Author archives:

sanir, ambulancias, certificado ens, alta, amkio ingenieros, ENS, Ciberseguridad

SANIR Movilidad Sanitaria certifica sus sistemas de información conforme al Esquema Nacional de Seguridad, con el respaldo técnico de Amio Ingenieros

26 abril 2026 amio_mx Noticias

SANIR Movilidad Sanitaria ha obtenido el pasado 24 de abril de 2026 el Certificado de Conformidad con el Esquema Nacional de Seguridad (ENS), en cumplimiento del Real Decreto 311/2022. Este reconocimiento convierte a SANIR en una de las pocas empresas del sector del transporte sanitario en España que acreditan formalmente la seguridad de sus sistemas de información frente a los estándares más exigentes de la normativa española de ciberseguridad.

SANIR es una compañía de referencia en movilidad sanitaria, con presencia en todo el territorio nacional a través de sus delegaciones en Madrid (Centro), Bilbao (Euskadi) y Tarragona (Terres de l’Ebre). Con décadas de experiencia, flota propia de ambulancias y equipos especializados en transporte sanitario urgente, transporte programado y cobertura sanitaria de eventos, SANIR opera 24 horas al día, 365 días al año al servicio de las personas que más lo necesitan. Esta actividad la vincula directamente con las Administraciones Públicas y con el sistema sanitario, lo que hace de la certificación ENS no solo una exigencia regulatoria, sino una obligación ética y estratégica.

¿Qué significa el ENS para una empresa como SANIR?

El Esquema Nacional de Seguridad establece los principios, políticas y medidas de seguridad que deben aplicar los sistemas de información de las Administraciones Públicas y de las entidades privadas que les prestan servicios o colaboran con ellas. Obtener la certificación de conformidad implica haber superado una auditoría rigurosa e independiente que verifica que los sistemas de información cumplen los requisitos normativos en materia de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

Para SANIR, cuyos sistemas gestionan datos sensibles de pacientes, coordinación operativa con servicios de emergencias públicos y actividad contractual con administraciones sanitarias, este certificado supone mucho más que un sello: es la demostración verificable de que la ciberseguridad es un valor central en su modelo de operación y en su compromiso con la calidad del servicio.

El papel clave de Amio Ingenieros

La obtención de este certificado ha sido posible gracias al trabajo de Amio Ingenieros, firma especializada en ciberseguridad, sistemas de información y cumplimiento normativo, que ha acompañado a SANIR a lo largo de todo el proceso de adecuación al ENS.

El equipo de Amio Ingenieros realizó un diagnóstico inicial del estado de seguridad de los sistemas de SANIR, identificó las brechas respecto a los requisitos del RD 311/2022, diseñó e implementó las medidas de seguridad necesarias —técnicas, organizativas y de gestión— y preparó a la organización para el proceso de auditoría de certificación. Su enfoque integrador, que combina el rigor técnico con el conocimiento profundo de la normativa sectorial, ha sido determinante para que SANIR alcanzara este hito en tiempo y forma.

Este logro refuerza la posición de Amio Ingenieros como socio de confianza para organizaciones que operan en entornos regulados y que necesitan transformar el cumplimiento normativo en una ventaja competitiva real.

Un hito que mira al futuro

La certificación ENS no es un punto de llegada, sino el punto de partida de una cultura de seguridad continua. SANIR se compromete a mantener y mejorar progresivamente su nivel de conformidad, integrando la seguridad de la información como parte indisoluble de su estrategia operativa y de su propuesta de valor ante clientes, administraciones y ciudadanos.

Certificado ENS, ciberseguridad, saniir movilidad sanitaria, amio ingenieros

Guía CCN-STIC 896: El nuevo estándar de certificación para SOC y MSSP en España

23 abril 2026 amio_mx Noticias

CCN-STIC 896: El Centro Criptológico Nacional establece el estándar de certificación para los Servicios de Seguridad Gestionados y los SOC en España.

El CCN ha publicado el Perfil de Cumplimiento Específico ENS para los Servicios de Seguridad Gestionados (PCE-SSG), un hito normativo que redefine las reglas de acceso al mercado de ciberseguridad gestionada en el sector público español y que se alinea directamente con las exigencias de la Directiva NIS2.

El contexto: por qué nace la CCN-STIC 896

El Esquema Nacional de Seguridad (RD 311/2022) establece las condiciones que deben cumplir los sistemas de información de las entidades del sector público español y de los proveedores privados que les prestan servicios. Hasta ahora, la conformidad ENS se acreditaba sobre los sistemas de información de la organización: sus redes, servidores, aplicaciones y plataformas. Sin embargo, existía una laguna significativa: ¿cómo acreditar que un proveedor de servicios de seguridad es técnicamente competente y operativamente fiable para prestar esos servicios de forma segura?

Una organización prestadora de SSG debe poder evidenciar sus capacidades operativas, así como su competencia técnica en relación a los servicios que presta, garantizando que serán de calidad; y de otra, los medios empleados para prestar los SSG deberán cumplir los requisitos necesarios de seguridad que garanticen que están protegidos y son confiables para realizar su desempeño de forma segura, tanto para la propia entidad como para las que contraten sus servicios.

La guía CCN-STIC 896 nace precisamente para cerrar esa brecha.

CCN-STIC-896-infografia, amio, ciberseguridad, NIS2, autoevaluacion, ENS

Qué es y qué regula la CCN-STIC 896

El CCN ha publicado la nueva Guía CCN-STIC 896, un documento clave orientado a impulsar la futura certificación de servicios de seguridad gestionados (SSG) y a facilitar la conformidad con el Esquema Nacional de Seguridad (ENS) de los sistemas de información involucrados, de acuerdo con el Real Decreto 311/2022, de 3 de mayo.

El documento establece el Perfil de Cumplimiento Específico para Servicios de Seguridad Gestionados (PCE-SSG) y cubre los cinco tipos de servicios que puede prestar un SOC o MSSP:

  • Servicio de Gestión de la Ciberseguridad — gobierno, reporting y cuadros de mando
  • Servicio de Prevención — análisis de vulnerabilidades, auditorías, pentesting
  • Servicio de Protección — despliegue y operación de controles técnicos (firewalls, EDR, WAF, CASB, DLP…)
  • Servicio de Detección — monitorización SIEM, vigilancia digital, threat hunting
  • Servicio de Respuesta — gestión de incidentes, análisis forense, recuperación

Para cada uno de estos servicios, la guía define los requisitos específicos complementarios que se aplican sobre las medidas del Anexo II del ENS, elevando el nivel de exigencia de forma proporcional a la criticidad e impacto de los servicios prestados.

El marco normativo triple: ENS + NIS2 + Reglamento UE 2025/37

La CCN-STIC 896 no opera en un vacío normativo. Esta nueva guía representa un alineamiento con la normativa europea que afecta directamente tanto a los SSG, tal y como se recoge en el Reglamento (UE) 2025/37 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024 por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados, como a los proveedores de SSG, bajo el alcance de la Directiva NIS2 y afectados por el Reglamento de Ejecución (UE) 2024/2690.

Esto significa que la certificación CCN-STIC 896 genera un triple valor normativo:

  1. ENS (nacional): acredita conformidad bajo el RD 311/2022, condición necesaria para prestar servicios a entidades públicas españolas
  2. NIS2 (europeo): los proveedores de SSG son entidades sujetas a la Directiva NIS2 en el ámbito de la Directiva 2022/2555; la certificación aporta evidencias directas de cumplimiento
  3. Reglamento UE 2025/37: este reglamento, publicado en diciembre de 2024, modifica el Reglamento de Ciberseguridad de la UE específicamente para regular los SSG a nivel europeo, siendo la CCN-STIC 896 el primer instrumento nacional que responde a esta exigencia

🔗 CONVERGENCIA ENS ↔ NIS2 ↔ Reglamento EU 2025/37

El proceso de certificación: accesible, riguroso y gratuito en su primera fase

La entidad solicitante solicita y cumplimenta la herramienta de autoevaluación de la Guía STIC 896 contactando con el CCN. Una vez realizada, y en caso de superar una puntuación del 50% en todos los apartados que le son de aplicación, podrá solicitar una auditoría sin coste que le permitirá desarrollar la adecuación de su servicio. En caso de que dicha auditoría obtenga una resolución favorable, podrá solicitar al CCN el certificado de sus servicios.

El  proceso se estructura en tres fases:

  • Fase 1 — Autoevaluación: La organización accede a la herramienta en gobernanza.ccn-cert.cni.es y cumplimenta el cuestionario para cada servicio que presta (Prevención, Protección, Detección, Respuesta, Gestión). El umbral mínimo para avanzar es el 50% de cumplimiento en cada apartado aplicable.
  • Fase 2 — Auditoría CCN: El propio CCN actúa como entidad de certificación y realiza la auditoría sin coste para la organización solicitante. Esta fase permite detectar brechas y desarrollar el plan de adecuación.
  • Fase 3 — Certificación y reconocimiento en la RNS: Superada la auditoría, el CCN emite el certificado y el SOC obtiene reconocimiento en la Red Nacional de SOC (RNS), con un nivel de madurez transparente y trazable: SOC Básico, SOC Avanzado o SOC Completo.

Un requisito estructural: los sistemas que soportan los SSG deben disponer de Certificación de Conformidad ENS para Categoría MEDIA o superior, o comprometerse a obtenerla en un plazo máximo de 12 meses.

El COCS de la AGE, referente del modelo

El caso de uso más relevante es el del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (COCS), liderado por la Agencia Estatal de Administración Digital (AEAD) en colaboración con el CCN.

El COCS presta servicios de prevención, protección, detección y respuesta ante incidentes de ciberseguridad. Gracias a la optimización y las economías de escala, facilita una mejor eficacia y eficiencia y sirve de referente para otras iniciativas similares. Además, el COCS ha actuado como facilitador del proyecto de mejora de la Administración General del Estado al ENS, concluido en julio de 2025, permitiendo a numerosas entidades mejorar significativamente su gobernanza de la ciberseguridad. La certificación obtenida prepara al COCS para la siguiente etapa, que sería la certificación conforme a la guía CCN-STIC 896, que valida la competencia técnica y la capacidad operativa de los SSG prestados.

La CCN-STIC 896 permite además el reconocimiento en la Red Nacional de SOC (RNS) dentro de un nivel de madurez claro y transparente.

El modelo COCS-AGE —una «ventanilla única» que centraliza la detección, respuesta e inteligencia de amenazas para más de un centenar de entidades ministeriales— es el prototipo del futuro de la ciberseguridad gestionada en la Administración Pública española.

