificamos en este paso qué trabajo ya está hecho y qué brecha real existe hacia el ENS.

02

Análisis de brechas ENS–ISO 27001 y plan de acción

Mapeamos los controles del Anexo II del ENS —75 medidas en 16 familias— contra los controles de tu sistema de gestión ISO 27001:2022 o contra las prácticas de seguridad existentes. El resultado es una tabla priorizada de brechas con el esfuerzo estimado para cerrar cada gap, distinguiendo lo que puede reutilizarse directamente, lo que requiere ajuste documental y lo que exige implantación técnica nueva. Este análisis es el punto de partida del plan de proyecto con hitos, responsables y fechas realistas.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cubra simultáneamente los requisitos de la ISO 27001:2022 y las medidas del Anexo II del ENS. Elaboramos la Declaración de Aplicabilidad integrada, que justifica la selección y exclusión de controles en el formato esperado por los auditores de conformidad, y redactamos la política de seguridad de la información conforme al artículo 12 del RD 311/2022, incluyendo los roles y responsabilidades propios de tu estructura organizativa.

04

Implantación de medidas y generación de evidencias

Acompañamos la implantación de las medidas de seguridad pendientes —organizativas, operacionales y de protección— y generamos la documentación de evidencias exigida: procedimientos, registros, informes de análisis de riesgos, actas de revisión por la dirección, registros de formación y planes de continuidad. Para los aspectos técnicos de implantación —hardening, monitorización, gestión de vulnerabilidades, controles cloud de la familia op.nub— coordinamos con Summum Sistemas, que cubre el plano técnico-operativo del proyecto.

Qué incluye

Qué incluye Adecuación al ENS en León.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada —básica, media o alta— valorando el impacto en las cinco dimensiones CIDAT para cada servicio prestado a organismos públicos de León, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de las 75 medidas del Anexo II del ENS con los controles de tu sistema ISO 27001:2022, identificando reutilizaciones directas, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap antes de la auditoría de conformidad.

  • Declaración de Aplicabilidad integrada ENS–ISO 27001

    Documento formal que recoge, para cada medida del Anexo II del ENS y cada control del Anexo A de la ISO 27001:2022, si aplica al sistema, el grado de implantación y la justificación de las exclusiones, en el formato esperado por auditores de conformidad y por la CCN-STIC 809.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según los requisitos del artículo 12 del RD 311/2022, adaptada a la estructura y cultura de la organización: propósito, alcance, roles, compromisos de la dirección, ciclo de revisión bienal y alineación con los contratos de prestación de servicios a la Administración leonesa.

  • Procedimientos, registros y paquete de evidencias

    Conjunto completo de procedimientos operativos y registros que acreditan la implantación real de los controles: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes, formación del personal y seguimiento de indicadores del SGSI.

  • Revisión pre-auditoría y simulacro de conformidad

    Para sistemas de categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC conforme a la UNE-EN ISO/IEC 17065: revisión de evidencias, identificación de puntos débiles y corrección antes de la auditoría de certificación, minimizando el riesgo de no conformidades.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS desde el sistema de gestión se completa con la implantación técnica de las medidas del Anexo II que realiza Summum Sistemas: análisis de riesgos con metodología MAGERIT y herramienta PILAR, hardening de sistemas y servicios, monitorización de eventos de seguridad, controles cloud de la familia op.nub y preparación del paquete de evidencias técnicas para la auditoría de conformidad. Los dos equipos trabajan coordinados en un único proyecto que cubre el plano documental-normativo y el plano técnico-operativo, sin duplicar esfuerzo ni transferir la responsabilidad de un equipo a otro.

Preguntas frecuentes sobre Adecuación al ENS en León.

¿Por qué afecta el ENS a una empresa proveedora de la Diputación de León o del Ayuntamiento de León?

