El ENS: la vía maestra para que las empresas españolas cumplan la Directiva NIS2

El ENS la vía maestra para que las empresas españolas cumplan la Directiva NIS2, ciberseguridad, amio
13 abril 2026 amio_mx Noticias

El contexto regulatorio: España ante la presión europea

La Directiva NIS2 (Directiva UE 2022/2555) se adoptó formalmente en diciembre de 2022, entró en vigor en enero de 2023 y exigía a los Estados miembros su transposición antes del 17 de octubre de 2024. España ha incumplido ese plazo: en noviembre de 2024, la Comisión Europea inició procedimientos de infracción contra España y otros 22 países por no haber completado la transposición, lo que obligó al Gobierno a aprobar en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que se encuentra actualmente en tramitación parlamentaria.

En este escenario de incertidumbre jurídica, las organizaciones españolas afectadas —entidades esenciales e importantes de sectores críticos— necesitan actuar ya. Y la respuesta más sólida, eficiente y reconocida institucionalmente está en su propio marco normativo nacional: el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022.

¿Por qué el ENS es la mejor palanca para cumplir NIS2?

1. Reconocimiento explícito en el propio Anteproyecto de Ley

Este es el argumento más poderoso y definitivo: conforme al Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el Perfil de Cumplimiento Específico del ENS se configura como un mecanismo válido para acreditar el cumplimiento de las medidas de gestión de riesgos de ciberseguridad exigidas por NIS2. Para las entidades esenciales e importantes sujetas al RD 311/2022, la aplicación de dicho perfil será suficiente para demostrar la adecuación a los requisitos de ciberseguridad de la futura ley de transposición. Esta posibilidad se extiende incluso a entidades no obligadas por el ENS, siempre que opten voluntariamente por certificarse en la categoría alta.

En términos prácticos: cumplir el ENS equivale a cumplir NIS2 en España.

2. La guía CCN-STIC 892: el puente técnico oficial entre ENS y NIS2

El Centro Criptológico Nacional (CCN) no ha dejado nada al azar. El CCN ha publicado la guía CCN-STIC 892 «Perfil de Cumplimiento Específico para organizaciones en el ámbito de aplicación de la Directiva NIS2» (PCE-NIS2), cuyo objeto es mostrar el perfil desarrollado para dar respuesta a las disposiciones de la directiva europea por parte de las organizaciones en el ámbito de aplicación del ENS. El documento incluye en su Anexo I el mapeo completo entre la Directiva NIS2 y el ENS.

Las 10 medidas generales para la gestión de riesgos del artículo 21 de la Directiva NIS2 se mapean en esta guía con las 73 medidas del ENS, estableciendo una Declaración de Aplicabilidad diferenciada para entidades esenciales y para entidades importantes.

3. Cobertura técnica directa del artículo 21 de NIS2

El artículo 21 es el corazón técnico de NIS2: obliga a implantar medidas proporcionales al riesgo en diez áreas clave. El ENS las cubre sistemáticamente:

Requisito Art. 21 NIS2
                           Cobertura ENS (RD 311/2022)
Políticas de análisis de riesgos                                Marco.org / op.pl.1 – Análisis de riesgos
Gestión de incidentes                                op.exp.7 / Art. 33 RD 311/2022 + CCN-CERT
Continuidad del negocio                                op.cont.1 / op.cont.2 – Plan de continuidad
Seguridad de la cadena de suministro                                op.ext.1 / op.ext.2 – Proveedores externos
Seguridad en adquisición y desarrollo                                op.sw.1 / op.sw.2 – Desarrollo seguro
Gestión de vulnerabilidades                                op.exp.6 – Gestión de parches
Autenticación multifactor (MFA)                                op.acc.5 – Autenticación robusta
Cifrado y criptografía                                mp.com.3 / mp.si.3 – Cifrado de comunicaciones y soportes
Seguridad de los RRHH                                mp.per.1 a mp.per.4
Uso de herramientas de gestión                                Herramientas INÉS, LUCÍA y CARMEN del CCN
4. Un marco certificable con auditoría periódica

Una de las diferencias fundamentales del ENS frente a otros enfoques es que es norma jurídica certificable. Las entidades de certificación acreditadas por ENAC y los órganos de auditoría técnica de la Administración certifican el cumplimiento del perfil. La auditoría interna se realiza anualmente y la certificación de conformidad se renueva cada dos años. Esto proporciona evidencia documental sólida frente a cualquier requerimiento regulatorio, tanto nacional como europeo.

