Cuando una pyme empieza a mirar el Esquema Nacional de Seguridad, lo primero que suele preguntar es cuántas medidas tiene que implantar. La respuesta corta —"73, las del Anexo II"— es incompleta y genera una alarma que no siempre está justificada: no todas las 73 medidas se aplican a todos los sistemas. El número real depende de la categoría (BÁSICA, MEDIA o ALTA) que resulte de valorar el impacto en las cinco dimensiones de seguridad, y esa diferencia puede ser la mitad del esfuerzo de implantación.
El punto de partida: 73 medidas en tres marcos
El Anexo II del Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) recoge 73 medidas de seguridad distribuidas en tres marcos: 4 organizativas, 33 operacionales y 36 de protección. Esa cifra de 73 es el catálogo completo, el que aplica sin excepción a los sistemas de categoría ALTA. Para BÁSICA y MEDIA, la propia tabla resumen del Anexo II marca con "n.a." (no aplica) las medidas que quedan fuera según la categoría.
El desglose por categoría, medida a medida
Contando celda a celda la tabla resumen del Anexo II (apartado 4 del Real Decreto) el resultado es el siguiente:
- Categoría BÁSICA: 52 de 73 medidas (21 marcadas como "no aplica"). Las medidas que quedan fuera se concentran en continuidad del servicio (op.cont.1 a op.cont.4 completas), recursos externos (op.ext.1 a op.ext.4 completas) y varios controles específicos de planificación, explotación e información.
- Categoría MEDIA: 68 de 73 medidas (5 marcadas como "no aplica"): op.ext.3, op.cont.2, op.cont.3, op.cont.4 y mp.info.4. Es decir, MEDIA recupera casi todo el marco de continuidad y de recursos externos que BÁSICA no exige, y añade refuerzos donde BÁSICA se conformaba con el mínimo.
- Categoría ALTA: 73 de 73 medidas, sin ninguna excepción. Ninguna medida del Anexo II queda fuera para los sistemas de categoría ALTA.
Por marco, el desglose queda así: el marco organizativo exige sus 4 medidas en las tres categorías por igual (no hay margen ahí); el marco operacional pasa de 22 medidas aplicables en BÁSICA a 29 en MEDIA y a las 33 completas en ALTA; y las medidas de protección pasan de 26 en BÁSICA a 35 en MEDIA y a las 36 completas en ALTA.
Por qué el número de medidas no es la única variable
Que una medida "aplique" no significa que se implante siempre con la misma exigencia. Las guías de la serie CCN-STIC del Centro Criptológico Nacional describen niveles de refuerzo crecientes para una misma medida según la categoría del sistema: un control de acceso puede resolverse con una contraseña robusta en BÁSICA y exigir doble factor en MEDIA o ALTA, por ejemplo. Esto quiere decir que el salto real de esfuerzo entre categorías es mayor que la simple diferencia de medidas aplicables (52 → 68 → 73): también crece el rigor con el que hay que implantar las medidas que ya aplicaban en la categoría inferior. Ese desglose de refuerzos por medida concreta depende de la Declaración de Aplicabilidad de cada sistema y no se puede generalizar sin analizar el caso: aquí solo se puede afirmar con certeza qué medidas aplican, no con qué profundidad exacta hay que implantar cada una en un sistema concreto.
Qué determina la categoría (y por tanto cuántas medidas te tocan)
La categoría de un sistema es el nivel más alto alcanzado por cualquiera de las cinco dimensiones de seguridad —confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad—, no la media ni la suma de todas ellas. Basta con que una sola dimensión llegue a ALTO para que todo el sistema sea categoría ALTA, aunque las otras cuatro estén en BAJO. Esta regla de "el máximo manda" es la que más sorprende a las organizaciones que subestiman su categoría: un sistema con disponibilidad crítica pero datos poco sensibles puede terminar en ALTA solo por esa dimensión.
