Declaració d’Aplicabilitat ENS: la clau per complir amb la NIS2

by Gemma Rufino | 8 ag., 2025

A mesura que avancem en 2025, la ciberseguretat ha passat de ser una àrea tècnica a convertir-se en una responsabilitat legal i estratègica per a moltes organitzacions. L’entrada en vigor de la normativa NIS2 (que a l’estiu de 2025, encara estem pendents de la seva transposició a la legalitat espanyola) ha ampliat significativament les obligacions per a empreses que, fins fa poc, no estaven subjectes a normatives específiques de ciberseguretat. En aquest nou context regulador, un dels documents més importants —i sovint ignorat— és la Declaració d’Aplicabilitat (SoA, per les seves sigles en anglès: Statement of Applicability) dins de l’Esquema Nacional de Seguretat (ENS).

Aquest document no només és obligatori per a entitats públiques i proveïdors TIC que vulguin treballar amb elles. També s’ha convertit en una eina clau per demostrar compliment amb els principis de NIS2: proporcionalitat, responsabilitat proactiva, continuïtat del negoci i supervisió eficaç.

Contenido del artículo

Què és la Declaració d’Aplicabilitat ENS i per què importa?

La declaració d’aplicabilitat és un document clau dins d’un Sistema de Gestió de Seguretat de la Informació (SGSI), especialment en organitzacions que implementen ISO/IEC 27001, la qual és altament rellevant per complir amb els requisits de la directiva NIS2. És un document que:

Enumera tots els controls de l’Annex A de la norma ISO 27001.
Indica si cada control és aplicable o no a l’organització.
Justifica la decisió d’aplicabilitat o exclusió.
Descriu com s’implementa cada control aplicable.

Importància en el context de la Directiva NIS2

La Directiva NIS2 (Network and Information Systems Directive 2) obliga els sectors essencials i importants a:

Implementar mesures tècniques i organitzatives adequades per a la seguretat de xarxes i sistemes.
Tenir un enfocament de gestió de riscos.
Estar preparats per a auditories, avaluacions i supervisió per part d’autoritats competents.

Aquí és on la declaració d’aplicabilitat cobra importància:

1. Demostra compliment estructurat

La SoA és evidència documentada que l’organització ha analitzat i decidit quins controls de seguretat aplica, i per què. Això és essencial per mostrar que hi ha un enfocament basat en riscos, com exigeix NIS2.

2. Facilita auditories i supervisió

Les autoritats competents poden utilitzar la SoA com a punt de partida per avaluar el nivell de preparació i protecció d’una organització. Tenir una SoA ben fonamentada facilita la supervisió conforme a NIS2.

3. Contribueix a la gestió de riscos

NIS2 exigeix identificar, analitzar i gestionar riscos. La SoA està directament lligada al procés d’avaluació de riscos del SGSI, per la qual cosa permet alinear la gestió de riscos amb els controls seleccionats.

4. Permet justificar exclusions

Si una organització decideix no aplicar certs controls (per exemple, perquè no són rellevants al seu context), la SoA permet justificar aquestes decisions, cosa que és crítica davant una auditoria o incident.

5. Promou la millora contínua

En el marc de NIS2, la millora contínua és essencial. La SoA, en revisar-se i actualitzar-se regularment, impulsa aquest procés dins del SGSI.

Terminis, versions i obligacions

En processos de certificació ENS, la Declaració d’Aplicabilitat ha d’estar disponible des de les fases inicials. S’actualitza amb cada auditoria (interna o externa) i, per descomptat, si canvien els sistemes o el context de riscos. No presentar-la, o fer-ho de manera incompleta, pot suposar la denegació del certificat ENS o fins i tot sancions contractuals si es participa en licitacions.

La Declaració d’Aplicabilitat ha d’estar signada per la Direcció, el Responsable de Seguretat i, en molts casos, el Delegat de Protecció de Dades. No és un paper qualsevol: és una declaració oficial que compromet l’organització davant auditors, organismes i clients.

Components clau d’una bona Declaració d’Aplicabilitat

Mapa de sistemes i serveis: identificació clara d’actius, processos i àmbits coberts.
Controls ENS aplicables i nivell exigit (bàsic, mitjà, alt).
Controls no aplicables, amb justificació documental.
Estat actual del compliment per control.
Evidències tècniques o procedimentals disponibles.
Responsables designats per control.
Pla d’acció per als controls no conformes.

Aquesta estructura permet verificar la implantació real de mesures de seguretat, cosa que també és obligatòria sota NIS2.

Declaració d’Aplicabilitat ENS i compliment amb la normativa NIS2

Encara que ENS i NIS2 són marcs diferents, convergeixen en molts punts. La Declaració d’Aplicabilitat compleix una doble funció en aquest nou escenari:

Demostrar compliment estructurat i documentat, cosa que NIS2 exigeix per poder auditar proveïdors o entitats crítiques.
Servir de base per a avaluacions de risc, continuïtat i resiliència, totes obligatòries en NIS2.

En altres paraules, tenir una Declaració d’Aplicabilitat ben elaborada et prepara per certificar-te en ENS i et permet respondre a auditories o incidents amb proves reals de compliment i millora contínua.

Diferències amb ISO 27001 i altres normatives

Una confusió habitual és pensar que amb una ISO 27001 es compleix tot. Si bé hi ha moltes equivalències, la Declaració d’Aplicabilitat de l’ENS exigeix una estructura, justificacions i controls que no estan exactament igual en la ISO. A més:

ENS s’exigeix per llei en l’àmbit del sector públic.
NIS2 obliga a mesures més enllà de la ISO en alguns sectors.
La Declaració d’Aplicabilitat connecta directament amb la realitat tècnica i legal espanyola.

Per això moltes empreses opten per una estratègia combinada: certificar-se per ISO 27001, alinear-se amb NIS2 i formalitzar el seu compliment amb ENS (i la seva Declaració d’Aplicabilitat) si treballen amb el sector públic.

Com ajuda Edorteam en l’elaboració de la Declaració d’Aplicabilitat per a la Certificació ENS?

A Edorteam no només revisem documents: treballem amb tu per comprendre la teva estructura tècnica, els teus fluxos de dades i la teva exposició real al risc. Aportem:

Diagnòstics previs per definir el nivell d’ENS aplicable.
Acompanyament en la definició de controls, plans d’acció i responsables.
Redacció completa de la Declaració d’Aplicabilitat alineada amb CCN-STIC 817.
Preparació per a auditoria externa.
Vinculació amb altres normatives com NIS2, LOPDGDD o ISO 27001.

El nostre enfocament és eminentment pràctic: convertir la Declaració d’Aplicabilitat en una eina útil, no en un document oblidat en una carpeta. Sol·licita una reunió gratuïta i descobreix per on començar per complir amb l’ENS i estar preparat davant NIS2.

Si estás buscando mejorar tu empresa, implementar un sistema de compliance penal puede ser una excelente opción. ¡No solo ayudará a cumplir con las leyes y regulaciones aplicables, sino que también mejorará la imagen de tu empresa, atraerá y retendrá talentos y reducirá costes!

Sol·licita informació

Segueix-nos a xarxes

Categorías del blog

Altres publicacions relacionades

Empreses de ciberseguretat: el proveïdor que no veus, però evita que el teu negoci s’aturi

23 jul., 2025 | Ciberseguretat

Qui protegeix la teva empresa quan ningú no està mirant? Les amenaces digitals ja no s'anuncien amb fanfàrries: s'infiltren, observen i ataquen quan menys t'ho esperes. Mentre tu gestiones equips, clients i operacions, hi ha un univers d'amenaces creixent a l'ombra. I...

Com complir amb els controls de la ISO 27001

4 jul., 2025 | Ciberseguretat

Complir amb la ISO 27001 requereix eines efectives. Descobreix com Edorteam DLP t’ajuda a implementar controls clau i superar auditories de seguretat amb garanties.

Què ha d’incloure una bona auditoria de ciberseguretat per a pimes?

6 juny, 2025 | Ciberseguretat

Moltes petites i mitjanes empreses creuen que una auditoria de ciberseguretat és només cosa de grans corporacions o entorns crítics. La realitat és que avui, qualsevol pime que emmagatzemi dades, utilitzi eines al núvol o gestioni sistemes connectats a internet,...