Implicaciones para el mercado: quién debe actuar y cuándo

No existe un plazo fijado para adecuarse y certificarse respecto a la Guía STIC 896. En estos momentos la certificación es voluntaria, pero recomendable puesto que está previsto que en un futuro próximo la certificación empiece a ser obligatoria para optar a prestar Servicios de Seguridad Gestionados a Entidades públicas, Infraestructuras Críticas y/o Esenciales o para formar parte de la RNS.

Esto tiene implicaciones directas para varios perfiles:

Para organismos públicos: Deberían comenzar a exigir esta acreditación en sus pliegos de contratación de servicios de ciberseguridad gestionada. Un proveedor certificado CCN-STIC 896 ofrece garantías técnicas y normativas que uno sin certificar no puede proporcionar.

Para proveedores MSSP/SOC privados: La certificación voluntaria de hoy será el requisito de acceso al mercado público de mañana. Las organizaciones que inicien el proceso ahora tienen ventaja competitiva real y tiempo para abordar las brechas sin presión de plazo.

Para integradores y consultoras: La guía define los perfiles profesionales asociados a los SSG certificados, lo que impacta directamente en las capacidades de equipo que deben acreditarse.

Para la industria OT e infraestructuras críticas: Los operadores de servicios esenciales que externalicen su ciberseguridad a terceros deberán verificar que sus proveedores cuentan con esta acreditación, especialmente de cara al marco NIS2 en materia de seguridad de la cadena de suministro.

España, cuarto mercado europeo de ciberseguridad: ¿está tu empresa aprovechando esta ola?

16 abril 2026 amio_mx Noticias

El Instituto Nacional de Ciberseguridad (INCIBE) acaba de presentar el Estudio sobre la industria de la ciberseguridad en España 2025 junto a CONETIC, confirmando que el sector supera los 6.351 millones de euros de facturación, genera 165.000 empleos y sitúa a España como el cuarto mercado europeo de ciberseguridad. Las previsiones apuntan a un crecimiento anual sostenido del 14,25% hasta 2029, con más de 282.000 profesionales empleados al final del periodo.

¿Qué impulsa este crecimiento sin precedentes? Fundamentalmente dos motores normativos que ya no admiten demora: el Esquema Nacional de Seguridad (RD 311/2022) y la Directiva europea NIS2. La presión regulatoria está transformando la ciberseguridad de gasto puntual en inversión estratégica e ineludible para cualquier empresa que opere con la Administración Pública o que forme parte de una cadena de suministro crítica.

El mensaje del sector es inequívoco: las empresas medianas que facturen más de 10 millones de euros ya están en el radar de la NIS2, aunque muchas todavía no lo saben. Y si tu organización es proveedora de una entidad pública o de una gran empresa, deberás acreditar tu nivel de seguridad. Sin certificación ENS, sin contrato.

En Amio Ingenieros llevamos más de 30 años acompañando a organizaciones públicas y privadas en sus procesos de adecuación y certificación ENS, implantación de Sistemas de Gestión de Seguridad de la Información conformes a ISO 27001 y cumplimiento de NIS2. Conocemos en profundidad los requisitos del CCN y sabemos cómo diseñar un itinerario eficiente, realista y ajustado a cada tipo de organización, desde el análisis de riesgos inicial hasta la obtención de la Certificación de Conformidad acreditada por ENAC.

El mercado de la ciberseguridad crece. La pregunta no es si debes cumplir, sino cuándo empiezas — y con quién.

📩 Contacta con nuestro equipo y da el primer paso hoy. 🌐 www.amioingenieros.es

Fuente: INCIBE + CONETIC — Estudio sobre la industria de la ciberseguridad en España 2025. Presentado el 18 de marzo de 2026.

El ENS en 2026: cifras récord, novedades y por qué certificarse es ya una ventaja competitiva real.

15 abril 2026 amio_mx Noticias

Un sistema que no para de crecer

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022 de 3 de mayo, ha alcanzado en 2026 una implantación sin precedentes en España. Según los datos publicados por el propio Centro Criptológico Nacional (CCN) con motivo de la renovación de su portal en febrero de 2026, el ENS cuenta actualmente con 1.484 organismos públicos y 1.971 empresas privadas certificadas en toda España . Son números que hablan por sí solos: el ENS ha dejado de ser un trámite burocrático para convertirse en un estándar real de mercado.

Pero ¿qué es exactamente el ENS y por qué importa tanto ahora? Lo explicamos de forma clara.

¿Qué es el ENS y a quién afecta?

El ENS es la norma legal española que establece los requisitos mínimos de ciberseguridad que deben cumplir todos los sistemas de información de las Administraciones Públicas: Estado, Comunidades Autónomas, Ayuntamientos y entidades del sector público en general. Y, muy importante: también obliga a las empresas privadas que presten servicios tecnológicos a cualquiera de esas administraciones.

En la práctica, esto significa que si tu empresa desarrolla software, gestiona datos, presta servicios en la nube o mantiene infraestructuras tecnológicas para un organismo público, el ENS te afecta directamente.

El ENS se mantendrá actualizado de manera permanente, desarrollándose y perfeccionándose a lo largo del tiempo, en paralelo al avance de los servicios prestados por las entidades del sector público, la evolución tecnológica, la aparición o consolidación de nuevos estándares internacionales sobre seguridad y auditoría, y los riesgos a los que estén expuestos los sistemas de información concernidos.  No es, por tanto, una norma estática: evoluciona contigo.

Novedades destacadas en 2026

1. El portal ENS estrena imagen y nuevas herramientas

El sitio web del ENS, gestionado por el Centro Criptológico Nacional del Centro Nacional de Inteligencia, ha actualizado su diseño y arquitectura para mejorar la usabilidad, la estructura de contenidos y la coherencia con la identidad institucional, con el objetivo de ofrecer una experiencia más clara y facilitar un acceso más intuitivo a la información y a los recursos disponibles.

Entre las novedades del portal renovado destaca el acceso reforzado a las herramientas de gobernanza INES, AMPARO y PILAR, que facilitan el proceso completo de adecuación al ENS: adecuación, implantación, auditoría y certificación.

2. El CPSTIC se actualiza cada mes con nuevos productos certificados

Uno de los recursos más prácticos para las empresas es el Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC), que el CCN actualiza mensualmente. El objetivo principal del CPSTIC es facilitar a las organizaciones la selección de productos y servicios que hayan demostrado un nivel adecuado de seguridad, contribuyendo así a una mejor protección de los sistemas de información frente a amenazas y ciberataques.

La última actualización de abril de 2026 ha incorporado seis nuevos productos en las categorías de protección de perímetro y de las comunicaciones, soporte criptográfico y control de accesos.

3. El crecimiento del ENS, anticipo de NIS2

El crecimiento de entidades certificadas en el ENS es el resultado del trabajo de anticipación del CCN a la transposición de la Directiva NIS2 y a la estrategia de mejora continua, que comienza con el Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad (PCE-RFS). el ENS se está convirtiendo en el camino más natural para que las organizaciones españolas cumplan también con NIS2 cuando ésta entre en vigor.

4. Más de 200 guías CCN-STIC disponiblesel

Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones, y son periódicamente actualizadas y completadas con otras nuevas en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT. Muchas de ellas son de acceso público y gratuito.

¿Qué ventajas concretas tiene certificarse en el ENS?

Más allá del cumplimiento legal, la certificación ENS aporta beneficios tangibles que cualquier organización puede aprovechar:

Acceso a contratos públicos. La certificación ENS es un requisito habitual —y cada vez más exigible— en los pliegos de contratación pública tecnológica. Una empresa certificada tiene una ventaja competitiva directa frente a otras que no lo están.

Credibilidad demostrable. El ENS es una norma legal auditada por organismos acreditados por la ENAC (Entidad Nacional de Acreditación). El certificado no es una declaración propia: lo emite un tercero independiente. Eso tiene un valor reputacional que ningún folleto comercial puede igualar.

Preparación anticipada para NIS2. Como confirma el propio CCN, el ENS es el vehículo principal para el cumplimiento de NIS2 en España. El Anteproyecto de Ley toma como referencia los perfiles de cumplimiento del ENS aplicados al contenido de NIS2, indicando que las entidades esenciales deberán poseer certificación ENS, mientras que las entidades importantes podrán optar por esa certificación o por una autoevaluación. Certificarse hoy es adelantarse a una obligación que llegará en los próximos meses.

Acceso al catálogo de productos seguros. Las organizaciones con ENS pueden consultar y usar el CPSTIC, que facilita la selección de productos y servicios de seguridad confiables, diseñados para ser implementados en sistemas TIC que estén dentro del marco del ENS o que manejen información clasificada.

Herramientas gratuitas de gobernanza. El CCN pone a disposición de todas las entidades en proceso de adecuación las herramientas INES, AMPARO y PILAR, para facilitar el proceso completo de adecuación al ENS y la toma de decisiones estratégicas sobre el estado de ciberseguridad de los sistemas. No hay que empezar desde cero.

Mejora real de la seguridad. Más allá del papel, el proceso de adecuación al ENS obliga a las organizaciones a realizar un análisis formal de riesgos, definir responsables claros y mantener una vigilancia continua. Los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS. Esa disciplina reduce incidentes reales.

En pocas palabras

El ENS en 2026 no es solo una obligación para la Administración Pública. Es un estándar de mercado que separa a las empresas que se toman en serio la ciberseguridad de las que no. Con casi 3.500 entidades certificadas, un portal renovado, actualizaciones mensuales del catálogo de productos seguros y su papel central en la futura Ley NIS2, el ENS es hoy la inversión en seguridad con mayor retorno para cualquier organización que trabaje con o para el sector público español.

Si quieres saber si tu organización debe certificarse y por dónde empezar, en AMIO INGENIEROS podemos acompañarte en todo el proceso.

 

Fuentes oficiales consultadas:

El ENS: la vía maestra para que las empresas españolas cumplan la Directiva NIS2

13 abril 2026 amio_mx Noticias

El contexto regulatorio: España ante la presión europea

La Directiva NIS2 (Directiva UE 2022/2555) se adoptó formalmente en diciembre de 2022, entró en vigor en enero de 2023 y exigía a los Estados miembros su transposición antes del 17 de octubre de 2024. España ha incumplido ese plazo: en noviembre de 2024, la Comisión Europea inició procedimientos de infracción contra España y otros 22 países por no haber completado la transposición, lo que obligó al Gobierno a aprobar en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que se encuentra actualmente en tramitación parlamentaria.

En este escenario de incertidumbre jurídica, las organizaciones españolas afectadas —entidades esenciales e importantes de sectores críticos— necesitan actuar ya. Y la respuesta más sólida, eficiente y reconocida institucionalmente está en su propio marco normativo nacional: el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022.

¿Por qué el ENS es la mejor palanca para cumplir NIS2?

