🎓 Cómo usar este documento: Lee la explicación de cada bloque temático y responde las preguntas antes de pasar al siguiente. Las soluciones comentadas están al final.
El Esquema Nacional de Seguridad (ENS), aprobado por el Real Decreto 311/2022, regula la política de seguridad que deben aplicar las AAPP en la utilización de medios electrónicos.
| Elemento | Contenido |
|---|---|
| Objeto | Establecer principios básicos y requisitos mínimos para la protección adecuada de la información tratada y los servicios prestados |
| Finalidad | Asegurar el acceso, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación de datos e información |
| Afecta a | Sistemas de información utilizados para la prestación de los servicios públicos |
| Ámbito | Descripción |
|---|---|
| Sector público | Aplicación a todo el sector público |
| Información clasificada | Aplicación a sistemas que traten información clasificada, pudiendo adoptar medidas complementarias |
| Sector privado | Aplicación a entidades del sector privado cuando presten servicios o provean soluciones a entidades del sector público para el ejercicio de sus competencias |
💡 Mnemotecnia: DEG-PRSV — Diferenciación, Existencia, Gestión, Prevención, Reevaluación, Seguridad, Vigilancia
| Principio | Descripción |
|---|---|
| Diferenciación de responsabilidades | Cada responsable asume su parte |
| Existencia de líneas de defensa | Defensa en profundidad |
| Gestión de la seguridad basada en los riesgos | Las decisiones se basan en el análisis de riesgos |
| Prevención, detección, respuesta y conservación | Ciclo completo de seguridad |
| Reevaluación periódica | La seguridad se revisa de forma continua |
| Seguridad como proceso integral | No es algo puntual, es continuo |
| Vigilancia continua | Monitorización permanente |
ENS (RD 311/2022)
├── Capítulo I — Disposiciones generales (Arts. 1-4)
├── Capítulo II — Principios básicos (Arts. 5-11)
├── Capítulo III — Política de seguridad y requisitos mínimos (Arts. 12-30)
│ └── Incluye perfiles de cumplimiento específicos
├── Capítulo IV — Auditoría de seguridad, estado e incidentes (Arts. 31-34)
├── Capítulo V — Normas de conformidad (Arts. 35-38)
├── Capítulo VI — Actualización del ENS (Art. 39)
│ └── Obligación de actualización permanente
└── Capítulo VII — Categorización de sistemas de información (Arts. 40-41)
ANEXOS
├── Anexo I — Categorías de seguridad
├── Anexo II — Medidas de seguridad
│ ├── Marco organizativo
│ ├── Marco operacional
│ └── Medidas de protección
├── Anexo III — Auditoría de la seguridad
└── Anexo IV — Glosario de términos y definiciones
⚠️ Dato clave: La Disposición transitoria única fija un plazo de 24 meses para que los sistemas de información preexistentes alcancen la plena adecuación al ENS.
| Grupo | Qué incluye |
|---|---|
| Marco organizativo | Medidas relacionadas con la organización global de la seguridad |
| Marco operacional | Medidas para proteger la operación del sistema como conjunto integral |
| Medidas de protección | Centradas en proteger activos concretos según su naturaleza y nivel de seguridad |
1. ¿Cuál es el objeto principal del ENS según el RD 311/2022?
2. ¿Cuántos principios básicos recoge el artículo 5 del ENS?
3. Según el ENS, ¿cuál de los siguientes NO es un principio básico del artículo 5?
4. ¿A qué tipo de entidades privadas se aplica el ENS?
5. ¿Cuántos meses establece la disposición transitoria del ENS para que los sistemas preexistentes se adecuen plenamente?
6. ¿Cuántos capítulos tiene el ENS (RD 311/2022)?
7. El Anexo II del ENS contiene:
8. La reevaluación periódica como principio básico del ENS implica:
El ENI es el conjunto de criterios y recomendaciones que deben tener en cuenta las AAPP para tomar decisiones tecnológicas que garanticen la interoperabilidad.
