Saltar al contenido principal
Seguridad y cumplimiento normativo

ENS, NIS2 y
cumplimiento al detalle.

Pueblania trata datos del Ayuntamiento y de los ciudadanos. Esta página explica con datos verificables qué medidas técnicas y organizativas aplicamos, qué marcos cumplimos hoy y cuál es el roadmap de certificación.

RGPD nativo LOPDGDD ENS · alineamiento técnico AI Act preparado NIS2 en evaluación

A quién aplica el ENS: aclaración importante

El ENS es obligatorio para tu Ayuntamiento (administración pública), no para Pueblania como proveedor SaaS privado. Lo que aportamos: alineamiento técnico con las medidas ENS Media para facilitar la adecuación de tu Ayuntamiento. La certificación ENS de un proveedor es opcional — la estamos considerando como diferenciador a partir de Q4 2026, no es prerequisito para servirte.

Marco normativo principal

Qué es el
Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (ENS) es el marco regulatorio obligatorio para todas las administraciones públicas españolas en materia de seguridad de la información. Regulado por el Real Decreto 311/2022, que sustituye al RD 3/2010.

Pueblania como proveedor SaaS privado no está obligada al ENS — la obligación recae en el Ayuntamiento (responsable del tratamiento). Sin embargo, alineamos nuestras medidas técnicas con la categoría Media del ENS para que tu Ayuntamiento tenga menos trabajo de adecuación cuando nos contrate.

La certificación ENS de un proveedor es voluntaria. Algunos proveedores la obtienen como diferenciador comercial y aparecen en el catálogo del CCN. En Pueblania está en evaluación como roadmap Q4 2026 — pero no es prerequisito legal para servirte.

Las 3 categorías del ENS

Categoría Básica

Sistemas con bajo impacto en caso de incidente. Suelen aplicar a servicios informativos simples sin tratamiento de datos personales sensibles.

40 medidas mínimas

Categoría Media

Sistemas con impacto medio. Aplican a servicios con datos personales habituales del ciudadano. Es la categoría aplicable a Pueblania.

~75 medidas

Categoría Alta

Sistemas con impacto alto. Datos especialmente protegidos (salud, ideología), infraestructuras críticas, datos masivos sensibles.

~80+ medidas

Los 3 marcos del ENS

Organizativo, operacional
y protección.

Las medidas del ENS se agrupan en tres marcos. A continuación, lo que Pueblania ya tiene implementado en cada uno.

Marco organizativo

Política, normativa interna y formación
Política de seguridad documentada y revisada anualmente
Roles de seguridad designados (responsable, operador, administrador)
Normativa interna de uso aceptable
Procedimiento de gestión de incidentes documentado
Análisis de riesgos según metodología MAGERIT
Plan de continuidad de negocio
Auditoría interna anual del estado de seguridad
Formación de seguridad obligatoria para todo el equipo

Marco operacional

Planificación, control y monitorización
Inventario actualizado de activos tecnológicos
Control de cambios documentado (cada deploy registrado)
Monitorización 24/7 de servicios críticos
Logs centralizados con retención de 12 meses
Detección automática de eventos de seguridad
Procedimiento de respuesta a incidentes (IR runbook)
Pruebas de continuidad cuatrimestrales
Vigilancia continua de vulnerabilidades (CVE)
Gestión de capacidad y rendimiento
Actualizaciones de seguridad aplicadas en menos de 72 h

Marco de protección

Medidas técnicas concretas implementadas
Cifrado TLS 1.3 en todas las conexiones (HSTS preload)
Cifrado AES-256 en datos en reposo
Autenticación multifactor obligatoria para acceso administrativo
Aislamiento multi-tenant por filtros vectoriales + léxicos + hidratación
Redacción PII automática en dos capas (input y output)
Cabeceras de seguridad HTTP completas (CSP, X-Frame, X-Content, etc.)
Firewall de aplicación web (WAF) y protección DDoS
Backups cifrados diarios con retención 30 días
Servidores en territorio UE (Hetzner Alemania + Google Cloud Frankfurt)
Sin transferencias internacionales por defecto fuera del EEE
Segregación de entornos (desarrollo, staging, producción)
Rotación automática de credenciales
Auditoría de cada acción de la IA (logs auditables)
Política de mínimo privilegio en accesos al sistema
Sandboxing de ejecución para procesos sensibles
Certificaciones voluntarias · roadmap

Diferenciadores opcionales
en evaluación.

