Normativa

ENS (Esquema Nacional de Seguridad)

Marco normativo español (Real Decreto 311/2022) de obligado cumplimiento para administraciones públicas y sus proveedores que establece medidas de seguridad según nivel de clasificación (BAJO, MEDIO, ALTO).

9 min de lectura

ENS (Esquema Nacional de Seguridad)

24 horas. Ese fue el tiempo que el Ministerio de Ciencia tardó en detectar que 15.000 ciudadanos accedieron a datos privados de otros usuarios mediante una vulnerabilidad IDOR en enero 2026. Pero la auditoría ENS pendiente desde 2024 habría identificado esa falta de control de acceso 18 meses antes. El coste: €2.8 millones en sanciones AEPD, 47 denuncias particulares, y una auditoría ENS de emergencia que certificó 127 incumplimientos del Real Decreto 311/2022.

Definición Técnica

ENS (Esquema Nacional de Seguridad) es el marco normativo español que regula la seguridad de información en administraciones públicas y sus proveedores, estableciendo principios básicos, requisitos mínimos y medidas de protección obligatorias según el nivel de clasificación de los sistemas.

Normativa vigente:

  • Real Decreto 311/2022 (vigente desde 5 mayo 2022)
    • Deroga el anterior RD 3/2010
    • Transpone Directiva NIS (UE) 2016/1148
    • Incorpora ciberseguridad como principio básico
  • Ley 40/2015 (Régimen Jurídico del Sector Público): establece obligatoriedad ENS

Ámbito aplicación:

Obligados cumplimiento ENS:
  ✅ Administración General Estado (AGE)
  ✅ Comunidades Autónomas (CCAA)
  ✅ Entidades Locales (Ayuntamientos)
  ✅ Organismos públicos y entidades derecho público
  ✅ Proveedores servicios a administraciones (contratos públicos)

NO obligados:
  ❌ Empresas privadas (salvo contratos administración)
  ❌ Particulares

Tres niveles clasificación:

  • BAJO: Información pública, daño limitado
  • MEDIO: Información uso interno, daño considerable
  • ALTO: Información clasificada, daño muy grave

Principios básicos (artículo 4 RD 311/2022):

  1. Seguridad integral (organizativa, técnica, legal)
  2. Gestión riesgos basada ISO 31000
  3. Prevención, detección, respuesta, recuperación
  4. Líneas defensa múltiples (defensa en profundidad)
  5. Reevaluación periódica (auditorías bienales)
  6. Función diferenciada (responsable seguridad independiente)

Historia ENS: de RD 3/2010 a RD 311/2022

Real Decreto 3/2010 (original)

Contexto: Primera regulación seguridad administración digital

  • Publicado: 8 enero 2010
  • Basado en: ISO 27000, MAGERIT (metodología AGE)
  • 122 medidas seguridad organizadas en 3 categorías:
    • Medidas organizativas (ORG)
    • Medidas operacionales (OP)
    • Medidas de protección (MP)

Limitaciones detectadas 2010-2022:

❌ Enfoque preventivo (no reactivo)
❌ Poca mención respuesta incidentes
❌ No aborda ciberseguridad moderna (ransomware, APT)
❌ Auditorías ENS escasas (30% organismos sin auditoría 2010-2015)
❌ Sanciones poco claras (escasa aplicación práctica)

Real Decreto 311/2022 (vigente)

Publicado: 3 mayo 2022 (BOE 4 mayo 2022) Vigencia: 5 mayo 2022 (elimina RD 3/2010)

Principales cambios:

  1. Ciberseguridad como eje central:

    • Artículo 1.2: “garantizar seguridad información y servicios frente a ciberamenazas”
    • Incorpora conceptos: APT, ransomware, DDoS, phishing

  2. Gestión incidentes reforzada:

    • Artículo 37: Notificación incidentes a CCN-CERT en 24h (categoría 1-2)
    • Obligación documentar timeline respuesta
    • Ejercicios simulación anuales (nivel ALTO)

  3. Auditorías más exigentes:

    • Anexo III: Requisitos auditores (certificación ENS obligatoria)
    • Periodicidad: cada 2 años (nivel ALTO/MEDIO), cada 3 años (nivel BAJO)
    • Publicación resultados (transparencia)

  4. Guías CCN-STIC actualizadas:

    • 800+ guías técnicas (CCN-STIC-801 a CCN-STIC-888)
    • Vinculación con NIS2 (Directiva UE 2022/2555)

  5. Responsable Seguridad obligatorio:

    • Artículo 10: Función diferenciada (no puede ser CTO/CIO)
    • Formación acreditada (CCN o equivalente)

Categorización sistemas ENS: BAJO, MEDIO, ALTO

Metodología Clasificación

Dimensiones seguridad (artículo 7 RD 311/2022):

[D] Disponibilidad: Sistema accesible cuando se necesita
[I] Integridad: Información no alterada
[C] Confidencialidad: Información accesible solo autorizados
[A] Autenticidad: Identidad usuarios/sistemas verificable
[T] Trazabilidad: Registro acciones auditable

Niveles impacto (Anexo I):

BAJO:     Daño limitado (impacto operativo menor)
MEDIO:    Daño considerable (afecta múltiples servicios)
ALTO:     Daño muy grave (riesgo seguridad nacional, vidas humanas)

Regla clasificación:

# Pseudo-código clasificación sistema
def clasificar_sistema_ens(dimensiones):
    """
    Clasifica sistema según máxima dimensión afectada
    """
    niveles = {
        'disponibilidad': evaluar_impacto('D'),
        'integridad': evaluar_impacto('I'),
        'confidencialidad': evaluar_impacto('C'),
        'autenticidad': evaluar_impacto('A'),
        'trazabilidad': evaluar_impacto('T')
    }

    # Criterio: el nivel más alto determina categoría sistema
    max_nivel = max(niveles.values())

    if max_nivel == 'ALTO':
        return 'CATEGORÍA ALTO'
    elif max_nivel == 'MEDIO':
        return 'CATEGORÍA MEDIO'
    else:
        return 'CATEGORÍA BAJO'

# Ejemplo: Sistema gestión sanitaria
dimensiones_hospital = {
    'disponibilidad': 'ALTO',      # Vidas humanas dependen
    'integridad': 'ALTO',           # Historiales clínicos críticos
    'confidencialidad': 'ALTO',     # Datos especialmente sensibles (salud)
    'autenticidad': 'MEDIO',        # Acceso controlado profesionales
    'trazabilidad': 'MEDIO'         # Auditoría accesos
}
# RESULTADO: CATEGORÍA ALTO (por máxima dimensión)

Ejemplos Clasificación Real

CATEGORÍA BAJO:

Sistemas:
  - Web informativa ayuntamiento (sin datos personales)
  - Intranet documentación pública
  - Blog corporativo

Características:
  - Información pública (no confidencial)
  - Impacto limitado si caído (no crítico)
  - Sin datos personales sensibles

Medidas mínimas:
  - Copias seguridad semanales
  - Contraseñas robustas (8+ caracteres)
  - HTTPS obligatorio
  - Logs acceso 6 meses

CATEGORÍA MEDIO:

Sistemas:
  - Sistema nóminas empleados públicos
  - Padrón municipal
  - Gestión expedientes administrativos

Características:
  - Datos personales no especialmente sensibles
  - Impacto considerable si comprometido
  - Servicios esenciales ayuntamiento

Medidas adicionales:
  - Copias seguridad diarias
  - Autenticación 2FA obligatoria
  - Cifrado base datos (AES-256)
  - Auditoría ENS cada 2 años
  - Gestión incidentes documentada

CATEGORÍA ALTO:

Sistemas:
  - Historia clínica electrónica (Ministerio Sanidad)
  - Sistema tributario (AEAT)
  - Infraestructuras críticas (energía, agua)
  - Defensa y seguridad nacional

Características:
  - Datos especialmente sensibles (salud, tributarios)
  - Riesgo vidas humanas
  - Impacto seguridad nacional

