El Esquema Nacional de Seguridad (ENS) establece el marco legal y técnico para la protección de los sistemas de información de las administraciones públicas y de aquellos proveedores que mantienen relación con ellas. Dentro de esta estructura, el nivel medio de cumplimiento se ha consolidado como la categoría más común y relevante para la mayoría de las empresas privadas que prestan servicios al sector público. El desafío fundamental no es solo entender qué es el nivel medio, sino cómo traducir sus exigencias regulatorias en medidas de seguridad prácticas y funcionales que superen la auditoría de certificación.
La incomprensión de lo que implica cumplir con el ENS nivel medio expone a las organizaciones a dos grandes riesgos. En primer lugar, la implementación de medidas insuficientes o inadecuadas que resultan en una denegación del certificado, bloqueando la capacidad para trabajar con la administración. En segundo lugar, y más grave, la falsa sensación de seguridad que puede llevar a vulnerabilidades reales en el manejo de información sensible. El incumplimiento del nivel de seguridad requerido por el contrato es, en última instancia, una ruptura contractual con graves consecuencias económicas.
Este artículo tiene como objetivo clarificar, de forma profesional y detallada, qué significa cumplir ENS nivel medio. Desglosaremos los requisitos clave, las medidas de seguridad específicas que deben implementarse y la obligatoriedad de la auditoría de certificación en esta categoría. Al finalizar, usted comprenderá que el ENS nivel medio requiere una inversión estratégica y especializada en la seguridad de la información, que puede ser eficazmente gestionada con nuestro servicio de Esquema nacional de seguridad.
Cumplir ENS nivel medio significa que el sistema de información soporta servicios cuya indisponibilidad, pérdida de confidencialidad o integridad causaría un perjuicio grave o limitado a las funciones de la administración pública o a los derechos de los ciudadanos. Implica el cumplimiento obligatorio de un número mayor de medidas de seguridad que el nivel Básico y la necesidad ineludible de obtener un certificado de conformidad mediante auditoría externa.
Los cimientos del cumplimiento ENS nivel medio: Categorización y alcance
El primer paso para entender la obligación del ENS nivel medio es saber por qué y sobre qué sistemas recae esta categoría. La clave está en la criticidad de la información gestionada.
¿Por qué mi sistema debe ser de nivel medio?
La categoría de seguridad se determina mediante la valoración de las cinco dimensiones de seguridad del ENS (Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad). Si el impacto potencial de un incidente en alguna de estas dimensiones es valorado como Medio, el sistema debe ser catalogado, como mínimo, en ENS nivel medio.
Integridad Media: El sistema maneja información cuya modificación o pérdida no autorizada podría causar un perjuicio grave (ej. datos contractuales, procesos de licitación).
Disponibilidad Media: La interrupción del servicio podría causar un impacto significativo en la capacidad de la administración para cumplir sus funciones (ej. portales de trámites no esenciales pero frecuentes).
Confidencialidad Media: El sistema trata datos cuya revelación podría afectar negativamente la intimidad o los derechos de los ciudadanos de forma moderada.
La determinación de la categoría no es una elección; es una evaluación objetiva basada en el riesgo.
Alcance: ¿Qué entra dentro del ENS nivel medio?
Es fundamental que la consultoría de Esquema nacional de seguridad defina con precisión el alcance del sistema. Solo aquellos activos (servidores, aplicaciones, redes, personal, procedimientos) que intervienen directamente en el tratamiento de la información clasificada como nivel medio deben ser incluidos en la certificación. Una delimitación precisa del alcance:
Reduce el coste: Al centrar la inversión solo en lo imprescindible.
Optimiza la seguridad: Al garantizar que los esfuerzos no se diluyen en sistemas menos críticos.
Requisitos documentales y medidas específicas del ENS nivel medio
El ENS nivel medio exige un conjunto de medidas y documentos mucho más exhaustivo que el nivel Básico, lo que subraya su mayor rigor.
La documentación obligatoria
El cumplimiento en ENS nivel medio requiere la elaboración formal, aprobación y mantenimiento de una serie de documentos que demuestren la responsabilidad proactiva en la seguridad:
Política de seguridad: Compromiso formal de la alta dirección.
Declaración de Aplicabilidad (DdA): Detalla las medidas aplicadas. Para el nivel medio, la DdA debe justificar la aplicación de medidas de seguridad obligatorias y, cuando proceda, la exclusión de medidas no aplicables.
Análisis y gestión de riesgos: Se exige un análisis de riesgos más riguroso que en el nivel Básico, con planes de acción definidos para mitigar los riesgos de impacto medio.
Registro de actividad del sistema: Procedimientos detallados para la monitorización de eventos de seguridad.
