El ENS en el sector público español: la actualización de 2026

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, es el marco de seguridad que los organismos del sector público en España —y los proveedores privados que les dan servicio— deben cumplir. Para un departamento de informática municipal, el ENS no es política abstracta; es una obligación concreta que da forma a la contratación, la arquitectura y las operaciones del día a día. Con el marco aún asentándose, este es un buen momento para traducirlo a términos de parque tecnológico.

Categorizar sus sistemas

El ENS funciona por categorías. Cada sistema se clasifica —Básico, Medio o Alto— en función del impacto que tendría un incidente de seguridad en las dimensiones de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. La categoría determina el conjunto de medidas de seguridad que debe implantar; cuanto más alta la categoría, más exigentes los controles. La primera tarea práctica para cualquier administración es, por tanto, una categorización honesta de sus sistemas, porque sobreclasificar desperdicia recursos escasos y subclasificar le deja expuesto e incumplidor.

Trasladarlo a un parque municipal

El parque TIC de un ayuntamiento típico abarca varias categorías a la vez:

• Los servicios orientados al ciudadano (el registro electrónico, los trámites en línea, los portales de pago) suelen situarse en Medio, a veces en Alto, porque la disponibilidad y la integridad afectan directamente a los derechos de la ciudadanía.
• Los sistemas administrativos internos —gestión documental, RR. HH., finanzas— normalmente quedan en Medio dadas los datos personales que albergan.
• La infraestructura de soporte (red, identidad, copias de seguridad) hereda la categoría del sistema más sensible al que sirve, que es donde muchas administraciones se quedan cortas en el alcance.

El error más común que vemos es categorizar con cuidado las aplicaciones visibles mientras se trata la infraestructura compartida que las sostiene como una idea de última hora. Un servicio de categoría Alta funcionando sobre cimientos de categoría Básica no cumple el ENS, y no es seguro.

Dónde se atascan las administraciones más pequeñas

Las limitaciones de recursos son el tema recurrente. Los municipios más pequeños carecen con frecuencia de una función de seguridad dedicada, dependen en gran medida de proveedores externos y tienen dificultades para mantener la evidencia continua que el ENS espera. Tres movimientos ayudan de forma desproporcionada: exigir que los proveedores demuestren por escrito su propia conformidad con el ENS, apoyarse en los recursos compartidos y reutilizables que ofrecen el marco y los organismos nacionales en lugar de construirlo todo internamente, y tratar la autoevaluación o auditoría requerida como una herramienta de planificación a lo largo del año en vez de como un obstáculo de una sola vez.

El ENS premia a las administraciones que lo tratan como un modelo operativo y no como un certificado. Acierte con la categorización, extienda el mismo rigor a la capa de infraestructura, exija a sus proveedores el mismo estándar, y la obligación de cumplimiento se convierte en una mejora genuina de la seguridad de los servicios públicos, que es, al fin y al cabo, de lo que se trata.