ENS y Continuidad de Negocio: Claves para resistir crisis como el apagón global
El 28 de abril de 2025, a las 12:35 de la tarde, la red eléctrica en la península ibérica sufrió un colapso repentino, perdiendo 15 gigavatios en cuestión de segundos. En solo cinco segundos, toda la región quedó a oscuras, afectando sistemas de transporte, telecomunicaciones y servicios básicos. Durante 24 horas, muchas cosas dejaron de funcionar: los ascensores se quedaron atascados, los supermercados se vaciaron y miles de personas quedaron atrapadas en el metro, entre otros problemas.
Pero ahora la verdadera pregunta no es tanto cómo ocurrió esto, sino cómo podemos asegurarnos de que los servicios esenciales sigan funcionando ante una situación así. Ahí es donde el Esquema Nacional de Seguridad (ENS) mostró su importancia. Las entidades que estaban certificadas en niveles Medio y Alto del ENS no se quedaron de brazos cruzados; activaron sus protocolos prediseñados para mantener en marcha sus procesos y servicios más importantes.
Por ejemplo, aquellas organizaciones que habían identificado cuáles eran sus servicios clave a través de un Análisis de Impacto (BIA) y que contaban con medios alternativos homologados, como generadores autónomos o centros de respaldo distribuidos en diferentes lugares, lograron mitigar en parte el desastre y evitar un colapso total.
ENS Medio y Alto: Los pilares técnicos que blindan la continuidad.
La certificación en ENS no es solo una lista de verificación, sino un sistema de requisitos técnicos en constante crecimiento. Esto ayuda a las organizaciones a gestionar crisis importantes de manera efectiva. La diferencia entre los niveles Medio y Alto está en su enfoque estratégico: mientras el nivel Medio se centra en cumplir requisitos básicos, el Alto apunta a una gestión más integral y anticipada de riesgos críticos.
a. ENS Medio
El nivel medio exige cumplir únicamente con el control [op.cont.1] centrado en el Análisis de Impacto, implicando:
- Identificar servicios críticos incluidos en el alcance.
- Determinar Tiempos Máximos de Interrupción Tolerables (TMIT) para cada servicio.
- Actualización constante para asegurar que el BIA sea un documento que refleje la realidad operativa actual.
- Mapear dependencias críticas, por ejemplo, identificar que un servidor de autenticación es vital parar 12 servicios distintos, lo que obliga a blindarlo prioritariamente.
b. ENS Alto
El nivel Alto incorpora [op.cont.2], [op.cont.3] y [op.cont.4], transformando el BIA en un sistema ejecutable, implicando:
- Elaboración de un Plan de Continuidad.
- Protocolos con roles asignados, ya no basta con constar que hay que activar generadores, sino que deben definirse responsables y en qué plazo.
- Medios alternativos «contractualizados»: Acuerdos con proveedores que garanticen, por contrato, la disponibilidad de los recursos críticos (por ejemplo, una cláusula que obliga al CPD alternativo a activarse en menos de 30 minutos).
- Simulacros donde el personal ejecuta el rol definido por el Plan.
- Pruebas al Plan de Continuidad que repliquen escenarios plausibles.
- Inventariado de los medios alternativos homologados.
Se puede identificar cómo el ENS Medio es un punto de partida para entender los riesgos y el ENS Alto es el salto cualitativo que convierte ese conocimiento en capacidad de acción.
Lecciones aprendidas.
a. Lección 1: El BIA marca la diferencia entre el caos y el control.
Durante el evento, tanto las administraciones públicas como las empresas privadas certificadas en ENS lograron gestionar mejor los servicios críticos gracias a un BIA actualizado. Por ejemplo, hospitales con certificación en ENS consiguieron mantener en marcha áreas como las UCIs y quirófanos, identificando la importancia de los generadores eléctricos como activos esenciales en su análisis.
b. Lección 2: Los Planes de Continuidad necesitan más que buenas intenciones.