1. Reconocimiento explícito en el propio Anteproyecto de Ley

Este es el argumento más poderoso y definitivo: conforme al Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el Perfil de Cumplimiento Específico del ENS se configura como un mecanismo válido para acreditar el cumplimiento de las medidas de gestión de riesgos de ciberseguridad exigidas por NIS2. Para las entidades esenciales e importantes sujetas al RD 311/2022, la aplicación de dicho perfil será suficiente para demostrar la adecuación a los requisitos de ciberseguridad de la futura ley de transposición. Esta posibilidad se extiende incluso a entidades no obligadas por el ENS, siempre que opten voluntariamente por certificarse en la categoría alta.

En términos prácticos: cumplir el ENS equivale a cumplir NIS2 en España.

2. La guía CCN-STIC 892: el puente técnico oficial entre ENS y NIS2

El Centro Criptológico Nacional (CCN) no ha dejado nada al azar. El CCN ha publicado la guía CCN-STIC 892 «Perfil de Cumplimiento Específico para organizaciones en el ámbito de aplicación de la Directiva NIS2» (PCE-NIS2), cuyo objeto es mostrar el perfil desarrollado para dar respuesta a las disposiciones de la directiva europea por parte de las organizaciones en el ámbito de aplicación del ENS. El documento incluye en su Anexo I el mapeo completo entre la Directiva NIS2 y el ENS.

Las 10 medidas generales para la gestión de riesgos del artículo 21 de la Directiva NIS2 se mapean en esta guía con las 73 medidas del ENS, estableciendo una Declaración de Aplicabilidad diferenciada para entidades esenciales y para entidades importantes.

3. Cobertura técnica directa del artículo 21 de NIS2

El artículo 21 es el corazón técnico de NIS2: obliga a implantar medidas proporcionales al riesgo en diez áreas clave. El ENS las cubre sistemáticamente:

Requisito Art. 21 NIS2
                           Cobertura ENS (RD 311/2022)
Políticas de análisis de riesgos                                Marco.org / op.pl.1 – Análisis de riesgos
Gestión de incidentes                                op.exp.7 / Art. 33 RD 311/2022 + CCN-CERT
Continuidad del negocio                                op.cont.1 / op.cont.2 – Plan de continuidad
Seguridad de la cadena de suministro                                op.ext.1 / op.ext.2 – Proveedores externos
Seguridad en adquisición y desarrollo                                op.sw.1 / op.sw.2 – Desarrollo seguro
Gestión de vulnerabilidades                                op.exp.6 – Gestión de parches
Autenticación multifactor (MFA)                                op.acc.5 – Autenticación robusta
Cifrado y criptografía                                mp.com.3 / mp.si.3 – Cifrado de comunicaciones y soportes
Seguridad de los RRHH                                mp.per.1 a mp.per.4
Uso de herramientas de gestión                                Herramientas INÉS, LUCÍA y CARMEN del CCN
4. Un marco certificable con auditoría periódica

Una de las diferencias fundamentales del ENS frente a otros enfoques es que es norma jurídica certificable. Las entidades de certificación acreditadas por ENAC y los órganos de auditoría técnica de la Administración certifican el cumplimiento del perfil. La auditoría interna se realiza anualmente y la certificación de conformidad se renueva cada dos años. Esto proporciona evidencia documental sólida frente a cualquier requerimiento regulatorio, tanto nacional como europeo.

5. Crecimiento exponencial: España lidera en implantación

Los datos avalan la madurez del sistema. A comienzos de 2026, hay ya un total de 3.455 organizaciones certificadas en España bajo el RD 311/2022. Solo durante 2025 se certificaron 1.119 nuevas organizaciones, un hito histórico en la adopción del esquema. Este ecosistema de organizaciones certificadas dispone ya de la infraestructura de seguridad, los procedimientos y la cultura organizativa necesarios para acreditar el cumplimiento NIS2 con un coste marginal adicional mínimo.

¿A qué organizaciones afecta NIS2 en España?

La Directiva NIS2 considera entidades esenciales a: la Administración pública central, las grandes empresas en sectores de alta criticidad, los prestadores cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel y los proveedores de servicios DNS, así como las entidades identificadas como críticas conforme a la Directiva CER (UE) 2022/2557.

Los sectores de alta criticidad (Anexo I) incluyen: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, Administración pública e industria espacial. Los otros sectores críticos (Anexo II) amplían el alcance a: servicios postales, gestión de residuos, fabricación, producción y distribución de productos químicos, alimentación, industria manufacturera, proveedores digitales e investigación.

El camino práctico: cómo usar el ENS para cumplir NIS2

Paso 1 – Diagnóstico de alcance: Determinar si la organización es entidad esencial o importante conforme a los Anexos I y II de la Directiva.

Paso 2 – Análisis de riesgos: Aplicar la metodología MAGERIT o equivalente conforme al marco.org del ENS, que satisface directamente el requisito de gestión de riesgos del art. 21 NIS2.

Paso 3 – Categorización ENS: Determinar la categoría del sistema (Básica, Media o Alta) según el impacto en las dimensiones ACID (Autenticidad, Confidencialidad, Integridad, Disponibilidad, Trazabilidad). Para entidades esenciales NIS2, la referencia es categoría Alta.

Paso 4 – Aplicación del PCE-NIS2 (CCN-STIC 892): Usar la Declaración de Aplicabilidad del perfil específico para mapear medidas ENS con los requisitos del art. 21 NIS2.