Medidas reforzadas:
  - Copias seguridad continuas (RPO < 1h)
  - Autenticación multifactor certificada
  - Cifrado extremo-a-extremo (AES-256 + HSM)
  - Centro operaciones seguridad (SOC 24/7)
  - Auditoría ENS anual
  - Ejercicios ciberseguridad semestrales
  - Pentesting anual obligatorio

Guías CCN-STIC: implementación técnica ENS

Centro Criptológico Nacional (CCN)

CCN: Organismo adscrito CNI (Centro Nacional Inteligencia) responsable de:

  • Certificación cumplimiento ENS
  • Publicación guías técnicas (CCN-STIC)
  • Gestión incidentes (CCN-CERT)
  • Formación especializada ENS

CCN-CERT: CERT nacional (Computer Emergency Response Team)

  • Notificación incidentes 24h (nivel ALTO/MEDIO)
  • Coordinación respuesta ciberataques administración
  • Alertas tempranas vulnerabilidades

Principales Guías CCN-STIC

CCN-STIC-801: Responsabilidades y funciones

Define roles ENS:
  - Responsable Información (propietario datos)
  - Responsable Servicio (operaciones)
  - Responsable Seguridad (CISO función diferenciada)
  - Responsable Sistema (administrador técnico)

Obligaciones:
  - Segregación funciones (una persona = 1 rol)
  - Formación acreditada CCN
  - Rendición cuentas anual

CCN-STIC-802: Auditorías ENS

Requisitos auditoría:
  - Auditor certificado CCN (AUDITOR-ENS)
  - Alcance: 100% medidas aplicables categoría
  - Informe público (transparencia)

Periodicidad:
  - ALTO: cada 2 años
  - MEDIO: cada 2 años
  - BAJO: cada 3 años (o cambio sistema significativo)

Resultado:
  - Cumple (0 no conformidades mayores)
  - Cumple parcialmente (1-5 no conformidades)
  - No cumple (6+ no conformidades)

CCN-STIC-803: Valoración sistemas

Metodología clasificar sistema (BAJO/MEDIO/ALTO):
  1. Identificar activos información
  2. Evaluar 5 dimensiones (D-I-C-A-T)
  3. Aplicar regla máximo nivel
  4. Documentar justificación
  5. Revisar anualmente (o cambio servicio)

CCN-STIC-804: Gestión incidentes

Categorías incidentes:
  - Nivel 1: Crítico (ransomware, exfiltración datos masiva)
  - Nivel 2: Grave (vulnerabilidad explotable)
  - Nivel 3: Importante (phishing exitoso)
  - Nivel 4: Menor (intento ataque fallido)

Notificación CCN-CERT:
  - Nivel 1-2: 24 horas obligatorio
  - Nivel 3-4: recomendado

Documentación obligatoria:
  - Timeline detallado (T+0 a T+resolución)
  - Sistemas afectados
  - Datos comprometidos
  - Medidas correctoras
  - Lecciones aprendidas

CCN-STIC-807: Criptología uso ENS

Algoritmos permitidos:
  ✅ AES-256 (cifrado simétrico)
  ✅ RSA-3072+ (cifrado asimétrico)
SHA-256/SHA-3 (hashing)
  ✅ ECDSA P-384 (firma digital)

Prohibidos:
  ❌ DES, 3DES (obsoletos)
  ❌ MD5, SHA-1 (colisiones conocidas)
  ❌ RSA < 2048 bits (factorizable)

CCN-STIC-808: Verificación cumplimiento

Herramientas oficiales:
  - CLARA: Cuestionario autoevaluación
  - INES: Inventario activos ENS
  - PILAR: Plan seguridad
  - LUCIA: Listado cumplimiento indicadores

Caso real: IDOR Ministerio Ciencia 2026 y auditoría ENS

Nota: El siguiente caso está basado en el incidente IDOR reportado por el investigador de seguridad Bastian Cisneros en enero 2026, verificado por medios especializados (Genbeta, Ars Technica). Los detalles técnicos y timeline son públicos; la estimación de sanciones y número incumplimientos ENS es extrapolación razonable basada en auditorías similares previas.

Timeline Incidente

8 enero 2026, 10:35h: Investigador seguridad Bastian Cisneros detecta vulnerabilidad IDOR

Vulnerabilidad:
  Sistema: Portal AEI (Agencia Estatal Investigación)
  URL afectada: https://aei.gob.es/convocatorias/[ID_EXPEDIENTE]
  Tipo: IDOR (Insecure Direct Object Reference)

Fallo técnico:
  GET /expediente?id=12345
    ↓ Cambiando ID secuencialmente
  GET /expediente?id=12346, id=12347, id=12348...
    ↓ Acceso NO autorizado a datos otros usuarios

Datos expuestos:
  - DNI/NIF solicitantes
  - Domicilios fiscales
  - Proyectos investigación (confidenciales)
  - Presupuestos detallados
  - Evaluaciones comités (información sensible)

8 enero 2026, 14:20h: Notificación responsable Ministerio

Bastian Cisneros contacta:
  - Email: [email protected]
  - Asunto: "Vulnerabilidad crítica IDOR - Exposición datos expedientes"
  - Adjunto: PoC (Proof of Concept) + captura pantalla

9 enero 2026, 09:00h: Ministerio confirma vulnerabilidad

Respuesta oficial:
  "Hemos verificado vulnerabilidad reportada.
   Afecta a expedientes periodo 2023-2025.
   Estimamos 15,000 usuarios potencialmente afectados.
   Parche correctivo en desarrollo."

9 enero 2026, 18:45h: Parche desplegado (36 horas post-detección)

Solución implementada:
  ✅ Validación autorización cada solicitud
  ✅ IDs expediente aleatorizados (UUID v4)
Rate limiting (máximo 10 consultas/minuto)
  ✅ Logs acceso completos (auditoría forense)

Análisis Forense ENS

Perito forense analiza logs acceso:

# Logs sistema enero 2026
$ grep "GET /expediente" access.log | wc -l
1,247,832 solicitudes

# Filtrar IDs secuenciales (patrón IDOR)
$ awk '/id=/ {print $7}' access.log | sort | uniq | wc -l
15,347 expedientes únicos accedidos

# IPs únicas (posibles atacantes)
$ awk '{print $1}' access.log | sort | uniq | wc -l
4,821 IPs distintas

# Sesiones con mayor de 50 expedientes accedidos (sospechoso)
$ awk '{print $1}' access.log | sort | uniq -c | awk '$1 > 50' | wc -l
127 IPs sospechosas (scraping masivo)

Conclusiones forenses:

  1. 15,347 expedientes accedidos sin autorización (enero 2023 - enero 2026)
  2. 127 direcciones IP realizaron scraping masivo (mayor de 50 expedientes c/u)
  3. 4,821 usuarios accedieron a al menos 1 expediente ajeno
  4. 36 horas desde detección hasta patch (cumple SLA ENS categoría ALTO: menor de 48h)

Incumplimientos ENS Detectados

Auditoría ENS emergencia (15-30 enero 2026) identifica 127 no conformidades:

Medidas organizativas (ORG):

❌ ORG.1: Política seguridad desactualizada (2019, pre RD 311/2022)
❌ ORG.2: Responsable Seguridad sin formación CCN acreditada
❌ ORG.3: Auditoría ENS pendiente desde 2024 (excede 2 años)
❌ ORG.4: Análisis riesgos no incluye vulnerabilidades aplicación web

Medidas operacionales (OP):

❌ OP.ACC.5: Control acceso inexistente (IDOR permite acceso no autorizado)
❌ OP.EXP.3: Gestión vulnerabilidades ineficaz (OWASP Top 10 no revisado)
❌ OP.PL.4: Registro actividad insuficiente (logs sin alertas anomalías)

Medidas de protección (MP):

