Esquema Nacional de Seguridad · Cumplimiento normativo

Autodiagnóstico ENS: categoría del sistema y medidas del Anexo II

Valora tus cinco dimensiones de seguridad y obtén la categoría de tu sistema (BÁSICA, MEDIA o ALTA), cuántas de las 73 medidas del Anexo II te aplican y si tu procedimiento de conformidad es autoevaluación o auditoría de certificación — según el Real Decreto 311/2022.

CategoríasBÁSICA · MEDIA · ALTA
Medidas Anexo II73 (4 org + 33 op + 36 mp)
NormaReal Decreto 311/2022

En una frase: el ENS no clasifica tu sistema por sector ni por tamaño de tu organización, sino por el impacto que tendría un incidente sobre cinco dimensiones de seguridad — confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. La categoría final es siempre la del nivel más alto que alcance cualquiera de esas cinco dimensiones. Esta herramienta aplica ese criterio literal del artículo 40 y el Anexo I del RD 311/2022, estima cuántas de las 73 medidas del Anexo II te aplican según la tabla oficial, y te dice si tu procedimiento de conformidad es autoevaluación (BÁSICA) o auditoría de certificación (MEDIA/ALTA), según el artículo 38.

Aviso: esta herramienta es orientativa y no constituye asesoramiento profesional. No sustituye el análisis de riesgos formal (MAGERIT/PILAR) ni la Declaración de Aplicabilidad de tu sistema concreto. Verifica tu caso con nuestro servicio de implantación técnica del ENS o con un profesional antes de tomar decisiones.

1. ¿Qué tipo de entidad es la titular del sistema?
2. Nivel de impacto (BAJO / MEDIO / ALTO) en cada dimensión de seguridad

Para cada dimensión, valora el perjuicio que causaría un incidente que la afectara. Si esa dimensión no es relevante en tu sistema, marca «No aplica».

Cómo calcula tu categoría ENS.

Metodología · cuatro pasos
01

Comprueba el ámbito de aplicación

El ENS aplica a las entidades del sector público y a los proveedores privados que, por relación contractual, prestan servicios a una AAPP para el ejercicio de sus competencias (artículo 2 del RD 311/2022, que remite al artículo 2 de la Ley 40/2015). Fuera de ese ámbito, el ENS no es exigible directamente.

02

Valora las cinco dimensiones

Confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad, cada una en BAJO, MEDIO o ALTO según el perjuicio que causaría un incidente (Anexo I, puntos 2 y 3). Si una dimensión no se ve afectada, no se le asigna nivel.

03

La categoría es el nivel más alto

El sistema es de categoría ALTA si alguna dimensión llega a ALTO; MEDIA si ninguna llega a ALTO pero alguna llega a MEDIO; BÁSICA si ninguna supera BAJO (artículo 40.2 y Anexo I, punto 4).

04

Aplica medidas y procedimiento de conformidad

Según la tabla resumen del Anexo II, en BÁSICA aplican 52 de las 73 medidas, en MEDIA 68 y en ALTA las 73. El artículo 38.1 exige autoevaluación en BÁSICA y auditoría de certificación en MEDIA/ALTA.

Fuentes

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191) — artículo 2 (ámbito de aplicación), artículo 40.2 («La determinación de la categoría de seguridad se efectuará en función de la valoración del impacto... siguiendo el procedimiento descrito en el anexo I») y artículo 38.1 («los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad... mientras que los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad»): boe.es/eli/es/rd/2022/05/03/311/con (consultado 16-07-2026).
  • Anexo I del RD 311/2022 — Categorías de seguridad, punto 4: «Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO... será de categoría MEDIA si alguna... alcanza el nivel MEDIO, y ninguna alcanza un nivel superior... será de categoría BÁSICA si alguna... alcanza el nivel BAJO, y ninguna alcanza un nivel superior» — texto verificado en el PDF oficial del BOE (páginas 61740-61741 del Boletín núm. 106): boe.es/boe/dias/2022/05/04/pdfs/BOE-A-2022-7191.pdf (consultado 16-07-2026).
  • Anexo II del RD 311/2022 — Medidas de Seguridad, tabla resumen del punto 4 (páginas 61743-61746 del PDF oficial): de las 73 medidas totales, en categoría BÁSICA 21 marcan «n.a.» (no aplica) — quedando 52 aplicables —, en categoría MEDIA 5 marcan «n.a.» (quedando 68 aplicables), y en categoría ALTA ninguna marca «n.a.» (las 73 aplican). Desglose por marco: organizativo 4/4/4 (BÁSICA/MEDIA/ALTA), operacional 22/29/33, protección 26/35/36. Mismo PDF, consultado 16-07-2026.
  • Summum Sistemas — «Anexo II del ENS: medidas de seguridad por categoría» (blog, 27-06-2026): confirma el total de 73 medidas (4 organizativas + 33 operacionales + 36 de protección) y la lógica de niveles de refuerzo R1/R2/R3 por categoría: summumsistemas.es/blog/2026-06-27-ens-anexo-ii-medidas-seguridad (consultado 16-07-2026).
  • Summum Sistemas — servicio de implantación técnica del ENS (análisis MAGERIT/PILAR, plan de adecuación y paquete de evidencias): summumsistemas.es/servicios/ens (consultado 16-07-2026).

Casos no cubiertos por esta herramienta — sistemas que traten información clasificada (régimen adicional específico), sistemas 5G de una AAPP (además del ENS, les aplica el Real Decreto-ley 7/2022), la selección medida a medida de qué refuerzos concretos (R1, R2, R3...) corresponden dentro de cada medida aplicable, y la Declaración de Aplicabilidad formal de tu sistema: todo eso requiere el análisis de riesgos y la revisión de un profesional.

Preguntas frecuentes sobre el autodiagnóstico ENS.

¿Cómo se determina la categoría de seguridad de un sistema en el ENS?

Según el artículo 40.2 y el punto 4 del Anexo I del Real Decreto 311/2022, la categoría del sistema (BÁSICA, MEDIA o ALTA) es igual al nivel MÁS ALTO alcanzado por cualquiera de sus cinco dimensiones de seguridad (confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad). Basta con que UNA sola dimensión llegue a ALTO para que todo el sistema sea de categoría ALTA, aunque el resto de dimensiones sean bajas.

¿Cuántas medidas del Anexo II me aplican según mi categoría?

El Anexo II del RD 311/2022 tiene 73 medidas en total (4 organizativas + 33 operacionales + 36 de protección). Según la tabla resumen del propio Anexo II, en categoría BÁSICA aplican 52 de las 73 (21 son «no aplica»); en categoría MEDIA aplican 68 de las 73 (5 son «no aplica»); y en categoría ALTA aplican las 73, todas con su máximo nivel de refuerzo.

¿Qué diferencia hay entre autoevaluación y auditoría de certificación?

El artículo 38.1 del RD 311/2022 establece que los sistemas de categoría BÁSICA solo requieren una autoevaluación para su declaración de conformidad, mientras que los sistemas de categoría MEDIA o ALTA precisan de una auditoría para la certificación de su conformidad, realizada según el artículo 31 y el Anexo III. Un sistema BÁSICA puede someterse voluntariamente a auditoría de certificación, pero no está obligado.

¿A quién obliga el ENS: solo a las administraciones públicas?

No solo. Según el artículo 2 del RD 311/2022 (que remite al artículo 2 de la Ley 40/2015), el ENS aplica a todas las entidades del sector público, y también a las entidades del sector privado que, en virtud de una relación contractual, presten servicios a entidades del sector público para el ejercicio de sus competencias y potestades administrativas — es decir, a los proveedores del sector público que tratan información o prestan servicios bajo ese régimen.

¿Hay medidas del Anexo II que solo aplican a partir de categoría MEDIA o ALTA?

Sí. Por ejemplo, op.ext.1 (contratación y ANS), op.cont.1 (análisis de impacto) o mp.si.2 (criptografía en soportes) marcan «no aplica» en BÁSICA y empiezan a exigirse desde MEDIA. Y medidas como op.ext.3 (protección de la cadena de suministro), op.cont.2 a op.cont.4 (plan de continuidad, pruebas periódicas, medios alternativos) o mp.info.4 (sellos de tiempo) marcan «no aplica» también en MEDIA y solo se exigen en categoría ALTA.

¿Esta herramienta sustituye el asesoramiento de un profesional?

No. Es orientativa: aplica el criterio literal del artículo 40 y el Anexo I para estimar tu categoría, y la tabla del Anexo II para estimar cuántas medidas te aplican, pero no sustituye el análisis de riesgos formal (MAGERIT/PILAR) ni la Declaración de Aplicabilidad concreta de tu sistema, que debe elaborar un profesional.