Paso 5 – Certificación: Obtener la Certificación de Conformidad ENS a través de una Entidad de Certificación acreditada por ENAC o un Órgano de Auditoría Técnica reconocido por el CCN.

Paso 6 – Notificación de incidentes: Integrar los procedimientos de notificación con el CCN-CERT, que ejerce como CSIRT de referencia para el sector público y las entidades bajo su ámbito.

Ventaja estratégica: un marco, dos cumplimientos

La integración del ENS y NIS2 en un enfoque estratégico unificado elimina la duplicidad de auditorías, reduce costes de mantenimiento y garantiza el cumplimiento legal simultáneo. Esta consolidación metodológica permite a las entidades satisfacer las demandas de distintos auditores gubernamentales utilizando exactamente el mismo conjunto de evidencias documentales y controles.

Adicionalmente, el ENS ya incorpora la alineación con ISO/IEC 27001:2022: el PCE-NIS2 permite compatibilizar NIS2 con dos certificaciones simultáneas —ENS e ISO 27001— contrastando las medidas de seguridad del primero con los controles de la segunda. Esto significa que una organización que trabaje con estas tres referencias opera en el nivel máximo de madurez regulatoria exigible en Europa.

Conclusión

España tiene en el ENS (RD 311/2022) un activo regulatorio de primer nivel que ningún otro Estado miembro de la UE posee de forma equivalente. Es la herramienta más completa, técnicamente rigurosa y jurídicamente reconocida para que las organizaciones españolas —públicas y privadas— acrediten su cumplimiento con la Directiva NIS2. No aprovecharla sería perder una ventaja competitiva única y asumir innecesariamente los riesgos de la incertidumbre normativa.

🔑 Referencias normativas: RD 311/2022 · Directiva (UE) 2022/2555 · CCN-STIC 892 (PCE-NIS2) · Anteproyecto Ley Coordinación y Gobernanza de la Ciberseguridad (enero 2025) · Reglamento de Ejecución (UE) 2024/2690.

El CCN refuerza la plataforma ÁNGELES con nuevos contenidos en vísperas de la Ley NIS2.

10 abril 2026 amio_mx Noticias

Diez nuevos vídeos de concienciación accesibles a todos los usuarios llegan al portal de formación del Centro Criptológico Nacional justo cuando la obligación de formación en ciberseguridad se convierte en requisito legal bajo NIS2.

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI) y máxima autoridad técnica en materia de ciberseguridad para el sector público español, acaba de ampliar la plataforma ÁNGELES con diez nuevos vídeos de concienciación disponibles para todos los usuarios, sin necesidad de registro. La actualización se publicó el 8 de abril de 2026 en el portal del CCN-CERT.

La noticia, aparentemente técnica, cobra una dimensión estratégica de primer orden en el contexto normativo actual: tanto el Esquema Nacional de Seguridad (ENS) como la Directiva NIS2 establecen la formación y concienciación del personal como un requisito obligatorio, no una recomendación.

«La formación es la medida de seguridad con mejor relación coste-beneficio. Un empleado concienciado es un cortafuegos humano que ningún appliance puede replicar. Y ahora, además, es una obligación legal.»

ÁNGELES es el portal de formación en ciberseguridad del CCN, diseñado para mejorar el nivel de competencia digital de los empleados de las Administraciones Públicas y de cualquier organización que desee fortalecer su cultura de seguridad. Sus contenidos están alineados con los requisitos del Esquema Nacional de Seguridad (RD 311/2022) y son de acceso gratuito.

Los nuevos contenidos audiovisuales se suman a un catálogo que ya cuenta con más de 200 guías CCN-STIC disponibles en el portal del CCN-CERT. Esta ampliación responde directamente a la creciente presión normativa que España afronta de cara a la transposición definitiva de NIS2.

La formación, obligación legal bajo NIS2

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad —el texto que transpondrá la Directiva NIS2 al ordenamiento jurídico español, actualmente en tramitación parlamentaria— incluye entre sus obligaciones expresas la formación de empleados y, muy especialmente, de los órganos de dirección de las entidades afectadas.

El impacto es doble y debe ser bien comprendido por las organizaciones:

  • Formación del personal técnico: los empleados con acceso a sistemas críticos deben recibir formación periódica en ciberseguridad. Los registros de formación serán evidencia auditada.
  • Formación de la alta dirección: los directivos que no acrediten haber recibido formación en ciberseguridad verán agravada su responsabilidad individual en caso de incidente. NIS2 convierte la ignorancia en agravante.
  • Concienciación continua: no basta con una formación puntual. NIS2 exige programas de concienciación continuos, que incluyan simulacros de phishing, actualizaciones ante nuevas amenazas y protocolos de respuesta a incidentes.
  • Cadena de suministro incluida: la obligación se extiende a los proveedores con acceso a sistemas críticos. Los contratos TIC deben reflejarlo.

ENS y NIS2: la formación como punto de convergencia

El Esquema Nacional de Seguridad (RD 311/2022) ya recoge en su Anexo II la concienciación y formación del personal como medida de seguridad de aplicación en todos los niveles (bajo, medio y alto). La plataforma ÁNGELES es, desde este punto de vista, una herramienta de cumplimiento directo del ENS, no solo un recurso formativo voluntario.