Ninguna certificación es prerequisito para servirte. Las consideramos como diferenciador comercial y como soporte a la adecuación ENS de tu Ayuntamiento.

Q2 2026 · en curso

Autoevaluación interna ENS Media

Aplicación interna de las 75 medidas de control ENS Media como buenas prácticas. Documentación que tu Ayuntamiento puede reutilizar durante su propia adecuación.

Q3 2026 · planificado

Auditoría interna previa

Auditoría interna por consultora externa para identificar brechas técnicas y decidir si abordamos certificación voluntaria.

Q4 2026 · evaluación

Decisión certificación ENS voluntaria

Análisis coste/beneficio de obtener certificación ENS Media en el catálogo del CCN. Diferenciador para concursos públicos.

Q1 2027 · evaluación

ISO/IEC 27001

Evaluación de certificación ISO 27001 complementaria — más extendida internacionalmente que el ENS.

Otros marcos aplicables

No solo el ENS.

Un asistente IA municipal cumple simultáneamente varios marcos. Estos son los que aplicamos y dónde verificarlos.

RGPD

Reglamento (UE) 2016/679

Cumplimiento nativo desde día uno

Reglamento General de Protección de Datos

Tratamiento de datos personales conforme a principios de licitud, lealtad, transparencia, limitación de finalidad, minimización y exactitud.

Reglamento UE 2016/679

LOPDGDD

LO 3/2018

Cumplimiento nativo desde día uno

Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

Adaptación nacional del RGPD + derechos digitales específicos. Aplicación complementaria al RGPD europeo.

LO 3/2018 BOE

AI Act

Reglamento (UE) 2024/1689

Preparado para aplicación plena

Reglamento Europeo de Inteligencia Artificial

Sistemas IA según riesgo. Pueblania es sistema IA de riesgo limitado: transparencia obligatoria, derecho a explicación general, escalado al humano para decisiones jurídicamente vinculantes.

Reglamento UE 2024/1689

NIS2

Directiva (UE) 2022/2555

En evaluación de aplicabilidad

Directiva sobre Ciberseguridad de Redes y Sistemas

Aplica a entidades esenciales e importantes. Análisis de aplicabilidad a Pueblania como proveedor de servicios digitales a sector público local en curso.

Directiva UE 2022/2555

ENS

Real Decreto 311/2022

Obligatorio para tu Ayto · alineamos para facilitarlo

Esquema Nacional de Seguridad

Marco obligatorio para administraciones públicas (no para proveedores SaaS privados). Pueblania alinea sus medidas técnicas con la categoría Media para reducir tu trabajo de adecuación. Certificación voluntaria del proveedor en evaluación.

RD 311/2022 BOE

Ley 39/2015

Ley 39/2015

Cumplimiento por diseño

Procedimiento Administrativo Común de las AAPP

Pueblania no sustituye procedimientos administrativos formales. Informa, agenda y deriva a sede electrónica. No emite decisiones jurídicamente vinculantes.

Ley 39/2015 BOE
Reporte de vulnerabilidades

Has encontrado
una vulnerabilidad.