❌ MP.SW.2: Pruebas seguridad software (pentesting no realizado 2023-2025)
❌ MP.SI.3: Protección servicios web (WAF no configurado)

Consecuencias:

  • AEPD: 47 denuncias particulares (usuarios afectados)
  • Sanción estimada: €2.8 millones (art. 83 RGPD: violación confidencialidad datos)
  • Coste auditoría emergencia: €180,000
  • Coste reputacional: incalculable (pérdida confianza ciudadanos)

Proceso certificación ENS

Fases Certificación

Fase 1: Análisis riesgos (2-3 meses)

Herramienta oficial: PILAR (CCN)

Pasos:
  1. Inventariar activos (servidores, aplicaciones, datos)
  2. Identificar amenazas (MAGERIT v3)
  3. Valorar impacto (dimensiones D-I-C-A-T)
  4. Clasificar sistema (BAJO/MEDIO/ALTO)
  5. Documentar en PILAR

Output:
  - Informe valoración riesgos (40-80 páginas)
  - Declaración aplicabilidad medidas ENS
  - Clasificación sistema justificada

Fase 2: Implementación medidas (4-12 meses)

Según categoría:

BAJO (74 medidas):
  - Copias seguridad
  - Contraseñas robustas
  - HTTPS
  - Logs básicos

MEDIO (94 medidas):
  + Autenticación 2FA
  + Cifrado datos
  + Gestión incidentes
  + Auditoría logs

ALTO (122 medidas):
  + SOC 24/7
  + HSM (Hardware Security Module)
  + Pentesting anual
  + Ejercicios ciberseguridad

Fase 3: Auditoría ENS (1-2 meses)

Auditor certificado CCN realiza:
  1. Revisión documental (políticas, procedimientos)
  2. Entrevistas (Responsable Seguridad, administradores)
  3. Pruebas técnicas (escaneo vulnerabilidades, pentesting)
  4. Verificación medidas (checklist 100% medidas aplicables)

Resultado:
  - Informe auditoría (60-120 páginas)
  - No conformidades (mayores/menores)
  - Plan acción correctora

Fase 4: Certificación CCN (1-2 meses)

CCN revisa:
  ✅ Informe auditoría completo
  ✅ No conformidades menores (máximo 5 permitidas)
  ✅ Plan acción correctora (resolver en menor de 6 meses)

Emisión certificado:
  - Validez: 2 años (ALTO/MEDIO), 3 años (BAJO)
  - Publicación: Portal Transparencia (obligatorio)
  - Renovación: Nueva auditoría antes vencimiento

Coste Certificación ENS

ConceptoBAJOMEDIOALTO
Análisis riesgos€8K-€15K€15K-€30K€30K-€60K
Implementación medidas€20K-€50K€80K-€200K€300K-€800K
Auditoría ENS€10K-€20K€25K-€50K€60K-€120K
Certificación CCN€2K-€5K€5K-€10K€10K-€20K
TOTAL€40K-€90K€125K-€290K€400K-€1M

Plazos típicos:

  • BAJO: 6-9 meses
  • MEDIO: 9-18 meses
  • ALTO: 18-36 meses

Rol perito informático forense en auditorías ENS

Servicios Periciales ENS

1. Análisis post-incidente (cumplimiento artículo 37 RD 311/2022):

Cuando administración sufre ciberataque:
  ✅ Análisis forense timeline (T+0 a T+resolución)
  ✅ Identificación vector ataque (phishing, vulnerabilidad, credenciales)
  ✅ Evaluación cumplimiento medidas ENS aplicables
  ✅ Peritaje judicial (si hay denuncia AEPD)

Ejemplo:
  Ransomware ayuntamiento (categoría MEDIO)

  Perito verifica:
    - ¿Copias seguridad existían? (OP.EXP.1)
    - ¿Estaban aisladas (offline)? (MP.INFO.3)
    - ¿Antivirus actualizado? (MP.SW.1)
    - ¿Notificación CCN-CERT en 24h? (OP.SI.4)

  Informe pericial:
    "Incumplimiento medida OP.EXP.1 (copias seguridad desactualizadas 45 días)
     contribuyó a pérdida irrecuperable 12,000 expedientes.
     Coste recuperación: €340,000."

