Aquest marc obliga a classificar els sistemes segons el seu impacte i a aplicar mesures específiques en funció dels nivells. A més, exigeix la definició de polítiques, controls, procediments i la demostració de conformitat.
De Eduard Bardaji el 11.2.2026
En una societat cada cop més digitalitzada i tecnològica, les organitzacions, tant públiques com privades, han d’entendre quins marcs normatius i estàndards estan obligades a aplicar per protegir la informació, complir la legislació i generar confiança amb clients i socis. Entre aquestes referències, l’Esquema Nacional de Seguretat (ENS) ocupa un lloc central a Espanya, mentre que altres marcs com ISO 27001, els desenvolupats per NIST o el Reglament General de Protecció de Dades (GDPR) tenen un abast més ampli o diferent.
Comprendre les seves diferències és clau per definir una estratègia de compliment eficient i adequada als riscos.
Esquema Nacional de Seguretat (ENS): Què es?
L’Esquema Nacional de Seguretat (ENS) és una normativa de compliment obligatori a Espanya que estableix principis, requisits i mesures mínimes per a la protecció de la informació i dels sistemes que donen suport als serveis electrònics i administratius. Està regulat pel Reial Decret 311/2022 i s’aplica a totes les Administracions Públiques i a les empreses que els presten serveis relacionats amb tecnologia i sistemes d’informació.
Els objectius fonamentals de l’ENS són:
- Assegurar la confidencialitat, integritat i disponibilitat de la informació i dels serveis públics.
- Crear condicions de confiança en l’ús de sistemes i serveis electrònics.
- Definir nivells de protecció segons el risc (baix, mig, alt) per aplicar mesures proporcionals.
ISO 27001: Què es?
La ISO/IEC 27001 és una norma internacional publicada per l’Organització Internacional de Normalització (ISO) que especifica els requisits per establir, implementar, mantenir i millorar un Sistema de Gestió de Seguretat de la Informació (SGSI) dins d’una organització. Forma part de la sèrie ISO 27000 i té reconeixement global.
Característiques principales de la ISO 27001
- Voluntariedad: la adopción de ISO 27001 es generalmente voluntaria, aunque muy recomendada.
- Aplicabilidad: puede implantarse en cualquier organización, independientemente del sector o tamaño.
- Certificación: permite obtener una certificación oficial mediante auditoría por un organismo acreditado.
- Gestión de riesgos: se basa en un proceso de identificación, tratamiento y revisión de riesgos, con mejora continua (ciclo PDCA).
Comparativa: diferències entre l'ENS i la ISO 27001
Encara que ambdós marcs busquen millorar la seguretat de la informació i es poden integrar o complementar, existeixen diferències clau.
|
Aspectes |
ENS |
ISO 27001 |
|
Naturalesa jurídica vs. estàndard internacional |
Norma jurídica nacional amb caràcter obligatori per a l’Administració Pública i els seus proveïdors a Espanya. |
Estàndard internacional, d’adopció voluntària i aplicable a qualsevol organització a nivell mundial. |
|
Àmbit d’aplicació |
Específicament per a entorns espanyols vinculats a l’administració. |
Aplicable a qualsevol sector o país que vulgui gestionar els seus riscos de seguretat. |
|
Obligatorietat i certificació |
Obligatori per a entitats públiques i proveïdors; exigeix declaració o certificació. |
Voluntària, tot i que permet certificació formal per auditors externs. |
|
Nivell de detall i enfocament |
L’ENS posa èmfasi en els nivells de protecció segons el risc i en mesures específiques relacionades amb els serveis públics. |
La ISO 27001 se centra en estructurar un SGSI complet, amb un enfocament en la millora contínua i la gestió de riscos. |
Una organització certificada en ISO 27001 està ben posicionada per complir molts requisits de l’ENS, però no necessàriament compleix íntegrament tots ells sense adaptar pràctiques i controls específics.
L'estàndard NIST: guia tècnica o normativa?
L’Institute of Standards and Technology (NIST) dels Estats Units desenvolupa una sèrie de marcs i guies (com el NIST Cybersecurity Framework - CSF o el catàleg NIST SP 800-53) àmpliament utilitzats com a referència per gestionar els riscos de ciberseguretat. A diferència de la ISO 27001:
- No existeix una certificació oficial universal; les organitzacions es poden autoavaluar o utilitzar auditories internes per demostrar conformitat.
- Es tracta més d’un marc de referència flexible que no pas d’un estàndard normatiu, amb funcions i categories orientades a protegir actius segons els riscos operatius.
|
Aspectes |
ISO 27001 |
NIST CSF |
Certificació |
Sí, mitjançant auditor extern. |
No hi ha certificació formal. |
Enfocament |
Norma estandarditzada per a la Gestió de Riscos. |
Guia de millors pràctiques flexible. |
Àmbit |
Estàndard internacional formal. |
Guia adaptable segons el sector. |
Objectiu principal |
Crear un SGSI certificable. |
Enfortir controls segons les funcions. |
El NIST CSF sol ser útil com a punt de partida per a pimes o per enfortir controls tècnics detallats que complementin un SGSI.
GDPR: un reglament de privadesa, no de gestió de seguretat
El Reglament General de Protecció de Dades (GDPR) és una regulació europea per a la protecció de dades personals, amb força de llei a tots els països de la UE des del 2018. Estableix els drets dels individus i les obligacions per a les organitzacions que processen dades personals de ciutadans europeus.
Diferències amb ENS/ISO 27001
- Enfocament: GDPR protegeix els drets de privadesa i la llibertat individual sobre les dades, mentre que l’ENS i la ISO 27001 se centren en la seguretat de la informació.
- Obligatorietat: GDPR és una llei aplicable a totes les organitzacions que processen dades personals, independentment del sector o mida.
- Sancions: imposa multes significatives per incompliment (fins a percentatges del volum de negoci).
- Certificació: no existeix una certificació oficial obligatòria GDPR, tot i que hi ha mecanismes de certificació i bones pràctiques.
Mentre que GDPR regula com s’han de tractar les dades personals, l’ENS i la ISO 27001 proporcionen marcs per protegir qualsevol tipus d’informació, incloses les dades personals. Ambdós poden ajudar a complir GDPR en termes de seguretat, però no substitueixen els requisits legals específics de privadesa.
És redundant o complementari aplicar diversos marcs?
Les diferents normatives i estàndards sovint es solapen parcialment, però cadascun aporta valor dins del seu àmbit:
- ISO 27001: estructura un SGSI sòlid amb enfocament en riscos.
- ENS: adapta aquest control al context legal espanyol dels serveis públics.
- NIST: ofereix guies tècniques més detallades i prescriptives.
- GDPR: assegura el respecte dels drets de privadesa i el tractament de dades.
Canalitzar aquests marcs en un programa de compliment integral permet reduir duplicacions i gestionar millor evidències, riscos i auditories, a més de demostrar que l’organització no només protegeix la informació, sinó que també compleix les lleis i genera confiança amb clients i socis.
Entendre les diferències entre l’ENS i altres normatives internacionals com ISO 27001, els marcs NIST i el GDPR és indispensable per a qualsevol empresa que vulgui posicionar-se amb seguretat davant auditors, compradors o clients, especialment quan es treballa amb l’Administració Pública espanyola o en mercats internacionals. Cada marc té un propòsit, un abast i un nivell d’obligatorietat diferents, però la seva integració intel·ligent és la clau per a un enfocament de seguretat i compliment coherent i eficient.
Compartir
Article anterior
← Guia per triar el proveïdor IT adequat
Principals ciberatacs a empreses del sector legal
Principals ciberatacs a empreses del sector legal
7.1.2026
4
min lectura
Com evitar la falsificació de productes durant el transport
Com evitar la falsificació de productes durant el transport
16.12.2025
3
min lectura
ESED s’uneix a Catalonia Health per reforçar la seguretat en salut
ESED s’uneix a Catalonia Health per reforçar la seguretat en salut
2.4.2025
1
min lectura
.png?width=262&height=150&name=accio-10-negre%20(1).png)