Esta convergencia tiene implicaciones prácticas inmediatas para las organizaciones del sector público y sus proveedores: el uso acreditado de ÁNGELES puede ser presentado como evidencia de cumplimiento de la medida de concienciación en auditorías ENS, y anticipará el cumplimiento de los requisitos formativos que establecerá la futura Ley de Ciberseguridad española.

Con más de tres décadas en proyectos de adecuación ENS e implantación de ISO 27001 en Administraciones Públicas, municipios inteligentes e industria, puedo afirmar que la formación sigue siendo el gap más persistente en cualquier diagnóstico de madurez. Las organizaciones invierten en tecnología y descuidan al factor humano. NIS2 y el ENS nos obligan, por fin, a equilibrar esa balanza.

— Equipo de consultoría · amio.es · Telecomunicaciones e Ingeniería de Sistemas.

Recomendaciones prácticas para organizaciones y AAPP

Desde amio.es recomendamos las siguientes acciones inmediatas para aprovechar este recurso y avanzar en el cumplimiento normativo:

  • Incorporar ÁNGELES al plan de concienciación anual de la organización y registrar la participación de empleados como evidencia documental.
  • Diseñar un itinerario formativo diferenciado para perfiles técnicos, personal de gestión y alta dirección, con contenidos adaptados a cada audiencia.
  • Complementar los vídeos de ÁNGELES con simulacros de phishing y ejercicios de respuesta a incidentes para completar el ciclo de concienciación activa.
  • Para entidades locales y Smart Cities: utilizar la guía CCN-STIC 882 (análisis de riesgos para entidades locales) como complemento al plan formativo.
  • Exigir a los proveedores TIC que acrediten planes de concienciación equivalentes: la cadena de suministro es responsabilidad de la entidad contratante bajo NIS2.

¿Necesita asesoramiento en cumplimiento ENS o NIS2?

Más de 20 años acompañando a AAPP y Sector Privado en sus proyectos de seguridad de la información.

CONTACTE CON AMIO INGENIEROS

España sigue sin transponer la NIS2.

7 abril 2026 amio_mx Noticias

EL ANTEPROYECTO DE LEY DE COORDINACIÓN Y GOBERNANZA DE LA CIBERSEGURIDAD PERMANECE EN SEDE PARLAMENTARIA BAJO PRESIÓN EUROPEA.

La Directiva (UE) 2022/2555 está en vigor a nivel europeo desde enero de 2023, pero España aún no ha completado su transposición al derecho nacional. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025 y a fecha de febrero de 2026 sigue pendiente de debate parlamentario en las Cortes Generales. La Comisión Europea ya ha enviado un dictamen motivado a España (mayo 2025) por el retraso, lo que podría derivar en una demanda ante el TJUE con multas coercitivas al Estado.

El Anteproyecto, cuando se apruebe, creará el Centro Nacional de Ciberseguridad (CNC), adscrito a la Secretaría General de la Presidencia del Gobierno, con funciones de coordinación nacional y punto de contacto único ante la UE. El artículo 35 del Anteproyecto indica que los miembros del órgano de dirección de las entidades responderán solidariamente por las infracciones que éstas cometan. Esto implica que CEOs y consejos de administración no pueden delegar esta responsabilidad.

Respecto a la contratación pública, NIS2 suele traducirse en requisitos de seguridad por diseño, gestión de proveedores, trazabilidad y evidencia documental; el mercado evoluciona a un modelo donde los proveedores TIC compiten no solo por precio, sino por su capacidad de demostrar cumplimiento: metodologías, reporting, procesos y equipos.

💡 RELEVANCIA PRÁCTICA:

⚠️ A pesar del retraso legislativo, las obligaciones NIS2 son exigibles desde octubre de 2024 a nivel europeo. Las organizaciones del ámbito de aplicación deben actuar ya, ya que el proceso de adecuación (análisis de riesgos, implementación de controles, documentación auditable) requiere entre 6 y 18 meses. Además, el Tribunal Supremo español ya ha utilizado la NIS2 como referencia interpretativa (sentencia 136/2025, de 19 de febrero).

🏭 IMPACTO SECTORIAL:

Afecta a todas las AAPP (estatal, autonómica y local), operadores de sectores críticos (energía, transporte, salud, agua, infraestructuras digitales, TIC, sector postal, gestión de residuos, industria química y alimentaria, investigación) y sus proveedores de servicios TIC.

Fuentes:

La Directiva Europea NIS2 impulsa el ENS en 2026: el momento de anticiparse es ahora

6 abril 2026 amio_mx Noticias

La nueva regulación europea acelera la necesidad de cumplir con el ENS en España

España está avanzando en la transposición de la Directiva NIS2, y el mensaje es claro:

la ciberseguridad deja de ser un requisito técnico para convertirse en una obligación estratégica al máximo nivel empresarial.

Aunque el desarrollo normativo sigue en curso en el BOE, las líneas clave ya están definidas por la Comisión Europea y ENISA:

👉 Más exigencia regulatoria
👉 Mayor supervisión
👉 Sanciones relevantes
👉 Responsabilidad directa de la dirección

¿Qué significa esto para tu organización?

Muy sencillo:

El ENS ya no es solo para la Administración. Es la base real para cumplir NIS2 en España.

El Esquema Nacional de Seguridad se está consolidando como el marco de referencia práctico para:

✔️ Gestión de riesgos
✔️ Controles de seguridad
✔️ Auditorías y cumplimiento
✔️ Evidencias ante reguladores

La oportunidad (y el riesgo)

Las organizaciones que se anticipen ahora:

✅ Reducirán el impacto de NIS2
✅ Evitarán sanciones futuras
✅ Mejorarán su posicionamiento en licitaciones
✅ Generarán confianza en clientes y partners

Las que no…

⚠️ Tendrán que adaptarse con urgencia, mayor coste y presión regulatoria.

Cómo podemos ayudarte

En AMIO INGENIEROS Te acompañamos en todo el proceso de adecuación al ENS:

🔎 Diagnóstico inicial y GAP Analysis
🛠️ Implantación de controles ENS (RD 311/2022)
📊 Gestión de riesgos y cumplimiento
📑 Preparación para auditoría y certificación
🔐 Alineamiento ENS + NIS2

ENS y Cloud: el mayor reto de cumplimiento en 2026

5 abril 2026 amio_mx Noticias Uncategorized

ENS y Cloud: el mayor reto de cumplimiento en 2026

La adopción de entornos cloud (AWS, Azure, GCP) en el sector público y proveedores tecnológicos ha crecido de forma exponencial. Sin embargo, esta evolución ha puesto en evidencia una realidad incómoda:

La mayoría de organizaciones no está aplicando correctamente el Esquema Nacional de Seguridad en cloud.

El problema no es normativo. Es de interpretación, arquitectura y operación. El error de base: pensar que el cloud “ya cumple”

Uno de los fallos más frecuentes es asumir que el proveedor cloud garantiza automáticamente el cumplimiento ENS. Esto es incorrecto.

Los grandes proveedores ofrecen infraestructuras seguras, pero el ENS exige algo diferente:

  • control sobre la configuración
  • gestión del riesgo
  • operación continua de la seguridad

Aquí entra en juego el concepto clave:

🔐 Responsabilidad compartida (mal entendida)

En cloud, la seguridad se divide entre proveedor y cliente. Pero en ENS, la responsabilidad no se delega.

Esto implica que la organización sigue siendo responsable de:

  • la configuración de servicios
  • la protección de la información
  • la gestión de accesos
  • la monitorización
  • la respuesta ante incidentes

El proveedor ofrece capacidades. El cumplimiento ENS depende de cómo las uses.

Dónde están fallando las organizaciones

En auditorías recientes, se repiten patrones muy claros de incumplimiento en cloud:

1. Falta de visibilidad real

  • Logs no centralizados
  • Monitorización parcial
  • Falta de correlación de eventos

2. Configuraciones inseguras por defecto

  • Servicios expuestos a Internet
  • Almacenamiento mal configurado
  • Falta de hardening

3. Gestión deficiente de identidades (IAM)

  • Exceso de privilegios
  • Falta de control sobre cuentas privilegiadas
  • Ausencia de revisiones periódicas

4. Inventario incompleto de activos

  • Recursos desplegados sin control
  • Shadow IT en cloud
  • Falta de clasificación de sistemas

5. Ausencia de evidencias auditables

  • No se puede demostrar cumplimiento
  • Falta de trazabilidad
  • Controles definidos pero no medidos

Qué exige realmente el ENS en entornos cloud

El ENS no distingue entre on-premise y cloud. Exige lo mismo:

🔹 Control y conocimiento del sistema

  • Inventario actualizado
  • Categorización
  • Análisis de riesgos

🔹 Protección de accesos

  • Control de identidades
  • Autenticación robusta
  • Principio de mínimo privilegio

🔹 Monitorización continua

  • Registro de eventos
  • Detección de anomalías
  • Capacidad de respuesta

🔹 Seguridad en la configuración

  • Hardening de servicios
  • Revisión de configuraciones
  • Gestión de cambios

🔹 Continuidad y resiliencia

  • Copias de seguridad
  • Planes de recuperación
  • Pruebas periódicas

El punto crítico: auditorías ENS en cloud

Los auditores —especialmente bajo criterios del CCN-CERT— están elevando el nivel técnico en cloud. Ya no basta con decir:

  • “usamos Azure/AWS”
  • “el proveedor está certificado”

Ahora se exige:

✔️ Evidencia de configuración segura
✔️ Evidencia de monitorización real
✔️ Evidencia de control de accesos
✔️ Evidencia de operación continua

El cloud no reduce la exigencia ENS. La multiplica.

Cómo adaptar el ENS a cloud (enfoque práctico)

Para cumplir ENS en cloud de forma efectiva, es necesario evolucionar hacia un modelo operativo:

1. Gobierno cloud alineado con ENS

  • Políticas específicas para cloud
  • Definición clara de responsabilidades
  • Integración con el SGSI

2. Seguridad “by design”

  • Plantillas seguras (IaC)
  • Configuración estandarizada
  • Automatización

3. Monitorización centralizada

  • Integración con SIEM
  • Logging completo (no parcial)
  • Alertas operativas

4. Control de identidades robusto

  • MFA obligatorio
  • Revisión de privilegios
  • Gestión de identidades federadas

5. Auditoría continua

  • Validación automática de configuraciones
  • Escaneo continuo de vulnerabilidades
  • Generación de evidencias.

Conclusión

El cloud no es el problema. El problema es trasladar modelos tradicionales sin adaptarlos.

El mensaje clave es claro:

Migrar a cloud sin rediseñar el modelo de seguridad implica incumplir el ENS.

Las organizaciones que entiendan esto estarán preparadas para auditorías y riesgos reales. Las que no, tendrán una falsa sensación de seguridad.