El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, es obligatorio para todos los sistemas de información de las administraciones públicas españolas y para sus proveedores de servicios cloud. Cuando una administración implanta un sistema de inteligencia artificial, el ENS aplica al igual que a cualquier otro sistema de información. Pero la IA añade capas de complejidad que los modelos tradicionales de seguridad no contemplaban.
Esta guía explica qué implica el ENS para los sistemas de IA, cómo determinar el nivel de categorización y qué debe exigir una administración a sus proveedores.
Para el contexto regulatorio más amplio, consulta también nuestra guía sobre el Reglamento IA Europeo para administraciones públicas.
¿Qué sistemas de IA están sujetos al ENS?
Todos los sistemas que procesen información de las administraciones públicas están sujetos al ENS, independientemente de si incorporan IA o no. La pregunta relevante no es si el ENS aplica, sino con qué nivel de exigencia.
Los sistemas de IA en el sector público que típicamente caen bajo el ENS incluyen:
- Chatbots y asistentes virtuales que acceden a datos de ciudadanos o expedientes
- Sistemas de gestión documental con clasificación automática
- Plataformas de análisis de datos para toma de decisiones
- Sistemas de reconocimiento de documentos (OCR con IA)
- Cualquier modelo de lenguaje o sistema generativo conectado a datos institucionales
Los proveedores cloud que alojan estos sistemas también deben cumplir el ENS o un esquema equivalente reconocido (ISO 27001 con las medidas adicionales del ENS, o equivalente certificado por ENISA).
Categorización del sistema: básico, medio o alto
El ENS clasifica los sistemas en tres niveles según el impacto que tendría un incidente de seguridad:
| Nivel | Criterio | Impacto |
|---|---|---|
| Básico | Datos de carácter general, sin especial sensibilidad | Daño leve a ciudadanos u organismos |
| Medio | Datos administrativos relevantes, información de gestión | Daño significativo: perjuicio económico, derechos limitados |
| Alto | Datos especialmente protegidos (salud, situación social, datos judiciales) | Daño grave: perjuicio serio a derechos fundamentales |
Para un chatbot de trámites municipales que accede al padrón o a datos tributarios, la categoría habitual es medio. Si el sistema accede a historiales de salud o datos de menores, sube a alto.
Cómo categorizar paso a paso
- Identificar qué datos maneja el sistema (tipos de información y su sensibilidad)
- Evaluar las dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad
- Asignar nivel a cada dimensión (bajo, medio, alto)
- La categoría del sistema es la del valor más alto obtenido
Medidas de seguridad específicas para sistemas de IA
El ENS define un catálogo de medidas de seguridad en el Anexo II del RD 311/2022. Para sistemas de IA, las medidas con mayor relevancia práctica son:
Control de acceso (mp.acc)
- Autenticación multifactor para todos los usuarios del sistema
- Principio de mínimo privilegio: los componentes de IA solo acceden a los datos estrictamente necesarios
- Gestión de identidades para modelos de IA en pipelines automatizados
Gestión de logs y trazabilidad (op.exp)
Los sistemas de IA deben mantener registros de:
- Qué datos se procesaron y cuándo
- Qué decisiones o respuestas generó el sistema
- Qué usuarios (humanos o automatizados) interactuaron con el sistema
- Cualquier anomalía detectada
Esto es especialmente relevante para los chatbots: cada conversación debe ser registrable y auditable.
Gestión de la configuración (op.exp.3)
Los modelos de IA tienen parámetros de configuración críticos (temperatura, instrucciones del sistema, límites de acceso a datos) que deben estar bajo control de cambios y ser auditables.
Continuidad del servicio (op.cont)
Los asistentes virtuales para ayuntamientos que prestan servicio 24/7 deben tener planes de continuidad que contemplen:
- Fallo del modelo de lenguaje subyacente
- Indisponibilidad del proveedor cloud
- Migración a un proveedor alternativo
Para sistemas de categoría media o alta, este plan debe estar documentado y probado periódicamente.
