🛡️ Conforme ENS · Categoría Media/Alta
Guía ENS para servicios de control de rondas
El Real Decreto 311/2022 actualiza el Esquema Nacional de Seguridad y extiende sus exigencias a todo el sector público y a sus proveedores por medios electrónicos. Si su servicio de rondas atiende a AAPP, CCAA, universidades o sanidad pública, esta guía le explica cómo adecuarse con plazos razonables y sin sorpresas en la auditoría.
1.900 palabras · 8 minutos de lectura · Alineada con CCN-STIC 800 y guías del CCN-CERT
¿A quién aplica el Esquema Nacional de Seguridad?
El Real Decreto 311/2022, de 3 de mayo, regula el Esquema Nacional de Seguridad (ENS) y constituye el marco de referencia de ciberseguridad para todo el sector público español: Administración General del Estado, Comunidades Autónomas, Entidades Locales, universidades públicas, entidades de derecho público vinculadas y el sector público institucional. Por la Disposición Adicional Primera y el artículo 40, la obligación se extiende a las empresas privadas que prestan servicios a esas entidades cuando exista tratamiento de información o prestación de servicios por medios electrónicos — lo que en la práctica incluye a cualquier operador de seguridad privada que gestione rondas para hospitales públicos, centros penitenciarios, sedes judiciales, universidades, Ayuntamientos o sanidad autonómica. La categoría del sistema (Básica, Media o Alta) depende del impacto que una pérdida de disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad causaría en los servicios prestados. Para la mayoría de contratos de vigilancia del sector público, la categoría aplicable es Media; para infraestructura crítica, defensa y centros sanitarios de alta complejidad, suele ser Alta.
Compruebe si ENS aplica a su servicio
Cinco preguntas encadenadas le sitúan en la categoría probable (Básica, Media o Alta) o confirman que el ENS no le afecta. No sustituye al análisis formal de la entidad contratante, pero permite dimensionar el esfuerzo de adecuación en minutos.
¿Su organización presta servicios a alguna Administración Pública (AGE, CCAA, entidad local, universidad pública o sector público institucional)?
Categorías Básica, Media y Alta del ENS
El artículo 28 y el Anexo I del RD 311/2022 definen tres categorías que determinan la intensidad de los controles a implementar. Cada organización valora el impacto por dimensión de seguridad y el mayor valor fija la categoría global del sistema.
Categoría Básica
Aplicable cuando el impacto de un incidente se limita a perjuicios limitados para la organización o sus usuarios. Controles proporcionales: identificación, control de acceso básico, copias de seguridad y registro de actividad. La Declaración de Conformidad se obtiene por autoevaluación, sin auditoría externa obligatoria.
Categoría Media
Aplicable cuando el impacto potencial es grave: interrupción del servicio, lesión de derechos, perjuicio económico relevante o exposición de datos personales. Controles reforzados: trazabilidad completa, cifrado de datos sensibles, análisis de riesgos formal y gestión de incidentes. Exige auditoría bienal por auditor externo (art. 31). Es la categoría más habitual en contratos de seguridad privada para AAPP y CCAA.
Categoría Alta
Aplicable cuando el impacto potencial es muy grave: paralización de servicios esenciales, pérdida de vidas, quebranto grave de la seguridad nacional o daños reputacionales severos. Controles máximos: segregación de redes, cifrado AES-256 extremo a extremo, doble factor obligatorio, continuidad con sitios secundarios en caliente, auditoría bienal reforzada. Típica en hospitales de alta complejidad, centros penitenciarios e infraestructura crítica.
Medidas técnicas del Anexo II aplicables a control de rondas
El Anexo II del RD 311/2022 estructura los controles en marcos organizativo, operacional y de protección. Para un software de control de rondas, las seis medidas siguientes concentran el grueso del esfuerzo de auditoría y son las que con mayor frecuencia se solicitan como evidencia.
Trazabilidad (op.exp.8 / op.exp.10)
Registro completo de la actividad del sistema: usuario, terminal, acción, timestamp y resultado. Cada check-in en un punto de ronda debe quedar correlado con el usuario que lo firmó, la coordenada GPS del dispositivo y el hash de la cadena de registros. Retención mínima alineada con la categoría (dos años en Media, tres en Alta).
Protección de la información (mp.info.3 / mp.info.4)
Cifrado en reposo y en tránsito para toda la información almacenada y transmitida: AES-256 en base de datos, TLS 1.3 en el canal móvil-backend, separación lógica por cliente y gestión de claves con rotación. Protege trazas GPS, firmas del vigilante y evidencias fotográficas.
Continuidad del servicio (op.cont.1 / op.cont.3)
Análisis de impacto, plan de continuidad probado y recuperación documentada. La app debe operar en modo offline durable, sincronizar al restablecerse la conectividad y disponer de backend con replicación geográfica. RTO y RPO se miden y revisan trimestralmente.
Registro de incidentes (op.exp.7)
Sistema de gestión de incidentes de seguridad, clasificación por criticidad, notificación al CCN-CERT cuando corresponda y archivo inmutable de la evidencia asociada. Integración con el INES (Informe Nacional del Estado de la Seguridad) para los organismos obligados.
Control de acceso y MFA (op.acc.5 / op.acc.6)
Autenticación reforzada con doble factor para la consola de supervisión, SSO corporativo SAML/OIDC, segregación de roles con mínimo privilegio y revocación inmediata de credenciales al cesar el vigilante. En categoría Alta, el MFA es obligatorio también para los vigilantes que acceden a la app.
Firma y sellado (mp.info.5 / op.exp.10)
Firma electrónica de los registros críticos y sellado de tiempo conforme a eIDAS y las guías CCN-STIC 807. Permite presentar la cadena de rondas como evidencia ante auditoría o en procedimientos judiciales sin riesgo de impugnación. PatrolTech usa timestamping calificado para los clientes que lo solicitan.
Cómo adecuarse al ENS en 5 pasos
Realizar el diagnóstico inicial
Delimite el alcance del sistema de información afectado (servicio de rondas, app móvil, backend, dispositivos NFC/QR) y realice el análisis diferencial contra los controles del Anexo II del RD 311/2022. Identifique los activos esenciales y sus dependencias.
Categorizar el sistema (Básica / Media / Alta)
Aplique el procedimiento del Anexo I valorando el impacto sobre las cinco dimensiones de seguridad (disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad). La categoría final determina la intensidad de las medidas a implementar.
Implementar medidas del Anexo II
Despliegue el conjunto de medidas organizativas, operacionales y de protección que corresponden a la categoría asignada: control de acceso, trazabilidad, cifrado, integridad de registros y continuidad. Documente cada control con evidencia reproducible.
Generar y conservar evidencias
Active logs firmados e inmutables, retención mínima alineada con la categoría (Media/Alta suelen exigir 2-3 años), copias geográficamente separadas y procedimientos de respuesta a incidentes. Las evidencias deben presentarse a la auditoría sin reprocesamiento.
Auditar, declarar y mantener
Para categoría Media y Alta la auditoría es obligatoria (art. 31 RD 311/2022) y debe renovarse cada dos años por un auditor acreditado. Publique la Declaración de Conformidad en la sede electrónica y mantenga el ciclo de mejora continua con revisiones anuales del análisis de riesgos.
Descargue la plantilla SOP ENS para servicios de rondas
Documento Word editable con la estructura de procedimiento operativo estándar alineada con el Anexo II del RD 311/2022: alcance, categorización, matriz de controles, análisis de riesgos y protocolo de evidencias. Listo para adaptar a su pliego y entregar al auditor.
Al pulsar 'Descargar' acepta recibir la plantilla y eventual contenido regulatorio complementario. Puede darse de baja en cualquier momento. Tratamiento conforme al RGPD.
Preguntas frecuentes sobre ENS y control de rondas
¿A quién obliga realmente el ENS?▼
El ENS obliga al sector público español en su conjunto: Administración General del Estado, Comunidades Autónomas, Entidades Locales, universidades públicas y sector público institucional (art. 2 RD 311/2022). Por la Disposición Adicional Primera y el artículo 40, la obligación se extiende a los proveedores privados cuando el contrato incluye tratamiento de información o prestación de servicios por medios electrónicos. Un operador de seguridad privada que presta rondas a un hospital público mediante una app con backend digital queda dentro del perímetro y debe acreditar el nivel de adecuación exigido por la entidad contratante.
¿Qué diferencia hay entre categoría Básica, Media y Alta?▼
Las tres categorías definen la intensidad de los controles a implementar. La Básica cubre sistemas con impacto limitado y se acredita por autoevaluación; la Media exige auditoría bienal por auditor externo acreditado y Declaración de Conformidad publicada; la Alta añade controles reforzados (segregación de redes, doble factor obligatorio, continuidad con sitios secundarios en caliente) y es la exigida a infraestructuras críticas, centros penitenciarios, defensa y sanidad pública de alta complejidad. Para la mayoría de contratos de vigilancia en AAPP y CCAA, la categoría aplicable es Media.
¿Qué medidas concretas se exigen en categoría Alta?▼
Además de las medidas reforzadas de categoría Media, la Alta exige en el Anexo II: cifrado de extremo a extremo con claves gestionadas por el propio organismo, doble factor de autenticación obligatorio para todos los perfiles (incluidos vigilantes), segregación física o lógica de redes, plan de continuidad con sitios secundarios activos y probados anualmente, firma electrónica calificada conforme a eIDAS, y auditoría bienal reforzada por auditor acreditado por la ENAC. El CCN-CERT publica las guías CCN-STIC 804 y 806 como referencia de implementación detallada.
¿Cómo afecta el ENS a las licitaciones del sector público?▼
Desde la entrada en vigor del RD 311/2022 es cada vez más frecuente que los pliegos de licitación del sector público exijan la Declaración de Conformidad ENS como requisito de solvencia técnica, no solo como obligación sobrevenida. Competir sin ella deja a la empresa fuera de concurso o le obliga a comprometerse a acreditarla antes de la firma del contrato. Anticipar la adecuación en categoría Media protege la capacidad de concurrir a expedientes de AAPP, CCAA, universidades y sanidad pública, y es un diferencial frente a competidores que todavía no la poseen.
¿Qué diferencias hay entre ENS y NIS2 para un operador de seguridad privada?▼
ENS y NIS2 son marcos complementarios, no sustitutivos. El ENS aplica por razón de cliente (sector público español) y se concreta en controles del Anexo II con auditoría bienal nacional. NIS2 aplica por razón de sector (entidad esencial o importante en el mapa UE) y se concreta en gestión de riesgos, notificación al CSIRT y régimen sancionador europeo. Un operador que vigila un hospital público puede estar obligado a la vez: por ENS como proveedor del sector público y por NIS2 si su cliente es entidad esencial. En la práctica, los controles técnicos coinciden en un 70-80%: una adecuación ENS Media cubre buena parte del artículo 21 de NIS2.
Comience su adecuación al ENS con ventaja
Despliegue PatrolTech en un día con los logs firmados, cifrado AES-256 y trazabilidad completa que exige el Anexo II. Primer mes gratis, sin tarjeta, con acceso a nuestra matriz de conformidad ENS.
Tratamos sus datos conforme al RGPD. Nunca los compartimos con terceros.