El Instituto de Investigación Sanitaria INCLIVA, del Hospital Clínico Universitario de València, ha obtenido la certificación µCeENS en el Esquema Nacional de Seguridad (ENS), el marco normativo español que garantiza la seguridad de los sistemas, datos y servicios electrónicos utilizados en la administración pública y por sus proveedores.
El ENS establece las medidas de protección que deben implementarse para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos con el objetivo de minimizar riesgos, prevenir ciberataques y asegurar el correcto funcionamiento de los servicios digitales.
La certificación tiene como base legal el Real Decreto 311/2022, que actualiza la normativa anterior para adaptarse a estándares internacionales como ISO/IEC 27001. La categorización de sistemas en el ENS se realiza asignando un nivel de seguridad (bajo, medio o alto) al sistema de información según el impacto de un incidente de seguridad en sus activos de información.
Cada nivel implica la implantación de una serie de medidas y controles enfocados en la ciberseguridad y trazabilidad del dato en los diferentes sistemas de información de la fundación.
Como primer paso en el cumplimiento de la normativa, INCLIVA ha estado trabajando durante 2024 y 2025 para conseguir certificarse en la categoría µCeENS (nivel bajo), habiendo superado la auditoría. El equipo de trabajo en INCLIVA para la certificación ha estado integrado, con la implicación de dirección y de los miembros del comité de seguridad y comité técnico de seguridad de la institución, por Maite Sáenz y Alejandro Francisco Pons, del Área Legal; Fernando Ferragut y Gabriel Adrian Margineanu, del Área de Ciencia de Datos (proyecto IntegraCloud); Rafael Barajas, del Área de Protección de Datos y Calidad; y Enrique Herreras y Miguel Herreros, del Área de Informática.
Plan de actuación
En la actualidad se está elaborando un plan de actuación a cuatro años con el fin de garantizar una adecuación que se fundamente en un régimen que supere el establecido por la Guía CCN-STIC 890C, para alcanzar la conformidad con el ENS, en la categoría correspondiente, según el análisis de riesgos, realizando auditorías externas cada dos años.
µCeENS es una metodología innovadora que se beneficia de las novedades del Real Decreto 311/2022, de 3 de mayo, para facilitar la obtención de la Certificación de Conformidad en el ENS en base a un Perfil de Cumplimiento Específico (PCE).
Con esta metodología se proporciona el acompañamiento y la asistencia necesaria para alcanzar la Certificación de Conformidad con el ENS desde la fase previa a la adecuación, hasta después de su obtención, todo ello automatizado en las herramientas de Gobernanza de la Ciberseguridad (INES-AMPARO).