Implementación de medidas de seguridad reforzadas
El ENS nivel medio conlleva la aplicación de un subconjunto específico de medidas de seguridad, muchas de ellas de naturaleza reforzada, frente al nivel Básico.
| Medida de Seguridad (Ejemplo) | ENS Nivel Básico | ENS Nivel Medio | Implicación en el Servicio |
| Control de Accesos | Identificación de usuarios. | Identificación fuerte/autenticación doble para operaciones críticas. | Requiere sistemas de autenticación multifactor (MFA). |
| Protección de la Información | Copias de seguridad básicas. | Copias de seguridad redundantes, cifradas y probadas regularmente. | Exige un plan de continuidad de negocio y recuperación ante desastres (DRP). |
| Monitorización | Registro de eventos básicos. | Revisión y análisis periódico de logs, con alertas automatizadas. | Necesidad de un sistema SIEM básico o una herramienta de gestión de logs. |
Una consultoría especializada en Esquema nacional de seguridad es la clave para identificar exactamente qué medidas deben aplicarse, evitando la sobre-implementación innecesaria o la omisión de controles críticos.
La obligatoriedad de la auditoría y el mantenimiento en ENS nivel medio
La diferencia más significativa entre el nivel Básico y el ENS nivel medio es la obligación legal de obtener un certificado de conformidad mediante auditoría externa.
El proceso de certificación en ENS nivel medio
Para sistemas de nivel medio, la obtención del certificado es un proceso de tres pasos:
Implantación: Aplicación de todas las medidas y elaboración documental.
Auditoría Externa: Realizada por una Entidad de Certificación Acreditada (ECC) que verifica el cumplimiento de las medidas y la documentación.
Certificado: Emitido tras el informe positivo de la auditoría.
El papel del consultor no termina en la implantación; es esencial que asista y acompañe a la organización durante la auditoría para responder a las observaciones del auditor y agilizar el proceso de certificación.
Mantenimiento y re-certificación obligatoria
El certificado de ENS nivel medio tiene una validez que exige una re-certificación periódica, normalmente cada dos años o, en su defecto, cada tres años para la categoría más reciente del Real Decreto 311/2022.
Revisión continua: El sistema debe ser evaluado y adaptado ante cualquier cambio tecnológico o normativo.
Auditoría de seguimiento: La consultoría ayuda a preparar las auditorías intermedias que garantizan que el sistema sigue cumpliendo con los requisitos del ENS nivel medio.
No mantener el sistema y la documentación al día anulará la validez del certificado y bloqueará la capacidad de la empresa para operar con las administraciones públicas.
Si su organización requiere la certificación en ENS nivel medio, necesita una estrategia que combine la experiencia legal con la solvencia técnica para asegurar que cada medida implementada es efectiva y auditable. Nuestro equipo de consultores se especializa en la implantación y certificación del Esquema Nacional de Seguridad, guiándole a través de los requisitos documentales y técnicos específicos de esta categoría. Evite el riesgo de una auditoría fallida y asegure su posición como proveedor del sector público. Confíe en nuestra experiencia para alcanzar y mantener el cumplimiento del ENS nivel medio con la máxima eficiencia y garantía.
Preguntas frecuentes sobre ENS nivel medio
¿Puede un sistema de ENS nivel medio pasar a nivel Alto?
Sí, un sistema de ENS nivel medio puede pasar a nivel Alto si el Análisis de Riesgos o una re-categorización posterior determinan que la información manejada ha aumentado su criticidad hasta el punto de considerarse de impacto Alto en alguna de las cinco dimensiones de seguridad. Esta transición implicaría la aplicación de medidas de seguridad adicionales y una nueva auditoría que certifique el cumplimiento total del nivel superior.
¿Es necesario contratar un DPD o un CISO para el ENS nivel medio?
Aunque el ENS en sí mismo no exige la figura del Delegado de Protección de Datos (DPD), sí exige la designación de un Responsable de la Información y un Responsable del Servicio, así como un Responsable de Seguridad. Para el ENS nivel medio, es altamente recomendable que el Responsable de Seguridad sea un profesional con alta cualificación (CISO o equivalente), ya sea interno o externo, dada la complejidad y la cantidad de controles a gestionar y monitorizar.
¿Si ya cumplo con el RGPD, cumplo automáticamente el ENS nivel medio?
No. El cumplimiento del RGPD (Reglamento General de Protección de Datos) es obligatorio para el tratamiento de datos personales, mientras que el ENS nivel medio se centra en la seguridad de la información y la prestación de servicios a la administración pública. Aunque la documentación y las medidas de seguridad son complementarias y se pueden aprovechar, el ENS tiene sus propios requisitos específicos, especialmente en lo relativo a la categorización, la Declaración de Aplicabilidad y los controles de seguridad que deben aplicarse a los sistemas de información.
