La reciente modificación del Esquema Nacional de Seguridad (ENS) introduce nuevas exigencias técnicas y organizativas que afectarán a todas las entidades que gestionan información o prestan servicios para el sector público. Estas actualizaciones buscan reforzar la resiliencia frente a ciberamenazas en un contexto de digitalización creciente y riesgos más sofisticados.
Nuevo marco: Real Decreto 311/2022 y sus desarrollos
El Real Decreto 311/2022, que sustituye al anterior marco de 2010, establece los principios y requisitos mínimos que deben cumplir los sistemas de información del sector público en materia de seguridad. Su aplicación no solo abarca a las administraciones públicas, sino también a los proveedores tecnológicos y entidades privadas que manejan datos o infraestructuras críticas para estos organismos.
Este nuevo texto normativo se alinea con los estándares europeos en ciberseguridad, como el Reglamento (UE) 2019/881 (Cybersecurity Act) y la Directiva NIS2, ampliando el alcance y profundidad de las medidas de seguridad exigidas.
Entre los cambios clave destacan:
Clasificación revisada de los sistemas según el impacto de los riesgos.
Refuerzo de medidas para proteger la cadena de suministro.
Incorporación de principios de seguridad desde el diseño y por defecto.
Nuevos controles sobre gestión de incidentes, continuidad de negocio y formación del personal.
Sectores especialmente afectados
La aplicación del nuevo ENS no se limita al sector público. También afecta de forma directa a:
Empresas proveedoras de servicios TIC para administraciones.
Organizaciones que gestionan datos personales o sensibles vinculados a servicios públicos.
Entidades del sector sanitario, educativo y financiero que colaboran con la Administración.
Empresas adjudicatarias de contratos públicos donde se implique tratamiento de información clasificada.
La actualización del ENS obliga a estas entidades a revisar y adaptar sus políticas internas de seguridad, redefinir sus análisis de riesgos y adecuar sus sistemas a los nuevos niveles de exigencia.
Exigencias técnicas y plazos de adaptación
El Esquema establece tres niveles de seguridad —básico, medio y alto— en función del impacto potencial de los incidentes sobre los servicios prestados. La revisión normativa incorpora más requisitos específicos para cada nivel, especialmente en lo que respecta a:
Gestión de accesos y control de privilegios.
Cifrado y protección de la información en tránsito y almacenamiento.
Supervisión continua y detección temprana de amenazas.
Las entidades ya obligadas por el ENS disponen de un plazo transitorio para adecuarse a las nuevas obligaciones, aunque dicho periodo varía en función de la complejidad de los sistemas y su criticidad. Según fuentes del sector, muchas organizaciones están teniendo dificultades para interpretar correctamente los nuevos requisitos y priorizar su implantación.
Riesgos por incumplimiento y recomendaciones
El incumplimiento de los requisitos del ENS puede conllevar importantes consecuencias jurídicas, económicas y reputacionales. Además de la posible exclusión en procesos de contratación pública, existen riesgos asociados a la pérdida de confianza institucional y la exposición a sanciones por fallos de seguridad.
Expertos en cumplimiento normativo coinciden en que las organizaciones deben adoptar una estrategia integral que incluya:
Auditorías técnicas iniciales sobre el grado de adecuación al nuevo ENS.
Rediseño de políticas de seguridad alineadas con los nuevos principios normativos.
Formación continua de los equipos internos con responsabilidad en ciberseguridad.
Acompañamiento técnico especializado para la adecuación progresiva.
En este contexto, el servicio Esquema nacional de seguridad resulta especialmente relevante para las organizaciones que necesitan alinear su estrategia digital con las exigencias normativas más recientes.
Prepararse hoy para un entorno más exigente
Los recientes cambios en el Esquema Nacional de Seguridad suponen un paso decisivo hacia una administración más segura y resiliente, pero también implican nuevos desafíos para todos los actores que interactúan con ella. La ciberseguridad deja de ser una opción técnica para convertirse en una obligación normativa que exige compromiso organizativo, recursos adecuados y asesoramiento experto.
Si tu organización necesita orientación para adaptar sus procesos a los nuevos requisitos normativos, conviene contar con el respaldo de una consultora especializada en cumplimiento normativo como Audidat.