Las empresas certificadas en ENS Alto lograron activar sus Centros de Procesamiento de Datos (CPDs) en cuestión de minutos, gracias a SLAs que obligan a los proveedores a cumplir con los plazos establecidos (RTO). Por otro lado, las organizaciones sin estos contratos experimentaron retrasos que resultaron críticos.
c. Lección 3: La formación evita errores en momentos de crisis.
Las empresas certificadas en ENS Alto lograron activar sus Centros de Procesamiento de Datos (CPDs) en cuestión de minutos, gracias a SLAs que obligan a los proveedores a cumplir con los plazos establecidos (RTO). Por otro lado, las organizaciones sin estos contratos experimentaron retrasos que resultaron críticos.
c. Lección 4: El ENS es un estándar público, pero su valor es transversal.
Aunque el ENS nació con el foco en las Administraciones Públicas (Preámbulo Real Decreto 311/2022, de 3 de mayo: «cuyo ámbito de aplicación comprendía todas las entidades de las administraciones pública»), el apagón evidenció su relevancia como estándar técnico transversal, en concreto, para las empresas privadas, la certificación es un activo estratégico que:
- Posibilita/facilita el acceso a licitaciones públicas.
- Refuerza la confianza como proveedor de servicios esenciales (energía, telecomunicaciones, salud…).
ENS y NIS2: ¿Elegir o complementarlas?
La Directiva NIS2 (seguridad de redes y sistemas de información) amplía los requisitos de ciberseguridad y continuidad en la UE para sectores críticos (energía, salud, transporte). Aunque su alcance es más concreto en comparación con el Esquema Nacional de Seguridad (ENS), ambos marcos se complementan: el ENS proporciona la base técnica para cumplir con NIS2, especialmente en continuidad. No son alternativas excluyentes, sino eslabones de una misma cadena.
Para organizaciones en el ámbito de NIS2, el Perfil de Cumplimiento Específico (PCE-NIS2) actúa como guía de implementación. Aquí, el ENS es un aliado: entidades certificadas en ENS Medio/Alto ya cumplen hasta el 70% de los requisitos del PCE-NIS2 en áreas como análisis de impacto (BIA), medios alternativos homologados (op.cont.4) y pruebas de continuidad (op.cont.3.1). La diferencia clave es que NIS2 exige gestionar riesgos en la cadena de suministro y notificar incidentes en un determinado plazo, entre otros aspectos no cubiertos explícitamente por el ENS.
La sinergia es clara: el ENS ofrece controles operativos probados (como redundancia geográfica o planes con roles definidos), mientras NIS2 amplía el enfoque a un ecosistema más amplio. Para empresas que colaboran con Administraciones Públicas, esta combinación no solo es técnica: es una ventaja competitiva en licitaciones y alianzas estratégicas.
Resiliencia no es improvisación, es preparación.
La resiliencia operativa no se mide solo por cómo reacciona una organización durante una crisis, sino por cómo se prepara antes de que llegue. El apagón del mes pasado fue un golpe duro que nos dejó claro: las organizaciones que lograron superar ese momento difícil no lo hicieron por suerte o por azar, sino porque ya tenían en marcha estrategias sólidas como el Esquema Nacional de Seguridad.
En Europa, la tendencia legislativa es bastante clara: directivas como NIS2 y DORA no son solo trámites administrativos, sino herramientas que ayudan a proteger sectores críticos frente a amenazas cada vez más frecuentes, como ciberataques, fallos en el suministro energético o desastres naturales. En este contexto, el ENS se convierte en una herramienta estratégica que:
Valida la capacidad técnica de una organización para recuperarse de incidentes.
Ayuda a alinear las acciones con los estándares que la Unión Europea ya exige o que quizás en el futuro requerirá.
El mensaje final es directo: la próxima crisis llegará sin avisar. Pero si las organizaciones utilizan marcos de trabajo como el ENS, pueden convertir esa incertidumbre en una ventaja competitiva, demostrando que la verdadera resiliencia no consiste en improvisar soluciones sobre la marcha, sino en tener protocolos listos para actuar cuando más se necesitan.
Centro de Competencia ENS de Govertis, part of Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