Requisitos para proveedores de IA
Una de las principales fricciones que enfrentan las administraciones es cómo verificar que sus proveedores cumplen el ENS. Las pautas prácticas son:
Certificación ENS del proveedor cloud
Si el sistema de IA se aloja en infraestructura cloud de terceros (el caso más habitual), el proveedor debe disponer de:
- Certificación ENS en el nivel correspondiente al sistema (básico, medio o alto), o
- Equivalente reconocido: ISO 27001 + CCN-STIC 823 para servicios cloud
Proveedores como Microsoft Azure Government, AWS GovCloud o Google Cloud han obtenido certificaciones ENS. Verificar siempre que la certificación cubre los servicios específicos usados, no solo la empresa en general.
Cláusulas contractuales mínimas
El contrato con el proveedor de IA debe incluir explícitamente:
- Ubicación de los datos (territorio UE o equivalente)
- Prohibición de usar datos del organismo para entrenar modelos propios
- Derechos de auditoría del organismo
- Procedimiento de notificación de incidentes (plazo máximo 24-72 horas)
- Plan de salida y portabilidad de datos
- Obligación de mantener la certificación durante toda la vigencia del contrato
La relación entre ENS y AI Act
El ENS y el AI Act son complementarios, no alternativos:
| Marco | Regula | Autoridad supervisora |
|---|---|---|
| ENS | Seguridad de la información tratada por el sistema | CCN (Centro Criptológico Nacional) |
| AI Act | Diseño, transparencia y supervisión del sistema de IA | AESIA (Agencia Española de Supervisión de la IA) |
| RGPD/LOPDGDD | Protección de datos personales tratados | AEPD |
Una administración puede cumplir el ENS sin cumplir el AI Act, y viceversa. Los tres marcos deben cumplirse de forma simultánea.
Checklist de auditoría ENS para sistemas de IA
Antes de poner en producción un sistema de IA, verifica estos puntos:
Documentación:
- Sistema categorizado (básico/medio/alto) con justificación documentada
- Análisis de riesgos completado y actualizado
- Plan de seguridad aprobado por el responsable de seguridad
- Declaración de aplicabilidad de las medidas del ENS
Proveedor:
- Certificación ENS del proveedor cloud verificada y vigente
- Contrato con cláusulas de protección de datos y auditoría
- Acuerdo de nivel de servicio (SLA) con tiempos de recuperación definidos
Datos:
- Datos ubicados en territorio UE o equivalente aprobado
- Prohibición contractual de uso de datos para entrenamiento de modelos
- Registro de tratamiento actualizado (RGPD art. 30)
Operación:
- Logs habilitados y con retención mínima de 3 meses (medio) o 12 meses (alto)
- Autenticación multifactor activa para administradores
- Plan de continuidad documentado y probado (categoría media o alta)
- Procedimiento de respuesta a incidentes definido
Supervisión:
- Auditoría de seguridad anual (o bienal para sistemas básicos)
- Revisión del análisis de riesgos tras cambios significativos en el sistema
¿Cuándo necesito una auditoría formal?
El ENS exige auditorías periódicas de todos los sistemas. Para sistemas de IA:
- Categoría básica: Auditoría cada 2 años (puede ser autoevaluación)
- Categoría media: Auditoría anual por entidad externa o unidad interna independiente
- Categoría alta: Auditoría anual por entidad externa acreditada por ENAC
Además de las auditorías periódicas, cualquier cambio significativo en el sistema de IA (actualización del modelo, ampliación del acceso a nuevos datos, cambio de proveedor cloud) requiere una revisión del análisis de riesgos.
Para integrar el ENS con el AI Act y el RGPD en una visión unificada, consulta la guía de compliance de IA en el sector público.
Para organismos con requisitos de categoría alta que necesitan máxima soberanía del dato, consulta nuestra guía sobre el LLM soberano para la administración pública.
Si tu organismo está evaluando implantar un chatbot de atención ciudadana y quieres entender cómo abordamos el cumplimiento del ENS, solicita una demo y te mostramos nuestra documentación técnica y de seguridad antes de firmar nada.