ENS — Esquema Nacional de Seguridad

¿Qué es?

El Esquema Nacional de Seguridad (ENS) es el marco legal español que establece la política de seguridad para la utilización de medios electrónicos en el sector público. Creado por RD 3/2010, actualizado por RD 2022.

NO es opcional si tu SaaS trata con datos del sistema nacional de salud o AAPP.

¿Te afecta?

TU SAAS VENDE A...
    │
    ├── Hospital público / Centro de salud público
    │   → ✅ OBLIGATORIO cumplir ENS
    │   → El hospital te exigirá adecuación ENS
    │
    ├── Clínica privada
    │   → ❌ No obligatorio directamente
    │   → ⚠️ Pero si la clínica trata datos del SNS, puede exigírtelo
    │
    └── Directo al paciente (B2C)
        → ❌ No obligatorio
        → 🟢 Pero es un diferenciador tenerlo

Categorías de seguridad

Según el tipo de información, se determina la categoría del sistema:

Dimensión	BAJO	MEDIO	ALTO
Confidencialidad	Datos personales sin categoría especial	Datos de salud	Datos de salud + genéticos
Integridad	Datos administrativos	HC, recetas	Diagnósticos críticos
Disponibilidad	Interrupción asumible	Pérdida significativa	Riesgo vital

🔑 Para tu SaaS: Datos de salud casi siempre = NIVEL ALTO en confidencialidad.

3 principios fundamentales del ENS

1. Seguridad como proceso integral

No es un añadido. La seguridad se integra en todo el ciclo de vida.

2. Gestión de riesgos

Basado en MAGERIT (Metodología de Análisis y Gestión de Riesgos).

MAGERIT PASOS:
1. Identificar activos (servidores, BD, apps, personas)
2. Evaluar amenazas (hackers, errores, desastres)
3. Analizar riesgos (impacto × probabilidad)
4. Tratar riesgos (mitigar, transferir, aceptar)
5. Documentar (Declaración de Aplicabilidad)

3. Prevención, detección y respuesta

No basta con prevenir. Hay que detectar intrusiones y responder.

Medidas del ENS

El ENS define medidas organizativas en 3 grupos:

Grupo 1: Marco organizativo

[org.1] Política de seguridad
[org.2] Normativa de seguridad
[org.3] Procedimientos de seguridad
[org.4] Proceso de autorización

Grupo 2: Marco operacional

[op.1] Plan de formación y concienciación
[op.2] Gestión de personal
[op.3] Gestión de activos
[op.4] Gestión de incidentes
[op.5] Continuidad de operaciones
[op.6] Monitorización

Grupo 3: Medidas de protección

[mp.1] Control de accesos (RBAC + 2FA)
[mp.2] Cifrado (AES-256, TLS 1.3)
[mp.3] Logs de auditoría
[mp.4] Separación de entornos (dev/test/prod)
[mp.5] Copias de seguridad
[mp.6] Gestión de soportes (borrado seguro)
[mp.7] Protección frente a código dañino
[mp.8] Seguridad perimetral (firewall, WAF)
[mp.9] Gestión de comunicaciones

Aspecto	ENS	GDPR
Seguridad	Medidas ENS según categoría	Art. 32 medidas técnicas
Breaches	Procedimiento ENS	Art. 33-34 notificación
Accesos	RBAC + logs (mp.1, mp.3)	Art. 5.1(f) integridad
Formación	Op.1 formación continua	Art. 32.4 concienciación
Auditoría	Auditoría periódica obligatoria	Accountability Art. 5.2

ENS para tu SaaS: Qué necesitas

Nivel BÁSICO (mínimo para empezar)

□ Política de seguridad documentada
□ Nombramiento de responsable de seguridad
□ Análisis de riesgos básico
□ Control de accesos (RBAC)
□ Copias de seguridad
□ Gestión de incidentes
□ Formación básica

Nivel MEDIO (añade)

□ Análisis de riesgos detallado (MAGERIT)
□ Cifrado de comunicaciones y almacenamiento
□ Logs de auditoría detallados
□ Separación de entornos
□ Plan de continuidad
□ Pruebas de seguridad periódicas

Nivel ALTO (añade — el tuyo)

□ Autenticación robusta (2FA obligatorio)
□ Cifrado de extremo a extremo
□ Logs inmutables + revisión periódica
□ Continuidad de negocio (BCP + DRP)
□ Auditorías de seguridad externas
□ Protección frente a código dañino avanzado
□ Cifrado de backups off-site

Proceso de adecuación ENS

1. DETERMINAR categoría del sistema (BAJO/MEDIO/ALTO)
2. REALIZAR análisis de riesgos MAGERIT
3. IDENTIFICAR medidas aplicables según categoría
4. IMPLEMENTAR medidas
5. DOCUMENTAR Declaración de Aplicabilidad (SoA)
6. AUDITAR (interna o externa)
7. REPORTAR a la autoridad competente
8. MANTENER (mejora continua, re-evaluación periódica)

ENS + ISO 27001: Equivalencias

Buenas noticias: si tienes ISO 27001, ya tienes gran parte del ENS hecho.

ENS	ISO 27001
Análisis de riesgos MAGERIT	Anexo A (controles)
Política de seguridad	A.5 Políticas de seguridad
Control de accesos	A.9 Control de acceso
Cifrado	A.10 Criptografía
Seguridad física	A.11 Seguridad física
Continuidad	A.17 Continuidad de negocio
Auditoría	A.12.7 Monitorización

🔑 Estrategia: Primero ISO 27001 → luego adecuación ENS (es más barato y rápido al revés).

Referencias

^[raw/papers/ens-real-decreto-3-2010-consolidado.pdf] — RD 3/2010 original
^[raw/papers/ens-real-decreto-2022-actualizacion.pdf] — Actualización 2022
certificaciones
saas-salud-compliance
arquitectura-datos-segura

Wiki

Explorador

ENS — Esquema Nacional de Seguridad (RD 3/2010 + RD 2022)

ENS — Esquema Nacional de Seguridad

¿Qué es?

¿Te afecta?

Categorías de seguridad

3 principios fundamentales del ENS

1. Seguridad como proceso integral

2. Gestión de riesgos

3. Prevención, detección y respuesta

Medidas del ENS

Grupo 1: Marco organizativo

Grupo 2: Marco operacional

Grupo 3: Medidas de protección

ENS para tu SaaS: Qué necesitas

Nivel BÁSICO (mínimo para empezar)

Nivel MEDIO (añade)

Nivel ALTO (añade — el tuyo)

Proceso de adecuación ENS

ENS + ISO 27001: Equivalencias

Referencias

Vista Gráfica

Tabla de Contenidos

Retroenlaces

Wiki

Explorador

ENS — Esquema Nacional de Seguridad (RD 3/2010 + RD 2022)

ENS — Esquema Nacional de Seguridad

¿Qué es?

¿Te afecta?

Categorías de seguridad

3 principios fundamentales del ENS

1. Seguridad como proceso integral

2. Gestión de riesgos

3. Prevención, detección y respuesta

Medidas del ENS

Grupo 1: Marco organizativo

Grupo 2: Marco operacional

Grupo 3: Medidas de protección

ENS + GDPR: Convivencia

ENS para tu SaaS: Qué necesitas

Nivel BÁSICO (mínimo para empezar)

Nivel MEDIO (añade)

Nivel ALTO (añade — el tuyo)

Proceso de adecuación ENS

ENS + ISO 27001: Equivalencias

Referencias

Vista Gráfica

Tabla de Contenidos

Retroenlaces