Anexo II del ENS: medidas de seguridad por categoría

·

La adecuación al Esquema Nacional de Seguridad no consiste en rellenar formularios: exige implantar controles de seguridad técnicos y organizativos reales, documentarlos y ser capaz de demostrar ante un auditor que funcionan de forma continua. El catálogo de esos controles está en el Anexo II del Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191), que recoge las 75 medidas de seguridad exigibles a los sistemas sujetos al ENS.

¿Qué es el Anexo II del ENS y cuál es su estructura?

El Anexo II del RD 311/2022 organiza las medidas de seguridad en tres marcos que cubren todos los aspectos del gobierno, la operación y la protección técnica de los sistemas de información:

Esta estructura jerárquica no es arbitraria: las medidas organizativas son el requisito previo que da coherencia a todo lo demás, las operacionales garantizan que el día a día funciona correctamente, y las de protección ciñen los controles técnicos a cada capa del sistema.

¿Qué significa el «nivel de refuerzo» y cómo varía según la categoría?

No todas las medidas del Anexo II se aplican con la misma intensidad en todos los sistemas. Cada medida tiene asociados uno o varios niveles de refuerzo (habitualmente denominados R1, R2 y R3 en la terminología de las guías CCN-STIC serie 800), que determinan la profundidad y el rigor con que debe implantarse:

Esta escala gradual hace que el plan de adecuación sea siempre proporcional a la criticidad real del sistema. Un sistema de categoría básica que gestiona datos de baja sensibilidad no está obligado a implantar los mismos controles que un sistema de categoría alta que soporta servicios críticos del Estado.

¿Cuáles son las medidas técnicas más exigentes del Anexo II?

Para sistemas de categoría media y alta, las medidas que concentran mayor complejidad técnica y mayor volumen de evidencias son, habitualmente:

La implantación técnica de estas medidas requiere conocimiento de las guías CCN-STIC específicas por plataforma y dominio de las herramientas del CCN —especialmente PILAR para el análisis de riesgos que sustenta la selección—, como se explica en detalle en la guía sobre MAGERIT y las herramientas del CCN para el ENS.

¿Cómo se demuestra que las medidas del Anexo II están efectivamente implantadas?

La conformidad con el ENS no se declara: se evidencia. Tanto en la declaración de conformidad autoevaluada (categoría básica) como en la certificación por entidad acreditada ENAC (categoría media y alta), el núcleo del proceso es la documentación de evidencias que demuestra que cada medida del Anexo II está activa y es efectiva.

Las evidencias más habituales son:

La gestión de incidentes de seguridad es un ámbito especialmente sensible para los auditores de conformidad, dado que el Anexo II exige no solo la capacidad de detectar y responder, sino también de aprender de cada incidente y mejorar los controles. Un marco de respuesta a incidentes sólido, como el que se analiza en el artículo sobre respuesta a incidentes y análisis forense, es un activo valioso cuando el auditor examina las evidencias de esta familia de medidas.

¿Qué relación tienen las medidas del Anexo II del ENS con los controles de la ISO 27001?

Existe un solapamiento significativo entre las medidas del Anexo II del ENS y los controles del Anexo A de la ISO 27001:2022. Esto no es casual: ambas normas parten del mismo principio de gestión basada en riesgos y cubren dominios equivalentes —gestión de accesos, criptografía, seguridad física, gestión de incidentes, continuidad, cumplimiento—. Sin embargo, hay aspectos específicos del ENS que no tienen equivalente directo en la ISO 27001 y viceversa.

Para organizaciones que ya tienen certificación ISO 27001 o trabajan hacia ella, el análisis de brechas entre ambos marcos permite identificar con precisión qué medidas del Anexo II ya están cubiertas por los controles ISO implantados y cuáles requieren implantación adicional. El equipo de Summum Calidad elabora ese análisis de brechas integrado, mientras Summum Sistemas ejecuta la implantación técnica de los controles que faltan, cubriendo así el proyecto de adecuación al ENS en su totalidad.

¿Qué pasos concretos hay que dar para implantar las medidas del Anexo II de forma ordenada?

La secuencia recomendada por las guías CCN-STIC serie 800 para la implantación ordenada del Anexo II es:

  1. Categorizar el sistema conforme al Anexo I del RD 311/2022, determinando el impacto en las cinco dimensiones CIDAT.
  2. Realizar el análisis de riesgos con metodología MAGERIT v3 y la herramienta PILAR del CCN, obteniendo el mapa de riesgos residuales que justifica la selección de medidas.
  3. Elaborar el plan de adecuación según la guía CCN-STIC 806, seleccionando las medidas del Anexo II aplicables a la categoría del sistema y priorizándolas por impacto en el riesgo residual.
  4. Implantar los controles técnicos y organizativos aplicando las guías CCN-STIC específicas por plataforma y dominio.
  5. Documentar evidencias de cada control implantado y operativo.
  6. Verificar el cumplimiento con la herramienta INES (categoría básica) o AMPARO (media/alta), generando los informes en el formato esperado por los auditores.
  7. Obtener la conformidad: emitir la declaración autoevaluada (básica) o someterse a la auditoría de la entidad acreditada ENAC (media/alta).

En Summum Sistemas ejecutamos la implantación técnica de este proceso, aplicando MAGERIT y las herramientas del CCN con rigor y produciendo el paquete de evidencias que el auditor necesita. Nuestro servicio de implantación técnica del ENS abarca desde el inventario de activos hasta la entrega del paquete de evidencias completo para la auditoría de conformidad.