Porque el artículo 2 del RD 311/2022 extiende el ámbito de aplicación del ENS a las entidades privadas que presten servicios o suministren productos a entidades del sector público sujetas a la norma. La Diputación de León, el Ayuntamiento de León y la Universidad de León (ULE) son organismos públicos sujetos al ENS; por tanto, cualquier empresa que les proporcione software, servicios de alojamiento, mantenimiento de sistemas o tratamiento de datos por su cuenta debe adecuarse. Si participas en licitaciones de estos organismos y no puedes acreditar tu adecuación, puedes quedar excluido de esos procedimientos de contratación.

¿Cuáles son los niveles de categoría ENS y qué implica cada uno para una empresa leonesa?

El ENS establece tres categorías: básica, media y alta. La categoría se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para los servicios en alcance. Si el impacto máximo en cualquier dimensión es bajo, el sistema es básico; si alguna dimensión llega a impacto medio, es medio; si alguna alcanza impacto alto, es alto. Para una empresa de servicios tecnológicos que trabaja con el Ayuntamiento de León en un sistema de gestión documental, por ejemplo, la categoría habitual suele ser básica o media. La categoría define qué medidas del Anexo II son obligatorias y si basta con una declaración de conformidad autoevaluada (categoría básica) o se necesita certificación por entidad acreditada por ENAC (media y alta).

¿Qué es el Anexo II del RD 311/2022 y cuántas medidas incluye?

El Anexo II del RD 311/2022 recoge las 75 medidas de seguridad que los sistemas sujetos al ENS deben aplicar en función de su categoría. Estas medidas se organizan en tres marcos —organizativo (4 familias), operacional (7 familias, incluyendo op.nub para servicios en la nube) y de protección (5 familias)— con un total de 16 familias. No todas las medidas son obligatorias para todos los sistemas: el Anexo II indica para cada medida si aplica a sistemas de categoría básica, media, alta o a todas. El trabajo de análisis de brechas consiste precisamente en identificar cuáles de esas medidas aplican al sistema de tu organización y cuáles ya están cubiertas por los controles de tu sistema de gestión ISO 27001.

¿La Universidad de León (ULE) requiere que sus proveedores tecnológicos tengan adecuación al ENS?

Sí. La Universidad de León es una universidad pública y, como tal, está sujeta al ENS. Eso implica que sus proveedores de sistemas de información —software de gestión académica, servicios en la nube, mantenimiento de infraestructuras, procesamiento de datos de estudiantes— deben acreditar su adecuación al ENS si sus sistemas entran en contacto con los de la ULE. La exigencia concreta depende del pliego de cada contratación, pero la tendencia regulatoria es que los requisitos de conformidad con el ENS aparezcan de forma progresiva en los contratos de servicios TIC de las universidades públicas españolas.

¿Puedo integrar la adecuación al ENS con una certificación ISO 27001 que ya tengo?

Sí, y es la forma más eficiente de hacerlo. La ISO 27001:2022 y el ENS comparten una estructura de gestión muy similar: política de seguridad, análisis de riesgos, selección de controles proporcionales, implantación con evidencias y revisión periódica. Muchos controles del Anexo A de la ISO 27001:2022 coinciden con medidas del Anexo II del ENS, por lo que el gap se concentra en los aspectos específicos del marco español: la categorización del Anexo I, las medidas sin equivalente exacto en ISO 27001 y el formato de documentación requerido por la CCN. Summum Calidad realiza el análisis de brechas preciso y cierra únicamente lo que falta, sin rehacer lo que ya funciona en tu SGSI.

¿Summum Calidad certifica o audita el ENS de mi empresa?

No. Summum Calidad no emite certificados de conformidad con el ENS ni realiza auditorías de certificación. Para sistemas de categoría básica, preparamos la documentación necesaria para que tu organización emita su propia declaración de conformidad autoevaluada conforme a la CCN-STIC 809. Para sistemas de categoría media o alta, realizamos una revisión pre-auditoría exhaustiva y te acompañamos durante el proceso, pero la certificación la emite una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065 que la organización elige libremente. Nuestro papel es prepararte para superar ese proceso con las mayores garantías y el menor riesgo de no conformidades.