ENS nivel medio: medidas obligatorias y cómo preparar la auditoría
El Esquema Nacional de Seguridad (ENS) nivel medio es el estándar más solicitado por las Administraciones Públicas en sus licitaciones, especialmente para pymes tecnológicas y consultoras. Pero ¿qué medidas son obligatorias en el ENS nivel medio? ¿cómo preparar una auditoría de certificación sin morir en el intento? En este artículo desgloso las 5 categorías de medidas más exigentes y te doy la hoja de ruta para superar la auditoría.
¿Atascado? En Audidat ofrecemos un Diagnóstico Express gratuito de 45 minutos donde evaluamos tu nivel de cumplimiento actual. Y recuerda: el inicio en menos de 48h hábiles desde firma de contrato para ponernos manos a la obra.
Diferencias entre ENS nivel básico, medio y alto
Lo primero: el nivel medio exige más controles que el básico, pero no llega a la rigurosidad del alto. Resumen rápido:
- Básico: 19 medidas obligatorias (Anexo I + reducidas). Ideal para pequeñas pymes.
- Medio: 57 medidas obligatorias (todas las del Anexo I, excepto algunas del nivel alto). Incluye análisis de riesgos completo, plan de continuidad, y auditoría bienal.
- Alto: 77 medidas, auditoría anual, cifrado avanzado y requisitos de integridad física.
Para la mayoría de pymes que facturan con el Estado (proveedores de servicios tecnológicos, consultoría, gestorías), el nivel medio es el adecuado. El coste de certificación nivel medio ya lo viste en el post anterior.
Medidas obligatorias clave en ENS nivel medio
El ENS se organiza en 5 categorías (marco organizativo, operacional, de protección, de seguridad de personal, de continuidad). En nivel medio destacan estas medidas:
Categoría organización (ORG)
Política de seguridad documentada, análisis de riesgos conforme a MAGERIT (nivel medio/alto), declaración de aplicabilidad (DA), plan de seguridad, auditoría interna periódica, y revisión por la dirección.
Categoría operaciones (OP)
Gestión de incidentes con registro y notificación al CCN-CERT, gestión de cambios, protección frente a código malicioso, copias de seguridad diarias con retención mínima mensual, y gestión de vulnerabilidades.
Categoría protección (PRO)
Control de acceso basado en roles (RBAC), autenticación reforzada (doble factor al menos para accesos externos), registro de logs con trazabilidad, cifrado de comunicaciones TLS 1.3, y seguridad perimetral (firewall e IDS/IPS).
Categoría personal (PERS)
Procedimiento de onboarding/offboarding seguro, cláusulas de confidencialidad, formación anual en seguridad, y régimen disciplinario.
Categoría continuidad (CON)
Plan de continuidad de negocio con pruebas anuales, plan de recuperación de desastres (RTO/RDP definidos), y centros alternativos si aplica.
Cómo preparar la auditoría del ENS nivel medio
La auditoría de certificación la realiza una entidad acreditada por ENAC (Aenor, Applus, etc.). Sigue estos pasos para no suspender:
- Preauditoría interna: contrata a un consultor externo (nosotros podemos hacerla) que simule la auditoría oficial y detecte no conformidades.
- Documentación completa: la mayoría de fallos vienen por falta de evidencias (registros de formación, logs, actas del plan de continuidad).
- Forma a todo el personal: cada empleado debe saber su rol en seguridad. Los auditores preguntan aleatoriamente.
- Revisa el alcance: no intentes certificar todo de golpe. Elige un sistema o departamento piloto.
- Corrige las no conformidades mayores: si el auditor detecta una grave (ej. ausencia de copias de seguridad), el proceso se para.
¿Quieres saber si estás listo para la auditoría? Solicita tu diagnóstico express gratuito a través de este enlace.
Preguntas frecuentes sobre ENS nivel medio
¿Cuántas medidas tiene el ENS nivel medio exactamente?
Según el Anexo I del Real Decreto 311/2022, el nivel medio exige cumplir 57 medidas de seguridad (de un total de 77). Las que no se aplican se justifican en la declaración de aplicabilidad.
¿El ENS nivel medio exige un SGSI como ISO 27001?
No exige certificación ISO 27001, pero sí un Sistema de Gestión de Seguridad documentado equivalente. De hecho, si ya tienes ISO 27001, estás cerca del 70% del ENS medio.
¿Cada cuánto se repite la auditoría de ENS nivel medio?
Cada dos años (bienal). Pero la entidad de certificación hará una auditoría de seguimiento anual (más ligera) para verificar que se mantienen las medidas.
¿Puedo preparar la auditoría sin consultoría?
Si tienes un equipo interno muy cualificado (oficial de seguridad, informático con experiencia en ENS), sí. Pero la mayoría de pymes necesitan apoyo externo al menos en la preauditoría.
¿Qué pasa si no supero la auditoría de ENS nivel medio?
No obtienes el certificado. Puedes subsanar las no conformidades en un plazo (normalmente 3 meses) y pagar una nueva visita parcial. Mejor invertir en preparación previa.
¿El ENS nivel medio es obligatorio para proveedores de la Administración?
Solo si el pliego de condiciones lo exige. Desde 2024, muchos pliegos de servicios tecnológicos de valor superior a 100.000€ lo requieren expresamente. Sin certificación, quedas excluido.