5. Crecimiento exponencial: España lidera en implantación

Los datos avalan la madurez del sistema. A comienzos de 2026, hay ya un total de 3.455 organizaciones certificadas en España bajo el RD 311/2022. Solo durante 2025 se certificaron 1.119 nuevas organizaciones, un hito histórico en la adopción del esquema. Este ecosistema de organizaciones certificadas dispone ya de la infraestructura de seguridad, los procedimientos y la cultura organizativa necesarios para acreditar el cumplimiento NIS2 con un coste marginal adicional mínimo.

¿A qué organizaciones afecta NIS2 en España?

La Directiva NIS2 considera entidades esenciales a: la Administración pública central, las grandes empresas en sectores de alta criticidad, los prestadores cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel y los proveedores de servicios DNS, así como las entidades identificadas como críticas conforme a la Directiva CER (UE) 2022/2557.

Los sectores de alta criticidad (Anexo I) incluyen: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, Administración pública e industria espacial. Los otros sectores críticos (Anexo II) amplían el alcance a: servicios postales, gestión de residuos, fabricación, producción y distribución de productos químicos, alimentación, industria manufacturera, proveedores digitales e investigación.

El camino práctico: cómo usar el ENS para cumplir NIS2

Paso 1 – Diagnóstico de alcance: Determinar si la organización es entidad esencial o importante conforme a los Anexos I y II de la Directiva.

Paso 2 – Análisis de riesgos: Aplicar la metodología MAGERIT o equivalente conforme al marco.org del ENS, que satisface directamente el requisito de gestión de riesgos del art. 21 NIS2.

Paso 3 – Categorización ENS: Determinar la categoría del sistema (Básica, Media o Alta) según el impacto en las dimensiones ACID (Autenticidad, Confidencialidad, Integridad, Disponibilidad, Trazabilidad). Para entidades esenciales NIS2, la referencia es categoría Alta.

Paso 4 – Aplicación del PCE-NIS2 (CCN-STIC 892): Usar la Declaración de Aplicabilidad del perfil específico para mapear medidas ENS con los requisitos del art. 21 NIS2.

Paso 5 – Certificación: Obtener la Certificación de Conformidad ENS a través de una Entidad de Certificación acreditada por ENAC o un Órgano de Auditoría Técnica reconocido por el CCN.

Paso 6 – Notificación de incidentes: Integrar los procedimientos de notificación con el CCN-CERT, que ejerce como CSIRT de referencia para el sector público y las entidades bajo su ámbito.

Ventaja estratégica: un marco, dos cumplimientos

La integración del ENS y NIS2 en un enfoque estratégico unificado elimina la duplicidad de auditorías, reduce costes de mantenimiento y garantiza el cumplimiento legal simultáneo. Esta consolidación metodológica permite a las entidades satisfacer las demandas de distintos auditores gubernamentales utilizando exactamente el mismo conjunto de evidencias documentales y controles.

Adicionalmente, el ENS ya incorpora la alineación con ISO/IEC 27001:2022: el PCE-NIS2 permite compatibilizar NIS2 con dos certificaciones simultáneas —ENS e ISO 27001— contrastando las medidas de seguridad del primero con los controles de la segunda. Esto significa que una organización que trabaje con estas tres referencias opera en el nivel máximo de madurez regulatoria exigible en Europa.

Conclusión

España tiene en el ENS (RD 311/2022) un activo regulatorio de primer nivel que ningún otro Estado miembro de la UE posee de forma equivalente. Es la herramienta más completa, técnicamente rigurosa y jurídicamente reconocida para que las organizaciones españolas —públicas y privadas— acrediten su cumplimiento con la Directiva NIS2. No aprovecharla sería perder una ventaja competitiva única y asumir innecesariamente los riesgos de la incertidumbre normativa.

🔑 Referencias normativas: RD 311/2022 · Directiva (UE) 2022/2555 · CCN-STIC 892 (PCE-NIS2) · Anteproyecto Ley Coordinación y Gobernanza de la Ciberseguridad (enero 2025) · Reglamento de Ejecución (UE) 2024/2690

Fuentes consultadas:

  1. CCN — Directiva NIS2 https://www.ccn.cni.es/es/normativa/directiva-nis2
  2. CCN-CERT — Publicación CCN-STIC 892 PCE-NIS2 https://www.ccn-cert.cni.es/es/seguridad-al-dia/novedades-ccn-cert/12945-el-ccn-publica-un-nuevo-perfil-de-cumplimiento-especifico-para-organizaciones-en-el-ambito-de-aplicacion-de-la-directiva-nis2.html
  3. CCN-CERT — Actualización CCN-STIC 890 https://www.ccn-cert.cni.es/es/seguridad-al-dia/novedades-ccn-cert/13090-actualizada-la-guia-ccn-stic-890-sobre-adecuacion-al-ens-conforme-al-perfil-de-cumplimiento-especifico-de-requisitos-fundamentales-de-seguridad.html
  4. CCN — PCE-NIS2 (página oficial) https://www.ccn.cni.es/es/actualidad-ccn/1147-el-ccn-publica-un-nuevo-perfil-de-cumplimiento-especifico-para-organizaciones-en-el-ambito-de-aplicacion-de-la-directiva-nis2
  5. iSec Auditors — Transposición NIS2 en España y Anteproyecto de Ley https://blog.isecauditors.com/directiva-nis2-transposicion-en-espana-y-anteproyecto-de-ley
  6. Ingertec — Estado transposición NIS2 https://ingertec.com/estado-transposicion-nis2-tras-17-octubre-espana-europa/
  7. Neotica — ENS como columna vertebral de la confianza digital https://www.neotica.net/concienciacion-en-ciberseguridad/el-ens-como-columna-vertebral-de-la-confianza-digital-guia-completa-y-actualidad/
  8. Audidat — Cumplimiento conjunto ENS y NIS2 https://www.audidat.com/blog/esquema-nacional-de-seguridad/cumplimiento-conjunto-ens-nis2-ciberseguridad/
  9. LKS Next — NIS2 e implicaciones legales https://www.lksnext.com/es/noticias_boletin/directiva-nis2-y-sus-implicaciones-legales-para-las-organizaciones/
  10. Govertis — PCE-NIS2 vs NIS2 https://www.govertis.com/perfil-de-cumplimiento-especifico-directiva-nis2
  11. EQA — Cumplimiento Directiva NIS2 https://eqa.es/seguridad-informacion/cumplimiento-directiva-nis2-ley-seguridad-redes-sistemas-informacion
  12. FinReg360 — CCN publica PCE-NIS2 https://finreg360.com/alerta/el-centro-criptologico-nacional-publica-un-perfil-de-cumplimiento-especifico-para-ayudar-a-las-entidades-a-cumplir-con-la-nis-2/
  13. Red Seguridad — Sector sanitario, ENS y NIS2 https://www.redseguridad.com/sectores/sanitario/sector-sanitario-certificacion-en-el-ens-y-cumplimiento-de-la-nis2_20241111.html
  14. CEA Digital Law — Transposición NIS2 en España https://ceadigilaw.org/transposicion-de-la-directiva-nis2-en-espana-estado-actual-proceso-legislativo-y-retos-regulatorios/
  15. NIS-2-Directive.com — Transposición en España https://www.nis-2-directive.com/Transposition/Spain.html
  16. Scribd — CCN-STIC 892 PCE-NIS2 (documento) https://es.scribd.com/document/729857090/CCN-STIC-892-PCE-NIS2
  17. SOCINFO Digital — ENS y NIS2 para AAPP (presentación) https://socinfodigital.es/wp-content/uploads/2025/01/3.-MiguelAngelAmutio_-20250124-SOCINFO-ENS-NIS2-Amutio-99.pdf