Nivells de seguretat de l’ENS: Baix, mig i alt

De Eduard Bardaji el 28.1.2026

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Nivells de seguretat de l’ENS: Baix, mig i alt</span>

L’Esquema Nacional de Seguretat (ENS) és el marc normatiu espanyol que estableix els principis, requisits mínims i nivells de seguretat aplicables als sistemes d’informació en el sector públic i a les empreses que gestionen informació sensible o col·laboren amb l’Administració. L’objectiu de l’ENS és protegir la informació i els serveis digitals davant amenaces, garantint la confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de les dades.

Un element clau de l’ENS són els seus tres nivells de seguretat (Baix, Mig i Alt) que determinen les mesures de protecció que cada organització ha d’implementar segons l’impacte potencial d’una incidència de seguretat. A continuació, detallem cada nivell amb exemples pràctics per a empreses.

Nueva llamada a la acción

Què són els nivells de seguretat en l’ENS?

Els nivells de seguretat en l’ENS s’estableixen en funció de l’impacte que tindria un incident de seguretat sobre l’organització, els seus actius, serveis o persones afectades. Cada dimensió de seguretat (confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat) pot veure’s afectada en diferents graus, cosa que es tradueix en una categoria de seguretat per al sistema d’informació.

En resum:

  • Nivell Baix: Impacte limitat.

  • Nivell Mig: Impacte greu.

  • Nivell Alt: Impacte molt greu.


Aquesta classificació no només serveix per avaluar riscos, sinó també per determinar les mesures i controls de seguretat a aplicar i el tipus de certificació ENS requerida.

Nivell de seguretat Baix

Quan s’aplica?

El nivell Baix s’assigna a sistemes en els quals un incident de seguretat tindria conseqüències limitades sobre els processos, actius o persones. Això significa que, tot i que podria haver-hi un fall, l’impacte no comprometria funcions essencials ni causaria pèrdues greus.

Característiques principals

Les organitzacions que es categoritzen en aquest nivell apliquen mesures bàsiques de seguretat, suficients per protegir la informació davant amenaces comunes però sense exigències complexes. Entre les mesures que solen implementar-se hi ha:

  • Polítiques d’accés i autenticació bàsiques.
  • Controls antimalware i antivirus.

  • Còpies de seguretat periòdiques.

  • Monitorització bàsica d’esdeveniments.

Alguns exemples:

Petites empreses o startups amb informació de baix impacte, com:

  • Botigues en línia petites que gestionen dades de clients sense informació financera sensible.
  • Empreses de serveis locals que registren contactes i dades administratives internes.

  • Sistemes interns de gestió documental amb accés restringit.

En aquests casos, un incident de seguretat no paralitzaria l’activitat principal ni causaria un dany significatiu als clients o a l’empresa mateixa.

Nivell de seguretat Mig

Quan s’aplica?

El nivell Mig és apropiat per a sistemes la violació de seguretat dels quals podria causar danys greus per a l’organització o els seus usuaris, encara que aquests danys no serien catastròfics. Aquest nivell és freqüent en empreses amb informació sensible o serveis que suporten processos de negoci importants.

Requisits i controls

Per a aquest nivell es requereixen controls de seguretat més rigorosos i específics. Algunes mesures inclouen:

  • Autenticació reforçada o multifactor (per exemple, 2FA).

  • Controls d’accés més avançats.

  • Monitorització contínua i auditoria interna.

  • Gestió de riscos documentada.
  • Pla de continuïtat de negoci.

A més, a diferència del nivell Baix, la certificació ENS de nivell Mig requereix auditoria externa realitzada per un organisme acreditat.

Alguns exemples:

Empreses o sistemes amb impacte significatiu, com

  • E-commerce que processa pagaments i dades de clients amb informació personal i financera.

  • Plataformes SaaS que gestionen dades d’usuaris empresarials.

  • Departaments IT de mitjanes empreses, on un fall podria afectar operacions clau.

Un incident de seguretat en aquests contextos podria suposar pèrdues econòmiques importants o dificultats operatives, d’aquí la necessitat de controls reforçats.

Nivell de seguretat Alt

Quan s’aplica?

El nivell Alt s’aplica quan una incidència tindria un impacte molt greu sobre l’organització, els seus actius o les persones afectades. Aquest nivell es reserva per als sistemes més crítics, on la informació gestionada és altament sensible o vital per a la continuïtat de serveis essencials.

Requisits i controls avançats

Les mesures de seguretat exigides en aquest nivell són les més estrictes de l’ENS i inclouen:

  • Autenticació multifactor obligatòria en tots els accessos.

  • Xifrat avançat de dades en repòs i en trànsit.

  • Monitorització integrada i seguiment continu d’esdeveniments de seguretat.

  • Control granular d’accessos i gestió d’identitats.

  • Plans detallats de resposta davant incidents i continuïtat de negoci.

  • Auditories i proves d’intrusió periòdiques.

A més, el procés de certificació en nivell Alt exigeix auditoria externa acreditada i nivells més alts de maduresa en els processos de seguretat implementats.

Alguns exemples:

Casos típics d’empreses o sistemes en nivell Alt:

  • Entitats bancàries que processen transaccions financeres crítiques.

  • Proveïdors d’infraestructura cloud que suporten serveis d’administracions públiques.

  • Organitzacions sanitàries amb historials clínics i dades de salut sensibles.

  • Plataformes tecnològiques que gestionen dades governamentals o estratègiques.

En aquestes organitzacions, una bretxa de seguretat pot desencadenar efectes greus a nivell reputacional, legal o fins i tot en el compliment de serveis essencials.

Com impacten els nivells en l’estratègia de ciberseguretat empresarial

Avantatges d’una classificació correcta

Classificar correctament els sistemes segons l’ENS ajuda les empreses a:

  • Prioritzar inversions en seguretat alineades amb el risc real.

  • Complir requisits legals i normatius, especialment quan treballen amb administracions o dades sensibles.

  • Demostrar confiança i maduresa a clients i partners mitjançant certificacions reconegudes.

Relació amb altres normes de seguretat

L’ENS no existeix de manera aïllada; moltes empreses combinen la seva implantació amb altres marcs de seguretat com ISO/IEC 27001 per aconseguir un enfocament integral de gestió de la seguretat de la informació.

Els nivells de seguretat de l’ENS (Baix, Mig i Alt) són fonamentals perquè qualsevol organització que gestioni sistemes d’informació pugui avaluar riscos, determinar requisits de seguretat i establir controls proporcionals a l’impacte potencial de les amenaces.

Per a les empreses, entendre aquests nivells no només millora la protecció interna, sinó que també permet complir amb les exigències regulatòries, millorar la reputació i enfortir la confiança de clients, proveïdors i entitats públiques.
Article anterior
← Polítiques de ciberseguretat imprescindibles per a empleats
Següent article
Disaster Recovery Plan per al sector agroalimentari →
Principals ciberatacs a empreses del sector legal
ciberataques-sector-legal
Ciberseguretat

Principals ciberatacs a empreses del sector legal

7.1.2026 4 min lectura
Deepfake i manipulació de dades biomèdiques: una amenaça emergent
Ciberseguretat

Deepfake i manipulació de dades biomèdiques: una amenaça emergent

23.10.2025 4 min lectura
Tendències en ciberseguretat 2026
tendencias ciberseguridad
Ciberseguretat

Tendències en ciberseguretat 2026

7.10.2025 5 min lectura

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera