Declaración de Aplicabilidad ENS: la clave para cumplir con la NIS2

por | 8 Ago, 2025

A medida que avanzamos en 2025, la ciberseguridad ha pasado de ser un área técnica a convertirse en una responsabilidad legal y estratégica para muchas organizaciones. La entrada en vigor de la normativa NIS2 (que en verano de 2025, todavía estamos pendientes de su transposición a la legalidad española) ha ampliado significativamente las obligaciones para empresas que, hasta hace poco, no estaban sujetas a normativas específicas de ciberseguridad. En este nuevo contexto regulatorio, uno de los documentos más importantes —y a menudo ignorado— es la Declaración de Aplicabilidad (SoA, por sus siglas en inglés: Statement of Applicability) dentro del Esquema Nacional de Seguridad (ENS).

Este documento no solo es obligatorio para entidades públicas y proveedores TIC que quieran trabajar con ellas. También se ha convertido en una herramienta clave para demostrar cumplimiento con los principios de NIS2: proporcionalidad, responsabilidad proactiva, continuidad del negocio y supervisión eficaz.

¿Qué es la Declaración de Aplicabilidad ENS y por qué importa?

La declaración de aplicabilidad es un documento clave dentro de un Sistema de Gestión de Seguridad de la Información (SGSI), especialmente en organizaciones que implementan ISO/IEC 27001, la cual es altamente relevante para cumplir con los requisitos de la directiva NIS2. Es un documento que:

  • Enumera todos los controles del Anexo A de la norma ISO 27001.
  • Indica si cada control es aplicable o no en la organización.
  • Justifica la decisión de aplicabilidad o exclusión.
  • Describe cómo se implementa cada control aplicable.

Importancia en el contexto de la Directiva NIS2

La Directiva NIS2 (Network and Information Systems Directive 2) obliga a los sectores esenciales y importantes a:

  • Implementar medidas técnicas y organizativas adecuadas para la seguridad de redes y sistemas.
  • Tener un enfoque de gestión de riesgos.
  • Estar preparados para auditorías, evaluaciones y supervisión por parte de autoridades competentes.

Aquí es donde la declaración de aplicabilidad cobra importancia:

1. Demuestra cumplimiento estructurado

La SoA es evidencia documentada de que la organización ha analizado y decidido qué controles de seguridad aplica, y por qué. Esto es esencial para mostrar que hay un enfoque basado en riesgos, como exige NIS2.

2. Facilita auditorías y supervisión

Las autoridades competentes pueden usar la SoA como punto de partida para evaluar el nivel de preparación y protección de una organización. Tener una SoA bien fundamentada facilita la supervisión conforme a NIS2.

3. Contribuye a la gestión de riesgos

NIS2 exige identificar, analizar y gestionar riesgos. La SoA está directamente ligada al proceso de evaluación de riesgos del SGSI, por lo que permite alinear la gestión de riesgos con los controles seleccionados.

4. Permite justificar exclusiones

Si una organización decide no aplicar ciertos controles (por ejemplo, porque no son relevantes a su contexto), la SoA permite justificar esas decisiones, lo cual es crítico ante una auditoría o incidente.

5. Promueve la mejora continua

En el marco de NIS2, la mejora continua es esencial. La SoA, al revisarse y actualizarse regularmente, impulsa este proceso dentro del SGSI.

Plazos, versiones y obligaciones

En procesos de certificación ENS, la Declaración de Aplicabilidad debe estar disponible desde las fases iniciales. Se actualiza con cada auditoría (interna o externa) y, por supuesto, si cambian los sistemas o el contexto de riesgos. No presentarla, o hacerlo de forma incompleta, puede suponer la denegación del certificado ENS o incluso sanciones contractuales si se participa en licitaciones.

La Declaración de Aplicabilidad  debe estar firmada por la Dirección, el Responsable de Seguridad y, en muchos casos, el Delegado de Protección de Datos. No es un papel cualquiera: es una declaración oficial que compromete a la organización ante auditores, organismos y clientes.

Componentes clave de una buena Declaración de Aplicabilidad

  1. Mapa de sistemas y servicios: identificación clara de activos, procesos y ámbitos cubiertos.
  2. Controles ENS aplicables y nivel exigido (básico, medio, alto).
  3. Controles no aplicables, con justificación documental.
  4. Estado actual del cumplimiento por control.
  5. Evidencias técnicas o procedimentales disponibles.
  6. Responsables designados por control.
  7. Plan de acción para los controles no conformes.

Esta estructura permite verificar la implantación real de medidas de seguridad, lo cual también es obligatorio bajo NIS2.

Declaración de Aplicabilidad ENS y cumplimiento con la normativa NIS2

Aunque ENS y NIS2 son marcos distintos, convergen en muchos puntos. La Declaración de Aplicabilidad cumple una doble función en este nuevo escenario:

  • Demostrar cumplimiento estructurado y documentado, algo que NIS2 exige para poder auditar a proveedores o entidades críticas.
  • Servir de base para evaluaciones de riesgo, continuidad y resiliencia, todas obligatorias en NIS2.

En otras palabras, tener una Declaración de Aplicabilidad bien elaborada te prepara para certificarte en ENS y te permite responder a auditorías o incidentes con pruebas reales de cumplimiento y mejora continua.

Diferencias con ISO 27001 y otras normativas

Una confusión habitual es pensar que con una ISO 27001 se cumple todo. Si bien hay muchas equivalencias, la Declaración de Aplicabilidad del ENS exige una estructura, justificaciones y controles que no están exactamente igual en la ISO. Además:

  • ENS se exige por ley en el ámbito del sector público.
  • NIS2 obliga a medidas más allá de ISO en algunos sectores.
  • La Declaración de Aplicabilidad conecta directamente con la realidad técnica y legal española.

Por eso muchas empresas optan por una estrategia combinada: certificarse por ISO 27001, alinearse con NIS2 y formalizar su cumplimiento con ENS (y su Declaración de Aplicabilidad) si trabajan con el sector público.

¿Cómo ayuda Edorteam en la elaboración de la Declaración de Aplicabilidad para la Certificación ENS?

En Edorteam no solo revisamos documentos: trabajamos contigo para comprender tu estructura técnica, tus flujos de datos y tu exposición real al riesgo. Aportamos:

  • Diagnósticos previos para definir el nivel de ENS aplicable.
  • Acompañamiento en la definición de controles, planes de acción y responsables.
  • Redacción completa de la Declaración de Aplicabilidad alineada con CCN-STIC 817.
  • Preparación para auditoría externa.
  • Vinculación con otras normativas como NIS2, LOPDGDD o ISO 27001.

Nuestro enfoque es eminentemente práctico: convertir la Declaración de Aplicabilidad en una herramienta útil, no en un documento olvidado en una carpeta. Solicita una reunión gratuita y descubre por dónde empezar para cumplir con el ENS y estar preparado ante NIS2.

Si estás buscando mejorar tu empresa, implementar un sistema de compliance penal puede ser una excelente opción. ¡No solo ayudará a cumplir con las leyes y regulaciones aplicables, sino que también mejorará la imagen de tu empresa, atraerá y retendrá talentos y reducirá costes!

Solicita información

Síguenos en redes

Otras publicaciones relacionadas

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *