Certificacions i compliment normatiu | Compliance

Adequació a l'ENS

Adaptem la teva empresa als requisits de l’Esquema Nacional de Seguretat (RD 311/2022), implementant polítiques, controls i processos que garanteixin la protecció de la informació i l’accés a contractes amb el sector públic.

Compliment Directiva NIS 2

Preparem la teva organització per complir la normativa europea NIS 2, reforçant la gestió de riscos, la seguretat dels sistemes i la capacitat de resposta davant incidents.

Certificació ISO 27001

T’ajudem a implementar un Sistema de Gestió de la Seguretat de la Informació (SGSI) segons ISO/IEC 27001:2022 i a preparar la teva empresa per superar amb èxit el procés de certificació.

Acompanyament en cada fase del procés

A ESED – Cyber Security & IT Solutions treballem amb tu com a part del teu equip.
Comptes amb un CISO i professionals amb més de 15 anys d’experiència que t’acompanyen pas a pas.

Enfocament clar i eficient

Coneixem bé els requisits de les certificacions i els punts crítics del procés.

"Sabem què exigeixen les certificacions i on solen fallar les empreses."

Adquireixes coneixements, no només un certificat

No ens limitem a implantar mesures. Treballem amb tu perquè el teu equip entengui la ciberseguretat i pugui gestionar-la en el futur.

Ho fem pràctic i real

Apliquem mesures que funcionen en el teu dia a dia, no només per superar una auditoria.

Adequem la teva empresa per complir amb l’ENS i enfortir la seva ciberseguretat

Preparem les organitzacions per complir amb l’Esquema Nacional de Seguretat (ENS), adaptant els seus sistemes i processos als requisits de ciberseguretat establerts per la norma.

Analitzem la situació actual, identifiquem les bretxes respecte als controls de l’ENS i definim un pla d’acció per assolir el compliment.

T’acompanyem en la gestió de riscos, la implementació de mesures de seguretat, l’elaboració de documentació i la preparació perquè la teva organització pugui certificar-se amb èxit.

A més, quan adaptem una empresa per obtenir la certificació ENS, ja estem alineant les seves mesures de seguretat amb els requisits establerts per la Directiva (UE) 2022/2555 (NIS2).

L’Esquema Nacional de Seguretat (ENS), regulat pel Reial decret 311/2022, és el marc normatiu que estableix els principis bàsics i els requisits mínims de seguretat que han d’aplicar les organitzacions que utilitzen mitjans electrònics en l’àmbit del sector públic a Espanya.

El seu objectiu és garantir que els sistemes d’informació gestionin les dades i serveis de manera segura, fiable i contínua, protegint les cinc dimensions de la seguretat: Disponibilitat, Integritat, Confidencialitat, Autenticitat i Traçabilitat.

L’ENS és obligatori per a:

Totes les administracions públiques espanyoles (art. 2, Llei 40/2015).
Organismes públics i entitats de dret públic.
Entitats del sector privat que prestin serveis o gestionin informació per al sector públic, inclosa la seva cadena de subministrament.
Sistemes que tractin informació classificada.

A més, l’ENS classifica els sistemes en tres categories (BÀSICA, MITJANA i ALTA) segons l’impacte que tindria un incident sobre cada dimensió de seguretat. Aquesta categoria determina les mesures de seguretat exigibles d’entre les 73 recollides a l’Annex II del RD 311/2022.

La seva aplicació s’ha estès també a empreses privades que volen millorar el seu posicionament, accedir a contractes públics o demostrar un alt nivell de maduresa en ciberseguretat.

L’ENS no és només un conjunt de controls tècnics, sinó un model integral de gestió de la seguretat de la informació.

Garantir la seguretat com un procés integral (art. 6), no només com un conjunt de mesures tècniques.
Gestionar la seguretat basant-se en l’anàlisi de riscos (art. 7).
Prevenir, detectar, respondre i conservar la informació davant incidents (art. 8).
Assegurar la continuïtat dels serveis i la reavaluació periòdica de les mesures (art. 10).
Establir un marc comú de seguretat amb una diferenciació clara de responsabilitats (art. 11).

¿Qué necessites per poder certificar-te?

Aprovar una Política de Seguretat de la Informació amb rols diferenciats: Responsable de la informació, del servei, de seguretat i del sistema (art. 13).
Realitzar una anàlisi de riscos i elaborar la Declaració d’Aplicabilitat amb les mesures de l’Annex II aplicables segons la categoria del sistema.
Implementar les mesures de seguretat organitzatives, operatives i de protecció: control d’accessos, xifrat, còpies de seguretat, monitorització i gestió d’incidents.
Establir procediments de gestió d’incidents (art. 25) i un pla de continuïtat del negoci.
Formar el personal en ciberseguretat i compliment de l’ENS.
Obtenir la conformitat:
- Declaració de Conformitat (categoria BÀSICA, mitjançant perfil de compliment)
- Certificació de Conformitat (categoria MITJANA/ALTA, mitjançant entitat de certificació acreditada per ENAC, segons la CCN-STIC 808).
Revisar i millorar periòdicament: l’ENS exigeix vigilància contínua i reavaluació periòdica (art. 10).

Accés a contractes amb l’Administració Pública

La conformitat amb l’ENS és un requisit imprescindible en els plecs de contractació pública (art. 2.3, RD 311/2022). La certificació permet a la teva empresa participar en licitacions i projectes del sector públic.

Més seguretat de la informació

Garanteix la protecció dels sistemes i les dades davant ciberatacs, accessos no autoritzats i pèrdues d’informació, reduint riscos operatius.

Millora de la confiança i la reputació empresarial

Acreditar el compliment de l’ENS transmet fiabilitat i compromís amb la seguretat, reforçant la imatge de l’empresa davant clients i socis.

Compliment normatiu i reducció de riscos legals

Facilita el compliment del marc normatiu aplicable (ENS, NIS2, RGPD) i redueix la probabilitat d’incidents de seguretat i responsabilitats legals.

Adequem la teva empresa a la Directiva NIS2 per complir amb les exigències europees de ciberseguretat

La Directiva (UE) 2022/2555 (NIS2) és la normativa europea que reforça els requisits de ciberseguretat per a entitats essencials i importants de 18 sectors crítics. Exigeix una gestió sistemàtica de riscos, protecció reforçada dels sistemes i xarxes, i notificació obligatòria dels incidents significatius en terminis de 24 i 72 hores.

A Espanya, la transposició es troba en fase avançada mitjançant l’Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat (aprovat pel Consell de Ministres el gener de 2025), pendent de tramitació parlamentària.

Tot i que la llei nacional encara no està en vigor, les exigències de la Directiva ja condicionen la supervisió, les licitacions públiques i les auditories de la cadena de subministrament.

Gestió de riscos

Exigeix implementar mesures proporcionades de prevenció i mitigació d’incidents (art. 21).

Protecció de sistemes i xarxes

Exigeix controls tècnics sobre la seguretat de la cadena de subministrament, xifrat, control d’accessos i gestió de vulnerabilitats.

Notificació d’incidents

Alerta primerenca en 24 hores i notificació completa en 72 hores al CSIRT de referència (art. 23).

Responsabilitat de la direcció

Els òrgans de direcció han d’aprovar i supervisar les mesures de ciberseguretat, i poden ser sancionats personalment en cas de negligència (art. 20).

Abast ampliat

Inclou sectors com energia, transport, salut, aigua, infraestructures digitals, administració pública, alimentació, serveis postals, gestió de residus i recerca.

Distinció entre entitats essencials i importants

Amb un règim diferent de supervisió i sancions (fins a 10 M€ o el 2 % de la facturació global per a entitats essencials).

Coordinació europea

Estàndards comuns, avaluacions entre iguals i cooperació entre els CSIRT nacionals.

Resiliència i confiança

Demostra maduresa davant clients, reguladors i socis comercials.

Preparem la teva empresa per a l’obtenció de la certificació ISO 27001

Ajudem les organitzacions a preparar-se per a la certificació ISO 27001 mitjançant la implantació d’un Sistema de Gestió de la Seguretat de la Informació (SGSI).

Analitzem la situació actual, identifiquem els requisits de la norma i definim les accions necessàries per al seu compliment. Donem suport en la gestió de riscos, l’elaboració de documentació i l’adaptació de controls, així com en la preparació per a l’auditoria.

La ISO/IEC 27001:2022 és una norma internacional que estableix els requisits per implantar, mantenir i millorar un Sistema de Gestió de la Seguretat de la Informació (SGSI). El seu objectiu és protegir la confidencialitat, integritat i disponibilitat de la informació.

S’aplica a qualsevol organització, independentment de la seva mida, sector o ubicació. És especialment rellevant per a:

Empreses que gestionen dades sensibles (clients, financeres, salut, etc.)
Proveïdors de serveis tecnològics (SaaS, cloud, IT)
Entitats que han de complir requisits regulatoris
Organitzacions que treballen amb tercers que exigeixen garanties de seguretat

Protegir la informació davant accessos no autoritzats, pèrdua o alteració
Gestionar els riscos de seguretat de manera sistemàtica
Establir controls i polítiques clares
Generar confiança en clients, socis i reguladors
Assegurar la continuïtat del negoci

Per obtenir la certificació, l’organització ha d’implementar un SGSI conforme a la norma. Els punts clau són:

Definir l’abast del SGSI i identificar les parts interessades i els seus requisits.
Assegurar el compromís de la direcció, establir la política de seguretat i assignar rols i responsabilitats.
Identificar els riscos, analitzar-ne l’impacte i la probabilitat, i definir el seu tractament.
Implementar controls organitzatius, tècnics i físics com gestió d’accessos, gestió d’incidents, xifrat i còpies de seguretat.
Gestionar la formació, la documentació i l’operació controlada dels processos de seguretat.
Realitzar auditories internes, revisions per part de la direcció i seguiment d’indicadors.
Gestionar les no conformitats, aplicar accions correctives i mantenir el SGSI actualitzat.