Detectar, decidir, remediar, verificar y registrar — con evidencias defendibles ante una auditoría ACCM/ENAC. Diseñado para empresas y proveedores tecnológicos sujetos al Esquema Nacional de Seguridad (categorías Básica, Media y Alta).
Alcance
Sistemas en categoría Básica, Media o Alta
Salida
Programa operativo + evidencias auditables
Enfoque
Técnico + compliance + reporting unidos
Cualificación verificable
No solo te ayudamos a cumplir el ENS: nuestra propia organización está certificada en ENS categoría ALTA (RD 311/2022) y en ISO/IEC 27001:2022. La gestión de vulnerabilidades forma parte del alcance auditado por ACCM/ENAC. Conocemos los entregables y las preguntas del auditor desde el otro lado de la mesa.
Resumen ejecutivo
ENS y vulnerabilidades
El Esquema Nacional de Seguridad, regulado por el RD 311/2022, no se conforma con que una organización ejecute un escaneo de vulnerabilidades de vez en cuando. Lo que pide el ENS — y lo que verifica una auditoría ACCM/ENAC — es un ciclo completo: detección con cadencia formalizada, decisión documentada sobre cada hallazgo, remediación con responsable y fecha, verificación del cierre y registro trazable de todo el proceso.
Esa exigencia se concreta en varias medidas del Anexo II del RD 311/2022. La referencia más directa es op.exp.4 — Mantenimiento y actualizaciones de seguridad, pero la gestión de vulnerabilidades alimenta también op.exp.10, op.exp.11, op.acc.6, mp.eq.1 y mp.sw.2. En categorías Media y Alta, todas estas medidas se auditan con muestra real — no basta con tener documento, hay que enseñar el registro.
El error más común no es no tener escáner: es no tener el tejido alrededor que convierte un escaneo en evidencia auditable. Inventario actualizado, política firmada, decisiones registradas, verificación de cierre y revisión periódica. Esa es la diferencia entre un certificado ENS limpio y un certificado con no conformidades.
Anexo II del RD 311/2022
La gestión de vulnerabilidades no es una sola medida del ENS — alimenta varios controles del Anexo II. Estos son los más relevantes y cómo los conectamos con el programa operativo:
El RD 311/2022 exige identificar, evaluar y aplicar actualizaciones de seguridad y parches sobre los sistemas en alcance. La gestión de vulnerabilidades es la palanca operativa que materializa esta medida con evidencia defendible.
Detección y respuesta frente a software dañino. Conecta con el ciclo de vulnerabilidades cuando un parche o configuración mitiga un vector explotable.
Registro de acciones relevantes: escaneos, detecciones, decisiones de remediación, validaciones y excepciones. Sin registros trazables, la auditoría ENAC no puede dar el control por superado.
Hardening de accesos sobre activos identificados como vulnerables. Conecta directamente con remediaciones técnicas que devuelven evidencia operativa.
Mantenimiento técnico y configuración segura de los equipos en alcance. La gestión de vulnerabilidades alimenta este control con detección continua y verificación post-cambio.
Validación previa al paso a producción de software. La gestión de vulnerabilidades aporta evidencias de revisión técnica antes y después del despliegue.
Las referencias citadas corresponden al Anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Los códigos de medida (op.exp.X, op.acc.X, mp.eq.X, mp.sw.X) son los recogidos en el texto oficial del RD.
Categorización DICAT
La intensidad del programa depende de la categoría del sistema (Básica, Media o Alta), determinada por el impacto sobre las dimensiones DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad).
Punto de entrada para pymes que inician contratos con AAPP. Más laxo, pero igualmente exige trazabilidad mínima.
Habitual en proveedores TIC con sistemas de impacto medio. La calidad de evidencias diferencia entre certificación limpia y no conformidades.
Sistemas esenciales, infraestructura crítica, defensa, servicios esenciales del Estado. Hard2bit opera en este nivel — está certificada en categoría ALTA.
Metodología Hard2bit
Seis pasos que convierten escaneos sueltos en un programa defendible ante ACCM/ENAC. Cada paso deja un entregable trazable que entra al expediente de auditoría.
Mapeamos el sistema bajo ENS: activos en alcance, dependencias, terceros, sedes y roles responsables. Validamos la categorización (DICAT) para entender qué refuerzos exige el RD 311/2022 sobre la gestión de vulnerabilidades en cada activo.
Construimos inventario técnico real (no documental): hosts, servicios expuestos, identidades, M365/Entra ID, cloud, terceros. Sin inventario actualizado y verificable, ninguna evidencia de vulnerabilidades resiste una auditoría ENAC.
