Esquema Nacional de Seguridad

Según lo que dispone la normativa será de aplicación obligatoria para la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local.

El ENS también deben aplicarlo, entre otras, las siguientes entidades del sector público:

• Fundaciones del sector público.
• Universidades Públicas.
• Grupos políticos de las Cortes Generales y de Corporaciones Locales.
• Colegios profesionales en las tareas que realizan para la administración.
• Cámaras de comercio.
• Hospitales públicos.
• Federaciones deportivas.
• Empresas públicas (aguas, transporte, radio y TV, autopistas, etc.).

Las empresas del sector privado que prestan servicios a entidades públicas también deben cumplir los requerimientos del ENS según el tipo de servicio e información que tratan. Habitualmente son empresas tecnológicas y de servicios. Por ejemplo, empresas tecnológicas de desarrollo de software, servicios cloud, mantenimiento de sistemas, servicios de nóminas, contabilidad, etc.

En caso de duda, el Centro Criptológico Nacional recomienda realizar un análisis concreto para cada tipo de servicio e información que se trata.

Desde el 2018 las entidades del sector público deben integrar la adaptación al ENS con el cumplimiento de las normativas de protección de datos: el RGPD y la nueva LOPDGDD.

La Ley de Protección de Datos y Garantía de los Derechos Digitales también regula las medidas de seguridad en el ámbito del sector público. La LOPDGDD establece que, en caso de tratamiento de datos personales por parte de las AAPP, estas deberán aplicar un grado de seguridad en base al ENS y el correspondiente análisis de riesgos.