💡 Es resultado de un trabajo coordinado por el Ministerio de Asuntos Económicos y Transformación Digital, con participación de todas las AAPP a través de órganos colegiados y opinión de las asociaciones del sector TIC.
| Objetivo | Descripción |
|---|---|
| Comprender | Criterios y recomendaciones que deberán tenerse en cuenta por las AAPP |
| Proporcionar | Elementos comunes que guíen la actuación de las AAPP en interoperabilidad |
| Facilitar | La implantación de las políticas de seguridad |
⚠️ Clave conceptual: La interoperabilidad se concibe desde una perspectiva integral. No caben actuaciones puntuales o tratamientos coyunturales, ya que la debilidad de un sistema la determina su punto más frágil, y este suele ser la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
ESQUEMA NACIONAL DE INTEROPERABILIDAD
├── Principios básicos de la interoperabilidad
├── Interoperabilidad organizativa
├── Interoperabilidad semántica
├── Interoperabilidad técnica
├── Infraestructuras y servicios comunes
├── Utilización de la Red de comunicaciones de las AAPP
├── Reutilización
├── Interoperabilidad de la firma electrónica y los certificados
└── Recuperación y conservación del documento electrónico
└── (manifestación de la interoperabilidad a lo largo del tiempo)
La Guía de auditoría de cumplimiento del ENI facilita la valoración del cumplimiento de las medidas de interoperabilidad. Los controles se estructuran en 3 categorías siguiendo el modelo del ENS:
| Categoría | Descripción |
|---|---|
| Marco organizativo | Controles que exigen medidas horizontales: aspectos jurídicos, políticas de actuación o decisiones de gobernanza de la interoperabilidad |
| Marco operacional | Controles que requieren prácticas, procedimientos y medidas para la administración de la interoperabilidad como conjunto (diseño, implementación, configuración y explotación) |
| Medidas técnicas | Requisitos concretos que garantizan la interoperabilidad: formatos, vocabularios o protocolos |
9. ¿Qué ministerio coordina el trabajo del ENI?
10. ¿Cuál de los siguientes NO es un elemento del ENI?
11. La Guía de auditoría de cumplimiento del ENI estructura sus controles en:
12. La perspectiva integral de la interoperabilidad implica que:
13. La recuperación y conservación del documento electrónico en el ENI es una manifestación de:
Las NTI son normas de obligado cumplimiento para las AAPP que desarrollan aspectos concretos de la interoperabilidad, establecidas por el ENI.
| NTI | Materia |
|---|---|
| Catálogo de estándares | Estándares técnicos de referencia |
| Documento electrónico | Estructura y componentes del documento electrónico |
| Digitalización de documentos | Requisitos para digitalizar documentos en papel |
| Expediente electrónico | Estructura y gestión del expediente electrónico |
| Modelo de datos para intercambio de asientos entre Entidades Registrales | Protocolo de intercambio de asientos registrales |
| Política de gestión de documentos electrónicos | Requisitos para la gestión documental |
| Política de firma electrónica y de certificados de la Administración | Normas para firma electrónica en las AAPP |
| Procedimientos de copiado auténtico y conversión entre documentos electrónicos y desde papel | Copias auténticas y conversión de formatos |
| Protocolos de intermediación de datos | Intercambio de datos entre administraciones |
| Requisitos de conexión a la Red de comunicaciones de las AAPP españolas | Condiciones técnicas de conexión a la Red SARA |
| Relación de modelos de datos | Modelos de datos de referencia |
| Reutilización de recursos de información | Condiciones para la reutilización de información pública |
14. Las Normas Técnicas de Interoperabilidad (NTI) son:
15. ¿Cuál de las siguientes NO es una NTI del catálogo del ENI?
16. La NTI que regula el intercambio de asientos entre entidades registrales se denomina:
| Servicio | Función |
|---|---|
| Cl@ve | Identificación digital del ciudadano frente a las AAPP |
| Cl@ve Firma | Plataforma de firma criptográfica con certificados centralizados |
| @Firma | Plataforma de validación de certificados y firmas / Cliente de firma electrónica (applet, escritorio y móvil) |
| FIRe | Solución integral de firma: escritorio, móvil y nube (Cl@ve Firma) |
| TS@ | Autoridad de sellado electrónico. Servicios de sellado de tiempo sincronizados con la hora oficial del Estado |
| VALIDe | Validación de firmas y certificados electrónicos por el usuario final |
| Port@firmas | Incorporación de firma electrónica en los flujos de trabajo de una organización (empleado público) |
| Integr@ | Librerías y servicios para la integración con @Firma y firma en servidor local |
| eVisor | Generación de copia auténtica en papel de documentos con firma electrónica |
| Autentica | Autenticación, autorización y Single Sign On (SSO) de empleados públicos en aplicaciones internas |
| eIDAS | Nodo eIDAS español: permite reconocimiento mutuo de identidades electrónicas en la UE |
| Servicio | Función |
|---|---|
| SIR | Sistema de Interconexión de Registros: intercambio de asientos electrónicos entre AAPP según la NTI de protocolo de intercambio |
| REG-AGE | Registro Electrónico General de la AGE: punto único para presentación de documentos por Internet |
| GEISER | Gestión integral de servicios de registro (E/S en oficinas de asistencia y transmisión de asientos) |
| ORVE | Oficina de Registro Virtual: servicio en la nube gratuito para intercambio de asientos entre AAPP integradas en el SIR |
| REA Apodera | Registro Electrónico de Apoderamientos de la AGE |
| RFH Habilit@ | Registro de Funcionarios Habilitados: actúan en nombre de ciudadanos y generan copias auténticas |
| Representa | Punto de validación de la identificación de profesionales que actúan en representación de terceros |
| Notaría | Consulta de poderes notariales y de administradores |
| Servicio | Función |
|---|---|
| PAG | Punto de Acceso General: puerta de entrada digital de los ciudadanos a las AAPP |
| Teléfono 060 | Teléfono único de atención de la AGE |
| Carpeta Ciudadana | Espacio privado con todos los datos del ciudadano en su relación con las AAPP |
| FACE | Punto General de Entrada de Facturas Electrónicas |
| Transparencia Local | Portal de transparencia gratuito para entidades locales |
| SCCD | Servicio de Comunicación de Cambio de Domicilio |
| IPS | Inscripción de Pruebas Selectivas |
| Cita Previa | Gestión de citas en oficinas de atención al ciudadano |
| Servicio | Función |
|---|---|
| PID | Plataforma de Intermediación de Datos: infraestructura para intercambio de datos de ciudadanos entre AAPP |
| Portfolio SCSP | Conjunto de soluciones para solicitar o proporcionar datos estructurados a otros organismos |
| CORINTO | Comunicaciones Electrónicas Seguras entre organismos o unidades administrativas |
| Servicio | Función |
|---|---|
| SIA | Sistema de Información Administrativa: relación de procedimientos y servicios de la AGE y AAPP |
| DIR3 | Directorio Común de Unidades Orgánicas y Oficinas: inventario unificado de organismos y oficinas |
| DIRe Direntidades | Directorio de Entidades: personas jurídicas del ámbito privado con datos actualizados |
| Servicio | Función |
|---|---|
| DEHú | Dirección Electrónica Habilitada Única: punto único de acceso a todas las notificaciones |
| Notific@ | Gestión de notificaciones y emisión por diferentes vías |
| SNE | Sistema de Notificaciones Electrónicas: entrega de notificación a la DEH |
| Plataforma SIM | Mensajería: avisos a ciudadanos por SMS o correo electrónico |
| Servicio | Función |
|---|---|
| InSiDe | Suite para gestión de documentos y expedientes electrónicos según el ENI. Incluye CVS (Código Seguro de Verificación) |
| Archive | Archivo definitivo de expedientes y documentos electrónicos |
| eEMGDE | Esquema de metadatos para la gestión del documento electrónico (referenciado por la NTI de política de gestión documental) |
| Servicio | Función |
|---|---|
| ACCEDA | Interfaz de sede electrónica y tramitación de procedimientos administrativos |
| PAGOS | Pasarela de pagos centralizada para el pago de tasas en trámites digitales |
| Infraestructura | Función |
|---|---|
| Red SARA | Infraestructura de comunicaciones y servicios básicos que conecta las redes de las AAPP españolas e instituciones europeas |
| Servicio Unificado de Telecomunicaciones | Red corporativa única para todas las entidades de la AGE y sus OO.PP. |
| Servicio de seguridad gestionada | Servicios de ciberseguridad comunes para la AGE y sus OO.PP. |
| Servicio de alojamiento de infraestructuras | Espacio físico para infraestructuras TIC con garantías de disponibilidad |
| Nube SARA | Servicios de computación y almacenamiento en nube híbrida |
| Servicio | Función |
|---|---|
| PAE | Portal de Administración Electrónica: punto centralizado de información sobre admón. electrónica |
| OBSAE | Observatorio de Administración Electrónica: análisis y difusión de la situación de la admón. digital |
| CTT | Centro de Transferencia de Tecnología: directorio de aplicaciones para reutilización |
| CIS | Centro de Interoperabilidad Semántica: publica los modelos de datos de intercambio del ENI |
| datos.gob.es | Catálogo nacional de datos abiertos |
| Servicio | Función |
|---|---|
| NEDAES | Nómina Estándar de la Admón. del Estado |
| SIGP | Sistema Integrado de Gestión de Personal |
| FUNCIONA | Portal del Empleado Público |
| RCP | Registro Central de Personal: inscripción de todos los actos de la vida administrativa de los empleados |
| TRAMA | Control de presencia, gestión de permisos e incidencias |
17. ¿Qué servicio permite al ciudadano acceder a todas sus notificaciones de las AAPP en un único punto?
18. ¿Qué diferencia hay entre @Firma y FIRe?
19. La Red SARA es:
20. ¿Qué servicio proporciona el sellado de tiempo sincronizado con la hora oficial del Estado?
21. El SIR (Sistema de Interconexión de Registros) permite:
22. ¿Qué servicio ofrece autenticación, autorización y Single Sign On (SSO) para los empleados públicos?
23. ¿Cuál de los siguientes es el punto de entrada centralizado para facturas electrónicas de proveedores de las AAPP?
24. El servicio InSiDe permite, entre otras funciones:
25. ¿Qué servicio permite a las AAPP consultar poderes notariales y de administradores?
26. El DIR3 es:
27. ¿Qué metodología del catálogo de regulación del ENS es el instrumento para facilitar el análisis y gestión de riesgos?
28. El nodo eIDAS español permite:
1 → b) El ENS tiene por objeto establecer principios básicos y requisitos mínimos para la protección adecuada de la información y los servicios electrónicos de las entidades incluidas en su ámbito. No regula la firma electrónica (eIDAS) ni la interoperabilidad (ENI).
2 → c) El artículo 5 enumera 7 principios básicos: Diferenciación de responsabilidades, Existencia de líneas de defensa, Gestión de la seguridad basada en los riesgos, Prevención/detección/respuesta y conservación, Reevaluación periódica, Seguridad como proceso integral, y Vigilancia continua.
3 → c) El "principio de proporcionalidad" no está entre los 7 principios básicos del art. 5. Todos los demás sí son principios del ENS. Recuerda la mnemotecnia DEG-PRSV.
4 → b) El ENS se aplica a las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas (art. 2). No se aplica a todas las empresas en general.
5 → c) La Disposición transitoria única del RD 311/2022 establece un plazo de 24 meses desde la entrada en vigor para que los sistemas preexistentes alcancen la plena adecuación.
6 → c) El ENS (RD 311/2022) tiene 7 capítulos: Disposiciones generales, Principios básicos, Política de seguridad y requisitos mínimos, Auditoría y estado de la seguridad, Normas de conformidad, Actualización del ENS, y Categorización de sistemas.
7 → c) El Anexo II contiene las medidas de seguridad, estructuradas en tres grupos: marco organizativo, marco operacional y medidas de protección. El Anexo I son las categorías, el Anexo III la auditoría y el Anexo IV el glosario.
8 → b) La reevaluación periódica implica que los riesgos y medidas de seguridad se revisan continuamente para adecuarse a la evolución tecnológica y de las amenazas. No es una auditoría anual obligatoria, sino un principio de revisión constante.
9 → c) El ENI es resultado de un trabajo coordinado por el Ministerio de Asuntos Económicos y Transformación Digital, con participación de todas las AAPP a través de sus órganos colegiados con competencia en administración digital.
10 → c) La "interoperabilidad financiera" no existe como elemento del ENI. Los elementos del ENI son: principios básicos, interoperabilidad organizativa, semántica, técnica, infraestructuras y servicios comunes, Red de comunicaciones, reutilización, firma electrónica y certificados, y recuperación/conservación del documento electrónico.
11 → b) La Guía de auditoría de cumplimiento del ENI estructura sus controles en 3 categorías siguiendo el modelo del ENS: marco organizativo, marco operacional y medidas técnicas.
12 → b) La concepción integral de la interoperabilidad significa que no caben actuaciones puntuales porque la debilidad de un sistema la determina su punto más frágil, y ese punto suele ser la coordinación entre medidas que individualmente son adecuadas pero están deficientemente ensambladas.
13 → c) La recuperación y conservación del documento electrónico es la manifestación de la interoperabilidad a lo largo del tiempo, ya que garantiza que los documentos sean accesibles y legibles en el futuro.
14 → b) Las NTI son normas de obligado cumplimiento para las AAPP. No son recomendaciones voluntarias ni directivas europeas; son normas técnicas dictadas al amparo del ENI.
15 → c) La "gestión de contratos públicos electrónicos" no es una NTI del catálogo del ENI. Las NTI regulan aspectos como el documento electrónico, digitalización, expediente electrónico, firma electrónica, registros, etc.
16 → b) La NTI denominada "Modelo de datos para intercambio de asientos entre las Entidades Registrales" regula el protocolo de intercambio de asientos registrales (es la que utiliza el SIR).
17 → b) La DEHú (Dirección Electrónica Habilitada Única) es el punto único donde ciudadanos, personas físicas y jurídicas, tienen accesibles todas sus notificaciones y comunicaciones de las AAPP. Notific@ gestiona el envío; la DEHú es el buzón único.
18 → b) @Firma es tanto la plataforma de validación de certificados y firmas como el cliente de firma (applet, escritorio, móvil). FIRe es la solución integral que engloba escritorio, móvil y nube a través de Cl@ve Firma. FIRe es la "solución paraguas".
19 → b) La Red SARA es el conjunto de infraestructuras de comunicaciones y servicios básicos que conecta las redes de las AAPP españolas e instituciones europeas. Es la "autopista" de la interoperabilidad.
20 → c) TS@ es la Autoridad de Sellado Electrónico que proporciona servicios de sellado de tiempo sincronizados con la hora oficial del Estado.
21 → b) El SIR permite el intercambio de asientos electrónicos de registro entre todas las AAPP según la NTI de protocolo de intercambio de asientos registrales.
22 → c) Autentica ofrece servicios de autenticación, autorización y Single Sign On (SSO) de empleados públicos para el acceso a aplicaciones internas de las AAPP. Cl@ve es para ciudadanos.
23 → b) FACE (Punto General de Entrada de Facturas Electrónicas) es el punto de entrada centralizado para facturas electrónicas de los proveedores de las AAPP.
24 → b) InSiDe es la suite para la gestión de documentos y expedientes electrónicos según el ENI, que también incluye la suite CVS para generación y consulta de Códigos Seguros de Verificación.
25 → c) Notaría es el servicio que permite a las AAPP la consulta de poderes notariales y de administradores. REA Apodera es el registro de apoderamientos; Representa valida a profesionales en representación de terceros.
26 → b) DIR3 es el inventario unificado y común a toda la Administración de las unidades orgánicas/organismos públicos, sus oficinas asociadas y unidades de gestión económico-presupuestaria. Es la "guía de teléfonos" de la Administración.
27 → b) Magerit v3 es la metodología de análisis y gestión de riesgos, instrumento para facilitar la implantación del ENS. Métrica v3 es la metodología para el ciclo de vida del software.
28 → b) El nodo eIDAS español permite ambas direcciones: que el DNI electrónico sea aceptado en servicios de administraciones europeas, y que ciudadanos europeos puedan identificarse en servicios públicos españoles usando su medio de identificación nacional.
| Concepto | Valor / Respuesta clave |
|---|---|
| ENS aprobado por | RD 311/2022 |
| Principios básicos ENS | 7 (mnemotecnia: DEG-PRSV) |
| Plazo adecuación ENS (sistemas preexistentes) | 24 meses |
| Capítulos del ENS | 7 |
| Anexos del ENS | 4 (Categorías, Medidas, Auditoría, Glosario) |
| Medidas de seguridad ENS (Anexo II) | Marco organizativo + Marco operacional + Medidas de protección |
| ENI coordinado por | Ministerio de Asuntos Económicos y Transformación Digital |
| Categorías Guía auditoría ENI | Marco organizativo, Marco operacional, Medidas técnicas |
| NTI — carácter | Obligatorio para las AAPP |
| NTI de intercambio de asientos registrales | Modelo de datos para intercambio de asientos entre Entidades Registrales |
| Identificación ciudadanos ante AAPP | Cl@ve |
| Firma centralizada en la nube | Cl@ve Firma |
| Validación de certificados y firmas (plataforma) | @Firma |
| Solución integral de firma (escritorio + móvil + nube) | FIRe |
| Sellado de tiempo oficial | TS@ |
| SSO empleados públicos | Autentica |
| Buzón único de notificaciones | DEHú |
| Intercambio asientos registrales entre AAPP | SIR |
| Intermediación de datos entre AAPP | PID |
| Red de comunicaciones entre AAPP | Red SARA |
| Directorio de unidades orgánicas y oficinas | DIR3 |
| Documentos y expedientes electrónicos (suite) | InSiDe (incluye CVS) |
| Facturas electrónicas a las AAPP | FACE |
| Punto de entrada digital del ciudadano | PAG |
| Carpeta del ciudadano con sus datos en AAPP | Carpeta Ciudadana |
| Gestión de nóminas AGE | NEDAES |
| Registro de actos vida administrativa empleados | RCP |
| Metodología análisis de riesgos para el ENS | Magerit v3 |
| Metodología ciclo de vida del software | Métrica v3 |
| Portal de aplicaciones para reutilización | CTT |
| Modelos de datos de intercambio ENI | CIS (Centro de Interoperabilidad Semántica) |
| Catálogo nacional de datos abiertos | datos.gob.es |