Si has identificado un fallo de seguridad en Pueblania, queremos saberlo. Aplicamos política de divulgación responsable (responsible disclosure):

  1. Envía un correo cifrado a [email protected] con detalle de la vulnerabilidad y pasos de reproducción.
  2. Confirmamos recepción en menos de 24 horas hábiles.
  3. Investigamos y mantenemos comunicación contigo durante el análisis.
  4. Si el reporte es válido, te citamos en el agradecimiento público de seguridad (si lo deseas).
  5. Acordamos contigo la ventana de divulgación pública del fallo, generalmente 90 días tras la corrección.

No realizamos programas formales de bug bounty con recompensa monetaria a fecha de mayo de 2026. Estamos evaluando su implementación.

Contactos de seguridad

Reporte de vulnerabilidades
[email protected]
PGP fingerprint disponible bajo solicitud
Soporte de seguridad clientes
[email protected]
Responsable de seguridad
CISO designado · contacto bajo NDA
Notificación brechas RGPD
Procedimiento art. 33 RGPD · plazo < 72 h
Fuentes oficiales

Verifícalo
en las fuentes oficiales.

Nada de lo descrito en esta página es opinión nuestra. Estos son los organismos y normas oficiales que regulan la seguridad de la información en sector público español y europeo.

España · Seguridad

Centro Criptológico Nacional (CCN)

Organismo del CNI responsable de la seguridad de las tecnologías de la información en la Administración General del Estado.

Visitar fuente oficial

España · Respuesta a incidentes

CCN-CERT

Capacidad de Respuesta a Incidentes de Seguridad de la Información del CCN. Coordina la respuesta ante ataques al sector público.

Visitar fuente oficial

España · Ciberseguridad nacional

INCIBE

Instituto Nacional de Ciberseguridad. Servicios y soporte a ciudadanos, empresas y entidades de la red académica y de investigación.

Visitar fuente oficial

España · Protección de datos

AEPD

Agencia Española de Protección de Datos. Autoridad de control independiente para la aplicación del RGPD en España.

Visitar fuente oficial

España · ENS y administración electrónica

Portal Administración Electrónica (PAe)

Portal del Ministerio de Hacienda con toda la información sobre el ENS, herramientas, guías y modelos de adecuación.

Visitar fuente oficial

España · Estrategia nacional IA

Secretaría de Estado de Digitalización e IA

Departamento del Ministerio para la Transformación Digital con competencias sobre IA, Kit Digital y estrategia digital nacional.

Visitar fuente oficial

UE · Ciberseguridad

ENISA

Agencia Europea de Ciberseguridad. Coordina ciberseguridad a nivel UE y emite guías técnicas aplicables.

Visitar fuente oficial

UE · Comité Europeo Protección Datos

EDPB

Organismo independiente de la UE que vela por la aplicación coherente del RGPD. Emite directrices vinculantes.

Visitar fuente oficial

UE · AI Act

European AI Office

Oficina europea de IA. Supervisa la aplicación del AI Act y publica guías oficiales sobre clasificación de sistemas IA.

Visitar fuente oficial
Normativa específica · texto oficial

Las leyes
una a una.

RD 311/2022

Real Decreto que regula el Esquema Nacional de Seguridad

Reglamento UE 2016/679

Reglamento General de Protección de Datos (RGPD)

LO 3/2018

Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)

Reglamento UE 2024/1689

Reglamento Europeo de Inteligencia Artificial (AI Act)

Directiva UE 2022/2555

Directiva NIS2 sobre ciberseguridad de redes y sistemas

Ley 39/2015

Ley del Procedimiento Administrativo Común de las AAPP

Ley 40/2015

Ley de Régimen Jurídico del Sector Público

RD 203/2021

Reglamento de actuación y funcionamiento del sector público por medios electrónicos
Acceso anticipado abierto

El Ayuntamiento
que responde
24/7.

Activamos Pueblania para 12 Ayuntamientos piloto. Te enseñamos el funcionamiento en 30 minutos.

Pedir demo para mi Ayuntamiento

Llamada de 30 min · sin compromiso · te decimos si tu municipio encaja