Un ejemplo práctico: dos pymes, dos categorías muy distintas
Imagina dos empresas que quieren adecuarse al ENS por ser proveedoras de un ayuntamiento. La primera gestiona un portal de trámites internos sin datos de carácter personal ni servicios críticos: sus cinco dimensiones se valoran en BAJO, así que su categoría es BÁSICA y tendrá que implantar 52 de las 73 medidas, con autoevaluación como vía de conformidad. La segunda gestiona un sistema de citas y expedientes sanitarios con alta disponibilidad exigida y datos especialmente protegidos: aunque la mayoría de sus dimensiones estén en BAJO o MEDIO, basta con que confidencialidad o disponibilidad lleguen a ALTO para que toda la organización se sitúe en categoría ALTA, con las 73 medidas exigibles y auditoría de certificación obligatoria por una entidad acreditada por ENAC. Son dos empresas del mismo tamaño y sector, pero con cargas de adecuación muy diferentes, y la única forma de saber en cuál de los dos casos estás es valorando tus propias dimensiones, no comparándote con el vecino.
Autoevaluación o auditoría, según la categoría
El régimen de conformidad también cambia con la categoría: los sistemas de categoría BÁSICA solo requieren una autoevaluación para su declaración de conformidad (aunque pueden someterse voluntariamente a auditoría), mientras que MEDIA y ALTA exigen obligatoriamente una auditoría de certificación realizada por una entidad acreditada por ENAC. Esto añade una segunda capa de esfuerzo que no aparece en el simple recuento de medidas: no es lo mismo rellenar un cuestionario interno que preparar evidencias para un auditor externo.
Cómo saber cuántas medidas te tocan a ti
El recuento anterior es genérico: dice cuántas medidas aplican a cada categoría, pero no te dice todavía cuál es tu categoría. Eso depende de cómo valores el impacto en cada una de las cinco dimensiones para tu sistema concreto, algo que varía mucho entre, por ejemplo, un ERP interno sin datos de carácter personal y una plataforma que gestiona expedientes de un ayuntamiento. Antes de empezar a implantar controles conviene resolver esa primera pregunta con datos, no a ojo: con el autodiagnóstico ENS puedes introducir la valoración de las cinco dimensiones de tu sistema y obtener al instante la categoría que te corresponde, el número exacto de medidas del Anexo II que te aplican y el procedimiento de conformidad (autoevaluación o auditoría) que toca en tu caso.
Preguntas frecuentes
¿Las medidas "no aplica" de la categoría BÁSICA se pueden implantar igualmente?
Sí. Que una medida no sea exigible en tu categoría no significa que esté prohibida: muchas organizaciones con categoría BÁSICA implantan voluntariamente medidas adicionales de continuidad o de recursos externos si su operativa lo justifica, aunque no lo necesiten para la conformidad.
¿El total de 73 medidas incluye las de mi proveedor cloud?
El marco operacional incorpora una familia específica para servicios en la nube (op.nub), novedad de la revisión de 2022 del ENS, pero su alcance depende de cómo se reparta la responsabilidad entre tu organización y el proveedor. Es uno de los puntos que requiere análisis individual del contrato de servicio.
¿Puedo pasar de BÁSICA a MEDIA solo añadiendo las 16 medidas que faltan?
No exactamente: además de añadir las medidas que antes eran "no aplica", hay que revisar el nivel de refuerzo de las medidas que ya tenías implantadas en BÁSICA, porque en MEDIA se exige un rigor mayor en varias de ellas. El recuento de medidas es solo una parte del salto de esfuerzo.
¿Este desglose vale también para instituciones de la Administración?
Sí, la tabla resumen del Anexo II y el criterio de aplicabilidad por categoría son los mismos para entidades del sector público y para proveedores privados que, por relación contractual, deban adecuarse al ENS.
Este contenido tiene carácter divulgativo y orientativo. No constituye asesoramiento legal ni sustituye el análisis de un profesional cualificado para tu caso concreto.