El Esquema Nacional de Seguridad clasifica los sistemas de información en tres categorías según el impacto que tendría un incidente de seguridad sobre ellos. La categoría media es la que aplica a la inmensa mayoría de PYMEs industriales: un incidente afectaría significativamente a la operatividad de la organización, pero no tendría consecuencias catastróficas sobre la seguridad de las personas ni la disponibilidad de servicios esenciales.
Si tu empresa opera en un sector regulado por la NIS2 y tiene más de 10 empleados, lo más probable es que necesites cumplir con el ENS de categoría media.
El Real Decreto 311/2022 y la Guía CCN-STIC 804 del CCN definen 18 medidas organizativas y operativas que debes implementar. No son sugerencias: son obligaciones verificables en una auditoría.
| # | Medida | Qué implica en la práctica |
|---|---|---|
| 1 | Política de seguridad | Documento aprobado por la dirección que define los objetivos y principios de la seguridad de la información |
| 2 | Organización de la seguridad | Asignar responsabilidades (CISO, responsable de seguridad, comité) |
| 3 | Formación y concienciación | Formación obligatoria para todo el personal, con registro de asistencia y evaluación |
| 4 | Clasificación de la información | Identificar y etiquetar los activos de información según su criticidad |
| 5 | Gestión de recursos humanos | Verificar antecedentes de personal con acceso a sistemas críticos, cláusulas de confidencialidad |
| 6 | Gestión de incidentes | Procedimientos de detección, notificación, respuesta y lecciones aprendidas |
| 7 | Continuidad de negocio | Planes BCP y DRP documentados, probados y actualizados |
| 8 | Cumplimiento normativo | Evaluación periódica del cumplimiento legal y normativo aplicable |
| # | Medida | Qué implica en la práctica |
|---|---|---|
| 9 | Análisis y gestión de riesgos | Evaluación formal de riesgos sobre activos de información, con tratamiento documentado |
| 10 | Control de acceso | Autenticación, autorización y trazabilidad de acceso a sistemas |
| 11 | Protección de las comunicaciones | Cifrado de comunicaciones, VPN para acceso remoto, segmentación de redes |
| 12 | Protección de la información | Cifrado de datos en reposo y en tránsito, firmas digitales |
| 13 | Copias de seguridad | Backups inmutables, verificación periódica de restauración, ubicación separada |
| 14 | Gestión de cambios | Proceso formal para modificar configuraciones de sistemas en producción |
| 15 | Gestión de vulnerabilidades | Identificación, evaluación y corrección periódica de vulnerabilidades |
| 16 | Protección del entorno | Medidas físicas y lógicas del entorno de procesamiento |
| 17 | Registro de actividad | Logs de auditoría centralizados, conservados al menos 12 meses |
| 18 | Adquisición de servicios | Requisitos de seguridad en contratos con proveedores (cadena de suministro) |
El coste depende del tamaño de la organización y del estado inicial de cumplimiento, pero estas son cifras orientativas para una PYME industrial de 20-50 empleados:
| Concepto | Coste estimado | Plazo |
|---|---|---|
| Análisis de brechas (gap analysis) | 2.000 - 4.000 € | 2-3 semanas |
| Redacción de políticas y procedimientos | 2.500 - 5.000 € | 2-3 semanas |
| Implementación técnica (segmentación, backups, MFA, logs) | 4.000 - 8.000 € | 3-4 semanas |
| Formación del personal | 500 - 1.500 € | 1 semana |
| Auditoría de conformidad | 2.000 - 3.500 € | 1 semana |
| Total orientativo | 11.000 - 22.000 € | 2-3 meses |
Estas cifras incluyen asesoría externa. Si la empresa tiene personal interno con capacidad técnica, el coste puede ser menor.
En nuestra experiencia auditando PYMEs industriales, estos son los incumplimientos más frecuentes:
El primer paso no es escribir políticas. Es saber dónde estás. Un diagnóstico pasivo de tu red OT te da una radiografía del estado real de tu infraestructura, y un análisis de brechas frente al ENS te dice exactamente qué necesitas implementar.
En Cvstos Cyber ofrecemos tanto el diagnóstico técnico como la adecuación legal completa, coordinados para que no haya vacíos entre lo técnico y lo normativo. Consúltanos.