Definimos frecuencia, herramientas y alcance del escaneo en función de la categoría ENS y la criticidad del activo. Documentamos la cadencia como política operativa para defenderla ante auditor.
Validamos hallazgos, eliminamos falsos positivos y priorizamos por criticidad ENS, exposición real y explotabilidad. Cada decisión (parchar, mitigar, aceptar, transferir) queda registrada con responsable y fecha — esto es lo que el auditor pide.
Coordinamos remediación técnica con tu ITSM/CAB, validamos cierre con re-scan o comprobación manual y dejamos evidencia firmada. El cierre técnico sin verificación documentada no cuenta para ENS.
Informe mensual con KPIs auditables (MTTR, exposición media, % cierre por SLA), revisión trimestral con dirección y revisión anual del programa. Salida directa al expediente que se entrega a la auditoría ENAC.
Qué entregamos
No entregamos un PDF. Entregamos el conjunto de artefactos que defienden el control op.exp.4 y conexos ante el auditor ACCM/ENAC, con trazabilidad completa por activo crítico.
Política de gestión de vulnerabilidades alineada al ENS
Documento operativo con cadencia, responsables, criterios de priorización, SLAs de remediación y excepciones — el documento que se entrega al auditor ENAC.
Inventario de activos en alcance ENS
Hosts, servicios, identidades, dependencias y terceros con criticidad por dimensiones DICAT. Mantenido y verificable.
Registro firmado de escaneos y hallazgos
Cada ciclo deja constancia: fecha, herramienta, alcance, hallazgos y triage. Evidencia que el sistema se está revisando con la cadencia comprometida.
Backlog de remediación priorizado y trazable
Cada vulnerabilidad con dueño, prioridad, plan, fecha objetivo, estado y evidencia de cierre. Mapa directo a controles ENS afectados.
Evidencia de cierre por hallazgo crítico
Verificación post-remediación documentada con re-scan, prueba técnica o validación de configuración. Sin esto, el control no se da por superado.
Informe mensual ejecutivo y técnico
KPIs auditables (MTTR, edad media de hallazgos, % cumplimiento SLA por criticidad), evolución de exposición y backlog priorizado para dirección y técnica.
Acta de revisión periódica ENS
Revisión trimestral con responsable de seguridad, comité o vCISO. Evidencia de que el programa se gobierna, no solo se ejecuta.
Acompañamiento durante auditoría ENAC
Preparamos defensas técnicas, atendemos requerimientos del auditor y cerramos no conformidades con plan de acción documentado.
Por qué Hard2bit
No solo te ayudamos con vulnerabilidades para ENS: nuestra propia organización está certificada en ENS categoría ALTA (certificado nº ENS_2.026.061, emitido por ACCM bajo acreditación ENAC nº 48/C-PR503), con 73 medidas implantadas y nivel ALTO en las cinco dimensiones DICAT. La gestión de vulnerabilidades forma parte de ese alcance certificado. Conocemos los entregables, la cadencia y las preguntas del auditor desde el otro lado de la mesa.
Ver certificado ENS Alta verificable →Irene Ocando, responsable del departamento de cumplimiento, audita en ISO 27001, ENS, NIS2 e ISO 22301. Thilina Manana, director de operaciones, es CQI IRCA ISO/IEC 27001:2022 Lead Auditor con experiencia operativa real. Sabemos qué pide el auditor ACCM antes de empezar el proyecto, no después.
Ver pilar de Cumplimiento y GRC →Aterrizamos cada hallazgo a un activo, una medida ENS, una evidencia y un responsable. La gestión de vulnerabilidades no acaba en un PDF: acaba en un control superado en auditoría ENAC.
Ver gestión de vulnerabilidades genérica →Si el sistema convive con ISO 27001, NIS2 o DORA, reutilizamos análisis, evidencias y registros. Una sola evidencia bien construida puede satisfacer requisitos de cuatro marcos a la vez. Lo explicamos en la comparativa de los cuatro marcos.
Ver ENS vs ISO 27001 vs NIS2 vs DORA →Equipo especialista
Auditores y operadores con experiencia real en proyectos ENS y certificaciones bajo auditoría ACCM/ENAC. No son perfiles genéricos: son las personas que firman las decisiones que después defiende la organización ante el auditor.
Responsable de Proyectos de Ciberseguridad
Especialista senior en GRC y cumplimiento con más de 30 años de experiencia. Auditora en ISO 27001, ENS, NIS2, ISO 22301, ISO 20000-1 e ISO 9001. Máster en Data Science (UCAV/Indra). Interlocución directa con entidades certificadoras.
Director de Operaciones y Seguridad
Director de Operaciones y Seguridad y socio fundador. CQI IRCA ISO/IEC 27001:2022 Lead Auditor. Experiencia en security operations, gestión de vulnerabilidades en entornos regulados y cumplimiento ENS en proveedores TIC del sector público.
Caso anonimizado
En un proyecto reciente para un proveedor TIC con servicios contratados por administración local, el alcance arrancó en revisión documental para auditoría ENAC. Lo que faltaba no era inventario o escaneos, sino la conexión auditable entre cada hallazgo, su decisión de remediación y la evidencia de cierre. Reordenamos la operación en seis semanas: política, cadencia, registros firmados, backlog priorizado por criticidad ENS y verificación de cierre. La auditoría se cerró sin no conformidades sobre el control op.exp.4 ni sobre los registros asociados (op.exp.11).
— Irene Ocando · Responsable de Proyectos de Ciberseguridad
Caso resumido y anonimizado por confidencialidad contractual. Detalles técnicos y de cliente disponibles bajo NDA.
Lo que vemos fallar en auditoría
Pasar un escáner trimestral no es un programa de gestión de vulnerabilidades. ENS pide ciclo completo: detectar, decidir, remediar, verificar, registrar.
Si el inventario no refleja el entorno real, los escaneos quedan parciales. La auditoría ENAC pide trazabilidad activo → vulnerabilidad → cierre.
Aceptar un riesgo es válido si está justificado y firmado. No registrarlo lo convierte en hallazgo en auditoría.
Marcar como cerrada una vulnerabilidad sin re-scan ni validación técnica deja el control sin evidencia. Es uno de los hallazgos más típicos en certificación ENS.
ENS exige gobierno, no solo operación. Sin acta de revisión periódica con dirección o vCISO, el control se considera incompleto.
M365, Entra ID, AWS, Azure, GCP y proveedores tecnológicos suelen estar dentro del alcance ENS. La gestión de vulnerabilidades debe cubrirlos con la misma trazabilidad.
Para quién es
ENS de obligado cumplimiento. La gestión de vulnerabilidades es uno de los controles más auditados por ACCM/ENAC. Aplica a sistemas de gestión interna, sede electrónica y servicios al ciudadano.
Empresas privadas adjudicatarias o subcontratistas. ENS aplica al sistema o servicio bajo contrato — incluyendo el ciclo de vulnerabilidades de los componentes en alcance.
SaaS que tratan información de organismos públicos. Categoría habitual: Media o Alta. La gestión de vulnerabilidades debe cubrir aplicación, infraestructura y dependencias cloud.
Sectores con alta sensibilidad regulatoria. ENS convive con NIS2 y RGPD. La gestión de vulnerabilidades alimenta evidencias para los tres marcos simultáneamente.
Categoría Alta habitual. Requiere refuerzos en cadencia, validación y trazabilidad. Hard2bit opera nativamente en este nivel.
Preguntas frecuentes
Respuestas directas a las preguntas que más recibimos de CISO, IT Manager, responsables de cumplimiento y auditoría interna.
Sí. El RD 311/2022, Anexo II, recoge medidas operacionales que obligan a identificar, evaluar y aplicar actualizaciones de seguridad sobre los sistemas en alcance. La medida op.exp.4 es la referencia más directa, aunque la gestión de vulnerabilidades también alimenta op.exp.10, op.exp.11, op.acc.6 y mp.eq.1. En categorías Media y Alta es uno de los controles más revisados por la auditoría ENAC.
El RD 311/2022 no fija una frecuencia numérica única. La cadencia debe ser proporcional a la criticidad del activo y a la categoría del sistema (Básica, Media o Alta). La organización formaliza la frecuencia en su política, la justifica y la mantiene en el tiempo. La auditoría ENAC verifica que esa cadencia se cumple y que existe evidencia trazable.
No. Un escaneo aislado no es gestión de vulnerabilidades. ENS exige ciclo completo: detección, triaje, decisiones documentadas, remediación, verificación y registro. Sin ese ciclo y sin evidencias trazables, el control no se da por superado en auditoría ENAC, especialmente en categorías Media y Alta.