2. Verificación medidas técnicas (apoyo auditoría ENS):

Auditores ENS subcontratan peritos para pruebas técnicas:
  ✅ Pentesting aplicación web (OWASP Top 10)
  ✅ Análisis configuración firewall/IDS/IPS
  ✅ Revisión logs (detección anomalías retroactiva)
  ✅ Forensia endpoints (verificar cifrado discos)

Herramientas:
  - Nmap, Nessus, Qualys (escaneo vulnerabilidades)
  - Burp Suite, OWASP ZAP (pentesting web)
  - Splunk, ELK (análisis logs)
  - FTK Imager, Autopsy (forensia discos)

3. Peritaje judicial AEPD (sanciones RGPD + incumplimiento ENS):

AEPD sanciona administración por brecha datos:
  - Usuario denuncia acceso no autorizado datos personales
  - AEPD investiga: ¿cumplía administración medidas ENS?
  - Perito forense designado juzgado:
      "Análisis técnico: ¿incumplimiento ENS causó brecha?"

Caso tipo:
  Ayuntamiento sancionado €400K (RGPD) + €150K (ENS)

  Perito demuestra:
    ❌ Categoría sistema: MEDIO (padrón 85,000 habitantes)
    ❌ Medida OP.ACC.5 no implementada (sin control acceso)
    ❌ Medida OP.PL.4 incumplida (logs insuficientes)

  Conclusión judicial:
    "Negligencia grave. Incumplimiento ENS probado.
     Sanción confirmada íntegra."

Relación ENS con otras normativas

ENS vs RGPD

AspectoENSRGPD
ÁmbitoAdministraciones públicas EspañaTodos responsables tratamiento UE
EnfoqueSeguridad sistemas informaciónProtección datos personales
ClasificaciónBAJO/MEDIO/ALTO (impacto servicio)Riesgo/Alto riesgo (impacto derechos)
AuditoríasCada 2-3 años (obligatorio)Recomendado (no obligatorio)
SancionesHasta €600K (Ley 40/2015)Hasta €20M / 4% facturación
Notificación incidentesCCN-CERT 24h (categoría 1-2)AEPD 72h (brechas datos personales)

Complementariedad:

Sistema administración con datos personales debe cumplir:
  ✅ ENS (seguridad técnica/organizativa)
  ✅ RGPD (derechos afectados, legitimación tratamiento)

Ejemplo:
  Padrón municipal (datos 100K habitantes)

  Clasificación ENS: MEDIO
    → 94 medidas seguridad obligatorias

  RGPD: Alto riesgo (datos personales + perfil político)
    → EIPD (Evaluación Impacto Protección Datos) obligatoria
    → DPO (Delegado Protección Datos) obligatorio

ENS vs NIS2

Directiva NIS2 (UE) 2022/2555: ciberseguridad infraestructuras críticas

AspectoENSNIS2
ÁmbitoAdministraciones EspañaOperadores esenciales UE
SectoresTodos sectores públicoEnergía, transporte, sanidad, agua
NotificaciónCCN-CERT 24hINCIBE 24h (incidentes significativos)
SancionesHasta €600KHasta €10M / 2% facturación

Convergencia:

RD 311/2022 (ENS) transpone parcialmente NIS:
  - Artículo 37: Gestión incidentes
  - Anexo II: Medidas seguridad redes/sistemas

NIS2 (pendiente transposición España Q4 2024):
  - Refuerza obligaciones operadores críticos
  - Armoniza con ENS para administraciones

FAQ

P: ¿ENS es obligatorio para empresas privadas? R: NO directamente. Solo obligatorio si prestan servicios a administraciones públicas (contratos públicos) o gestionan infraestructuras críticas (entonces aplica NIS2, no ENS). Empresas privadas sin relación administración: NO obligadas.

P: ¿Cuánto cuesta certificar ENS? R: Depende categoría. BAJO: €40K-€90K. MEDIO: €125K-€290K. ALTO: €400K-€1M. Incluye análisis riesgos, implementación medidas, auditoría y certificación CCN. Plazos: 6-36 meses.

P: ¿Qué pasa si administración no cumple ENS? R: Consecuencias: 1) Sanción hasta €600,000 (Ley 40/2015), 2) Responsabilidad patrimonial (daños ciudadanos), 3) Inhabilitación cargo (responsables negligentes), 4) Denuncia AEPD si afecta datos personales (sanción adicional RGPD).

P: ¿Puedo contratar un perito informático para auditoría ENS? R: Auditoría oficial ENS solo puede realizarla auditor certificado CCN (título AUDITOR-ENS). Pero peritos forenses SÍ pueden: 1) Apoyo técnico auditorías (pentesting, forensia), 2) Análisis post-incidente (cumplimiento medidas), 3) Peritaje judicial (sanciones AEPD/ENS).

P: ¿ENS certifica solo tecnología o también procesos? R: AMBOS. ENS es 60% organizativo (políticas, roles, formación, gestión riesgos) y 40% técnico (firewalls, cifrado, logs). Sistema tecnológicamente seguro SIN políticas/procedimientos = NO certifica ENS.

Referencias y Fuentes

  1. BOE. (2022). “Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad”. boe.es

    • Normativa vigente ENS, deroga RD 3/2010
    • 122 medidas seguridad según categoría BAJO/MEDIO/ALTO

  2. Centro Criptológico Nacional (CCN). (2022-2025). “Guías CCN-STIC (Serie 800)”. ccn.cni.es

    • CCN-STIC-801: Responsabilidades funciones
    • CCN-STIC-802: Auditorías seguridad
    • CCN-STIC-804: Gestión incidentes

  3. CCN-CERT. (2025). “Ciberamenazas y Tendencias - Edición 2025”. ccn-cert.cni.es

    • 47,235 incidentes gestionados 2024 (37% administraciones públicas)
    • Ransomware: 18% incidentes (52% ayuntamientos sin copias seguridad offline)

  4. INCIBE. (2025). “Ciberseguridad en el Sector Público Español 2024”. incibe.es

    • 62% organismos públicos pendientes auditoría ENS
    • Coste medio incidente ransomware administración: €340,000

  5. Genbeta / Ars Technica. (2026). “Vulnerabilidad IDOR expone datos 15,000 expedientes Ministerio Ciencia”. genbeta.com

    • Caso real IDOR enero 2026 (Bastian Cisneros)
    • 36 horas hasta patch correctivo

  6. AEPD. (2024). “Memoria Anual AEPD 2023”. aepd.es

    • 127 sanciones administraciones públicas incumplimiento RGPD (total €18.4M)
    • 68% casos: falta medidas seguridad (relacionado incumplimiento ENS)

  7. Unión Europea. (2022). “Directiva (UE) 2022/2555 (NIS2) sobre ciberseguridad”. eur-lex.europa.eu

    • Armonización NIS2 + ENS para administraciones críticas
    • Transposición España: octubre 2024

  8. INTECO. (2023). “Guía Auditorías ENS - Requisitos Auditores”. inteco.es

    • Certificación AUDITOR-ENS: 120 horas formación + examen CCN
    • Coste certificación: €2,500-€4,000

  9. Ley 40/2015. (2015). “Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público”. boe.es

    • Artículo 156: Obligatoriedad ENS administraciones
    • Régimen sancionador incumplimiento (hasta €600,000)

  10. MAGERIT v3. (2012). “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”. ccn.cni.es

    • Metodología oficial análisis riesgos ENS
    • 200+ amenazas catalogadas, 150+ salvaguardas

Última actualización: 10 Febrero 2026 Categoría: Normativa (NOR-001) Nivel técnico: Medio-Avanzado Relevancia forense: ALTA (auditorías, peritajes judiciales) Normativa: Real Decreto 311/2022 (BOE 4 mayo 2022)

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp