IA para ENS: cumplimiento del Esquema Nacional de Seguridad con IA (2026)

Por David Moya · · 19 min lectura

ia-para-ens

En este artículo

  1. Qué es el ENS y niveles de seguridad
  2. Automatización de controles ENS con IA
  3. Generación de documentación obligatoria
  4. Análisis de riesgos asistido con IA
  5. Monitorización continua y alertas
  6. CCN-STIC e IA: compatibilidad y restricciones
  7. Soberanía de datos: LLM locales obligatorio para ENS Alto
  8. Herramientas compatibles con ENS
  9. Preguntas frecuentes
Experiencia del autor: Trabajo con organizaciones sujetas a ENS (desde Bajo hasta Alto) desde hace años. El ENS tiene una particularidad que lo diferencia de ISO 27001 o NIS2: es un marco prescriptivo, no solo principios. Te dice exactamente qué controles implementar según tu nivel. Esto lo hace ideal para automatización con IA, porque la ambigüedad es mínima. Lo que no es ideal es el volumen de documentación que exige, especialmente en nivel Alto.
Guía principal: Este artículo forma parte de la IA para empresas.

El Esquema Nacional de Seguridad (ENS) es la normativa española que establece la política de seguridad para la protección de la información en el sector público. Desde la actualización del Real Decreto 311/2022, su alcance se extiende a todos los proveedores tecnológicos del sector público, lo que en la práctica significa que cualquier empresa que trabaje con la Administración necesita cumplir el ENS.

El ENS define tres niveles de seguridad (Bajo, Medio, Alto) con requisitos crecientes. Cada nivel tiene un conjunto de controles agrupados en marcos operacional, organizativo y de protección. El nivel se determina por la categorización del sistema: qué información maneja, qué servicios presta y qué impacto tendría una brecha.

La IA no sustituye al responsable de seguridad ni al proceso de certificación. Lo que hace es reducir drásticamente el esfuerzo de documentación, automatizar la monitorización de controles y acelerar la preparación para auditorías. En esta guía vamos a ver cómo aplicar IA a cada fase del cumplimiento ENS, con especial atención a la soberanía de datos, porque en ENS Alto no es opcional.

Resumen rápido

El ENS requiere controles prescriptivos según nivel (Bajo/Medio/Alto). La IA automatiza la generación de documentación obligatoria, el análisis de riesgos y la monitorización de controles. Para ENS Alto, los LLM deben ejecutarse en infraestructura propia (soberanía de datos obligatoria).

Qué es el ENS y niveles de seguridad

El ENS (regulado por el RD 311/2022) establece los principios básicos y requisitos mínimos para la protección adecuada de la información y los servicios electrónicos del sector público español.

Los tres niveles:

ENS Bajo. Sistemas cuyo compromiso causaría un perjuicio limitado. Controles básicos: política de seguridad, gestión de accesos, protección antivirus, backups, concienciación. Documentación mínima obligatoria. Es el nivel más común para proveedores que manejan información no sensible.

ENS Medio. Sistemas cuyo compromiso causaría un perjuicio grave. Controles adicionales: cifrado en tránsito y reposo, gestión de vulnerabilidades, monitorización de eventos, gestión de incidentes formalizada, auditorías periódicas. Requiere más documentación y evidencias que el nivel Bajo.

ENS Alto. Sistemas cuyo compromiso causaría un perjuicio muy grave. Controles máximos: segregación de redes, IDS/IPS, correlación de eventos (SIEM), respuesta a incidentes 24/7, análisis forense, continuidad de negocio, cifrado de extremo a extremo. Documentación exhaustiva. Auditorías bienales obligatorias con certificación por entidad acreditada.

Categorización del sistema. El nivel se determina evaluando cinco dimensiones: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. Para cada dimensión se valora el impacto de una brecha. La dimensión con impacto más alto determina el nivel del sistema. La IA puede asistir en la categorización, pero la decisión final es del responsable del sistema.

Estructura de controles. El ENS organiza los controles en tres marcos:

Automatización de controles ENS con IA

Los controles del ENS se prestan a automatización porque son prescriptivos. No dicen "implemente medidas adecuadas de acceso" (como ISO 27001). Dicen exactamente qué hay que hacer en cada nivel.

Controles operacionales automatizables:

op.acc (Control de acceso). Identificación y autenticación de usuarios, gestión de derechos de acceso, mecanismo de autenticación. La IA puede monitorizar automáticamente: cuentas sin actividad en 90 días, usuarios con privilegios excesivos, accesos fuera de horario, intentos de acceso fallidos por encima del umbral. Genera alertas y recomendaciones de corrección.

op.exp (Explotación). Gestión de la configuración, mantenimiento, gestión de cambios, protección frente a código dañino. La IA verifica automáticamente que las configuraciones cumplen con las baselines de seguridad (CCN-STIC-800), que las actualizaciones están al día y que el antivirus tiene firmas actualizadas.

op.mon (Monitorización). Detección de intrusión, sistema de métricas, vigilancia. Un LLM conectado al SIEM puede analizar los eventos de seguridad, correlacionar alertas y generar informes de monitorización en el formato que exige el ENS.

Controles de protección automatizables:

mp.com (Comunicaciones). Protección del perímetro, protección de la confidencialidad. La IA verifica automáticamente que los certificados TLS están vigentes, que el cifrado cumple los requisitos del nivel (TLS 1.2 mínimo para Medio, TLS 1.3 para Alto) y que no hay servicios expuestos sin protección.

mp.info (Protección de la información). Datos de carácter personal, calificación de la información, cifrado, limpieza de documentos. La IA puede clasificar automáticamente documentos según su nivel de sensibilidad y verificar que el cifrado aplicado corresponde al nivel requerido.

Generación de documentación obligatoria

El ENS exige un conjunto específico de documentos según el nivel. La IA genera borradores de todos ellos.

Documentación obligatoria para todos los niveles:

Documentación adicional para ENS Medio y Alto:

Prompt para generar política de seguridad ENS:

Genera una Política de Seguridad de la Información conforme al ENS
(RD 311/2022) para una organización con estas características:

- Tipo: [Administración Pública / Proveedor sector público]
- Nivel ENS: [Bajo / Medio / Alto]
- Sector: [descripción]
- Sistemas en alcance: [descripción]
- Responsable de seguridad: [nombre/cargo]

La política debe incluir:
1. Objeto y alcance
2. Misión del organismo y marco legal
3. Principios básicos (según art. 4-11 RD 311/2022)
4. Requisitos mínimos de seguridad (según art. 12-27)
5. Roles y responsabilidades (responsable de información,
   responsable de servicio, responsable de seguridad)
6. Gestión de riesgos
7. Desarrollo de la política (normativas, procedimientos)
8. Obligaciones del personal
9. Terceros (requisitos para proveedores)
10. Revisión y actualización

Formato formal, lenguaje jurídico-administrativo.
Referencia explícita a los artículos del RD 311/2022 aplicables.

Generación de procedimientos operativos. Para cada control aplicable, la IA genera un procedimiento que incluye: objetivo, alcance, responsable, descripción del proceso paso a paso, registros a generar, frecuencia de revisión e indicadores de cumplimiento. Estos procedimientos siguen la estructura recomendada en las guías CCN-STIC.

Consejo práctico: El CCN pública guías (serie CCN-STIC) con plantillas y ejemplos para cada control. Alimenta el LLM con el contenido de las guías relevantes para que los documentos generados sigan la nomenclatura y estructura oficial. Los auditores reconocen esta estructura y la valoran positivamente.

Análisis de riesgos asistido con IA

El análisis de riesgos es obligatorio en todos los niveles del ENS. La metodología de referencia es MAGERIT v3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

MAGERIT con IA. MAGERIT tiene un proceso estructurado: identificación de activos, valoración de activos, identificación de amenazas, estimación de impacto y riesgo, y tratamiento. La IA puede asistir en cada fase:

Herramienta PILAR. PILAR es la herramienta oficial del CCN para análisis de riesgos según MAGERIT. No tiene IA integrada, pero puedes usar la IA como complemento: generar el inventario de activos y amenazas fuera de PILAR, importarlo a la herramienta y usar PILAR para los cálculos oficiales. Esto combina la trazabilidad que exige el auditor (PILAR) con la velocidad de la IA.

Monitorización continua y alertas

La monitorización no es solo un control del ENS (op.mon). Es el mecanismo que te permite demostrar cumplimiento continuo entre auditorías.

Sistema de monitorización con IA para ENS:

Verificación automática de controles. Un workflow que ejecuta checks periódicos por cada control:

Dashboard de cumplimiento ENS. Un panel que muestra en tiempo real el estado de cada control: conforme (verde), parcial (amarillo), no conforme (rojo), no verificado (gris). Con tendencia histórica y alertas automáticas cuando un control pasa a no conforme.

Informes para auditoría. La monitorización continua genera las evidencias que el auditor necesita. En lugar de recopilar evidencias justo antes de la auditoría (lo que todo el mundo hace), el sistema las genera automáticamente y las archiva con timestamp. El resultado: una carpeta de evidencias siempre actualizada que puedes presentar al auditor sin preparación adicional.

CCN-STIC e IA: compatibilidad y restricciones

El Centro Criptológico Nacional (CCN) pública las guías CCN-STIC que desarrollan los controles del ENS. Estas guías son la referencia para la implementación práctica.

Guías CCN-STIC relevantes para IA:

Restricciones para herramientas de IA: El CCN no ha publicado (a junio 2026) una guía específica sobre el uso de IA en sistemas ENS. En la práctica, las herramientas de IA que procesen información del ENS deben cumplir con:

Notificación de incidentes con IA. El ENS exige notificar incidentes al CCN-CERT a través del sistema LUCIA. La IA puede clasificar el incidente según la taxonomía del CCN (intrusión, compromiso de información, disponibilidad, contenido abusivo) y generar el borrador de la notificación en el formato requerido. El responsable de seguridad revisa y envía.

Soberanía de datos: LLM locales obligatorio para ENS Alto

En ENS Alto, la soberanía del dato no es una buena práctica: es un requisito. Los datos clasificados como de nivel Alto no pueden procesarse en infraestructuras fuera del control de la organización sin las garantías adecuadas.

Por qué las APIs comerciales no son compatibles con ENS Alto. Cuando envías datos a OpenAI, Anthropic o Google, esos datos se procesan en servidores fuera de tu control, posiblemente fuera de la UE, y con condiciones de retención que no controlas. Para datos de categoría Alta, esto es inaceptable. El Responsable de la Información no puede garantizar la confidencialidad, integridad y disponibilidad de datos que están en infraestructura de terceros no certificados.

La solución: LLM self-hosted.

Despliegue recomendado para ENS Alto:

Para ENS Bajo y Medio, las restricciones son menos estrictas. Puedes usar APIs comerciales para datos no sensibles, pero sigue siendo recomendable usar modelos locales para el análisis de riesgos y la documentación de controles específicos de tu sistema.

Herramientas compatibles con ENS

Herramientas oficiales del CCN:

Herramientas de IA compatibles:

Stack recomendado para ENS con IA:

  1. Documentación: Qwen3 27B + Open WebUI (self-hosted).
  2. Análisis de riesgos: IA para inventario y amenazas + PILAR para cálculos oficiales.
  3. Monitorización: n8n + verificaciones automatizadas + dashboard.
  4. Notificación de incidentes: IA para clasificación y borrador + LUCIA para notificación oficial.
  5. Auditoría: evidencias generadas automáticamente + informe de pre-auditoría con IA.

Preguntas frecuentes

¿Qué es el ENS y a quién aplica?

El Esquema Nacional de Seguridad (ENS, RD 311/2022) es el marco normativo español para la protección de la información en el sector público. Aplica a todas las Administraciones Públicas, entidades del sector público y empresas privadas que presten servicios o provean tecnología al sector público. Desde la actualización de 2022, el alcance se extendió a proveedores de la cadena de suministro, lo que en la práctica afecta a miles de empresas tecnológicas en España.

¿Puedo usar IA con APIs externas para cumplir el ENS?

Depende del nivel. ENS Bajo: sí, para datos no clasificados, con precauciones. ENS Medio: evalúa el riesgo y prefiere proveedores con certificación en la UE. ENS Alto: NO puedes enviar datos clasificados a APIs externas fuera de tu control. Los LLM deben ejecutarse en infraestructura propia o cloud soberano certificado. La soberanía del dato es un requisito del marco, no una recomendación.

¿Qué herramientas de IA recomienda el CCN para cumplir el ENS?

El CCN no recomienda herramientas de IA específicas a junio de 2026. A través del catálogo STIC (CCN-STIC-105) evalúa y certifica productos de seguridad. Las herramientas de IA que procesen información del ENS deben cumplir las guías CCN-STIC aplicables. En la práctica, desplegar modelos open-weight (Qwen3, Llama) en infraestructura certificada dentro de España, siguiendo las guías CCN-STIC-800 de bastionado, es la opción más segura y auditable.

¿Cuánto cuesta implementar el ENS con ayuda de IA?

Para una PYME con ENS Medio: implementación tradicional 25.000-60.000 EUR, con IA 18.000-40.000 EUR (ahorro del 25-35%). Para ENS Alto: tradicional 50.000-150.000 EUR, con IA 35.000-100.000 EUR. El mayor ahorro está en documentación (60-70% menos tiempo) y monitorización continua (40-50% menos esfuerzo anual). La infraestructura de LLM local añade 200-500 EUR/mes, pero se amortiza rápidamente con el ahorro en consultoría.

Si quieres aprender a aplicar IA al cumplimiento normativo y la seguridad, consulta los planes de IAcademy.

Domina la IA aplicada al cumplimiento normativo

Los 3 primeros módulos de IAcademy son gratis. Incluyen prompting avanzado, automatización y IA para equipos de seguridad y compliance.

Empieza gratis

Curso completo: 108 módulos de IA aplicada

11 especializaciones por departamento. Dashboard con progreso. Quizzes y skills desbloqueables. Desde 399 EUR.

Ver precios Acceder al portal