Política operativa firmada, inventario de activos en alcance, registros de escaneos con fecha y alcance, triage documentado, backlog priorizado por criticidad, evidencia de cierre por hallazgo (re-scan o validación técnica), KPIs y acta de revisión periódica con dirección o responsable de seguridad. El auditor revisa una muestra real, no solo el documento.
En Básica basta con autoevaluación: política, inventario y registro mínimo. En Media se exige auditoría ENAC con cadencia formalizada, registros trazables y backlog priorizado. En Alta se añaden refuerzos sobre activos críticos, validación cruzada, KPIs auditables y trazabilidad exhaustiva. Hard2bit opera en categoría Alta certificada.
Encaja muy bien. ISO 27001 (controles A.8.8 y A.8.9), NIS2 (gestión de riesgos y vulnerabilidades) y ENS (op.exp.4 y conexos) comparten requisitos casi idénticos. Una sola implantación bien diseñada puede satisfacer los tres marcos a la vez si las evidencias están bien construidas. Lo explicamos en detalle en la comparativa ENS vs ISO 27001 vs NIS2 vs DORA.
Ejecutamos el ciclo completo cuando aplica: detección, triaje, coordinación con tu ITSM/CAB, parcheo, hardening, ajustes cloud o IAM y verificación de cierre. La organización mantiene el control de las decisiones; nosotros aportamos la operación, las evidencias y la trazabilidad para auditoría ENS.
Un programa operativo y auditable suele construirse en 6 a 10 semanas: alcance, inventario, política, primera ronda de escaneos, triaje y backlog priorizado. La parte de gobierno (revisión periódica, acta, KPIs) se consolida en el primer trimestre. Si la organización ya tiene ISO 27001, los plazos pueden reducirse al reutilizar evidencias.
Sí. La gestión de vulnerabilidades para ENS debe cubrir cualquier activo en alcance, incluyendo Microsoft 365, Entra ID, Azure, AWS, GCP y dependencias de terceros. Excluir cloud o identidad del programa es uno de los hallazgos más frecuentes en auditoría ENS de proveedores TIC modernos.
Si está identificada, priorizada y con plan de acción documentado, no es necesariamente una no conformidad — es una vulnerabilidad gestionada. Se convierte en problema cuando no hay registro, no hay decisión documentada o no hay verificación de cierre. La diferencia entre certificación limpia y no conformidad suele estar en la calidad de las evidencias, no en la ausencia de hallazgos.
Sí, y es la combinación más sólida para ENS Media o Alta. La gestión de vulnerabilidades alimenta al SOC gestionado 24/7 con activos críticos a vigilar; el SOC retroalimenta al programa con detección de explotación activa. Ambos comparten inventario, registros y evidencias.
Sí. Preparamos defensas técnicas, organizamos las evidencias por control auditado, atendemos requerimientos del auditor y, si aparecen hallazgos, cerramos no conformidades con plan de acción documentado. El acompañamiento está en alcance del servicio cuando se contrata el programa completo.
Relacionados
Si lo que buscas no es solo el ciclo de vulnerabilidades sino la adecuación completa al ENS (categorización, gap analysis, riesgos, medidas, auditoría), parte por aquí.
Ver servicio ENS →Si tu sistema no está sujeto al ENS, el servicio gestionado de vulnerabilidades estándar cubre el ciclo completo sin la capa específica de RD 311/2022.
Ver gestión de vulnerabilidades →Reutiliza controles, evidencias y políticas entre ISO 27001 y ENS para reducir esfuerzo de auditoría.
Ver ISO 27001 →Para sectores esenciales o importantes bajo la directiva europea. Comparte mucho con ENS en gestión de riesgos y vulnerabilidades.
Ver NIS2 →Detección y respuesta continua sobre los activos críticos identificados. Combinación habitual con gestión de vulnerabilidades en ENS Media y Alta.
Ver SOC →Validación ofensiva controlada de exposición real explotable. Complementario a la gestión de vulnerabilidades; no la sustituye.
Ver pentesting →Hablamos
Una sesión breve para revisar alcance, categoría y punto de partida. Salimos con criterio sobre quick wins, esfuerzo y qué evidencias hay que reforzar antes del próximo ciclo de auditoría ACCM/ENAC.
Página revisada: 2026-04-28. Hard2bit · Empresa de ciberseguridad en España desde 2013 · ENS categoría ALTA · ISO/IEC 27001:2022
Antes de irte…
Te damos un diagnóstico rápido de 15 min y te decimos qué priorizar primero: M365, pentesting, vulnerabilidades, SOC y/o DORA, NIS2, ENS o ISO 27001.
Sin spam. Respuesta en 24h.
