La adecuación al Esquema Nacional de Seguridad no consiste en rellenar formularios: exige implantar controles de seguridad técnicos y organizativos reales, documentarlos y ser capaz de demostrar ante un auditor que funcionan de forma continua. El catálogo de esos controles está en el Anexo II del Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191), que recoge las 75 medidas de seguridad exigibles a los sistemas sujetos al ENS.
¿Qué es el Anexo II del ENS y cuál es su estructura?
El Anexo II del RD 311/2022 organiza las medidas de seguridad en tres marcos que cubren todos los aspectos del gobierno, la operación y la protección técnica de los sistemas de información:
- Marco organizativo: cuatro medidas que establecen la política de seguridad, las normativas, los procedimientos y el proceso de gestión de la seguridad. Son el esqueleto documental sobre el que se apoya todo lo demás.
- Marco operacional: 33 medidas en siete familias: planificación (op.pl), control de acceso (op.acc), explotación (op.exp), recursos externos (op.ext), servicios en la nube (op.nub, novedad del ENS 2022), continuidad del servicio (op.cont) y monitorización del sistema (op.mon). Estas familias cubren desde la arquitectura de seguridad y la gestión de configuraciones hasta la detección de eventos y la capacidad de respuesta ante incidentes.
- Medidas de protección: medidas en ocho familias: instalaciones e infraestructuras (mp.if), gestión del personal (mp.per), protección de los equipos (mp.eq), protección de las comunicaciones (mp.com), protección de los soportes de información (mp.si), protección de las aplicaciones informáticas (mp.sw), protección de la información (mp.info) y protección de los servicios (mp.s). Cada familia agrupa los controles técnicos específicos de cada capa del sistema.
Esta estructura jerárquica no es arbitraria: las medidas organizativas son el requisito previo que da coherencia a todo lo demás, las operacionales garantizan que el día a día funciona correctamente, y las de protección ciñen los controles técnicos a cada capa del sistema.
¿Qué significa el «nivel de refuerzo» y cómo varía según la categoría?
No todas las medidas del Anexo II se aplican con la misma intensidad en todos los sistemas. Cada medida tiene asociados uno o varios niveles de refuerzo (habitualmente denominados R1, R2 y R3 en la terminología de las guías CCN-STIC serie 800), que determinan la profundidad y el rigor con que debe implantarse:
- Categoría básica: se aplica el subconjunto más reducido de medidas con el nivel de refuerzo mínimo. El foco está en las medidas esenciales que reducen los riesgos más comunes.
- Categoría media: se añaden medidas y se eleva el nivel de refuerzo. Por ejemplo, en control de acceso, categoría media puede exigir doble factor de autenticación donde básica solo requería contraseña robusta.
- Categoría alta: se aplican todas las medidas aplicables con el máximo nivel de refuerzo. Las exigencias de resiliencia, redundancia, cifrado y trazabilidad son significativamente más estrictas.
Esta escala gradual hace que el plan de adecuación sea siempre proporcional a la criticidad real del sistema. Un sistema de categoría básica que gestiona datos de baja sensibilidad no está obligado a implantar los mismos controles que un sistema de categoría alta que soporta servicios críticos del Estado.
¿Cuáles son las medidas técnicas más exigentes del Anexo II?
Para sistemas de categoría media y alta, las medidas que concentran mayor complejidad técnica y mayor volumen de evidencias son, habitualmente:
- Control de acceso con autenticación robusta (op.acc): identificación de usuarios con mecanismos de doble factor, gestión de privilegios con separación de funciones y revisión periódica de derechos de acceso.
- Bastionado de sistemas operativos y servicios (mp.s / op.exp.7): eliminación de servicios innecesarios, configuración restrictiva de permisos, aplicación de las guías CCN-STIC por plataforma (Windows, Linux, bases de datos, servidores web).
- Gestión de incidentes con registro y capacidad forense (op.exp.3): sistemas de detección de eventos, correlación de alertas SIEM, procedimientos de respuesta y capacidad de análisis forense para determinar el alcance de un incidente.
- Continuidad del servicio y copias de seguridad verificadas (op.cont): planes de recuperación ante desastres probados periódicamente, copias de seguridad con verificación de integridad y tiempo de recuperación documentado.
- Protección de comunicaciones y cifrado (mp.com): cifrado de canales de comunicación externos e internos sensibles, gestión del ciclo de vida de certificados digitales y revisión periódica de la fuerza criptográfica utilizada.
- Gestión de vulnerabilidades y parches (op.exp.4 / op.exp.6): proceso documentado de identificación, evaluación y aplicación de actualizaciones de seguridad en plazos definidos y con registro de excepciones.
La implantación técnica de estas medidas requiere conocimiento de las guías CCN-STIC específicas por plataforma y dominio de las herramientas del CCN —especialmente PILAR para el análisis de riesgos que sustenta la selección—, como se explica en detalle en la guía sobre MAGERIT y las herramientas del CCN para el ENS.
¿Cómo se demuestra que las medidas del Anexo II están efectivamente implantadas?
La conformidad con el ENS no se declara: se evidencia. Tanto en la declaración de conformidad autoevaluada (categoría básica) como en la certificación por entidad acreditada ENAC (categoría media y alta), el núcleo del proceso es la documentación de evidencias que demuestra que cada medida del Anexo II está activa y es efectiva.
Las evidencias más habituales son:
- Capturas de configuración de sistemas y servicios que acreditan el bastionado aplicado.
- Registros de logs y alertas que demuestran que el sistema de monitorización está activo.
- Actas de las pruebas de recuperación periódicas de las copias de seguridad.
- Informes de análisis de vulnerabilidades y registros de los parches aplicados.
- Registros de formación en ciberseguridad del personal con acceso al sistema.
- Informes producidos por las herramientas del CCN: PILAR (análisis de riesgos), INES (autoevaluación básica) y AMPARO (gestión continua media/alta).
La gestión de incidentes de seguridad es un ámbito especialmente sensible para los auditores de conformidad, dado que el Anexo II exige no solo la capacidad de detectar y responder, sino también de aprender de cada incidente y mejorar los controles. Un marco de respuesta a incidentes sólido, como el que se analiza en el artículo sobre respuesta a incidentes y análisis forense, es un activo valioso cuando el auditor examina las evidencias de esta familia de medidas.
¿Qué relación tienen las medidas del Anexo II del ENS con los controles de la ISO 27001?
Existe un solapamiento significativo entre las medidas del Anexo II del ENS y los controles del Anexo A de la ISO 27001:2022. Esto no es casual: ambas normas parten del mismo principio de gestión basada en riesgos y cubren dominios equivalentes —gestión de accesos, criptografía, seguridad física, gestión de incidentes, continuidad, cumplimiento—. Sin embargo, hay aspectos específicos del ENS que no tienen equivalente directo en la ISO 27001 y viceversa.
Para organizaciones que ya tienen certificación ISO 27001 o trabajan hacia ella, el análisis de brechas entre ambos marcos permite identificar con precisión qué medidas del Anexo II ya están cubiertas por los controles ISO implantados y cuáles requieren implantación adicional. El equipo de Summum Calidad elabora ese análisis de brechas integrado, mientras Summum Sistemas ejecuta la implantación técnica de los controles que faltan, cubriendo así el proyecto de adecuación al ENS en su totalidad.
¿Qué pasos concretos hay que dar para implantar las medidas del Anexo II de forma ordenada?
La secuencia recomendada por las guías CCN-STIC serie 800 para la implantación ordenada del Anexo II es:
- Categorizar el sistema conforme al Anexo I del RD 311/2022, determinando el impacto en las cinco dimensiones CIDAT.
- Realizar el análisis de riesgos con metodología MAGERIT v3 y la herramienta PILAR del CCN, obteniendo el mapa de riesgos residuales que justifica la selección de medidas.
- Elaborar el plan de adecuación según la guía CCN-STIC 806, seleccionando las medidas del Anexo II aplicables a la categoría del sistema y priorizándolas por impacto en el riesgo residual.
- Implantar los controles técnicos y organizativos aplicando las guías CCN-STIC específicas por plataforma y dominio.
- Documentar evidencias de cada control implantado y operativo.
- Verificar el cumplimiento con la herramienta INES (categoría básica) o AMPARO (media/alta), generando los informes en el formato esperado por los auditores.
- Obtener la conformidad: emitir la declaración autoevaluada (básica) o someterse a la auditoría de la entidad acreditada ENAC (media/alta).
En Summum Sistemas ejecutamos la implantación técnica de este proceso, aplicando MAGERIT y las herramientas del CCN con rigor y produciendo el paquete de evidencias que el auditor necesita. Nuestro servicio de implantación técnica del ENS abarca desde el inventario de activos hasta la entrega del paquete de evidencias completo para la auditoría de conformidad.