Datos clave de este artículo: Las recomendaciones de esta guía se basan en el análisis de los 2.215 certificados ENS del registro público del CCN-CERT. Consulta el análisis interactivo completo para explorar todos los datos, o lee el resumen ejecutivo de los hallazgos principales.
El alcance es el documento que define la frontera de tu certificación ENS. Es la primera decisión que tomas y la que más impacto tiene en todo lo que viene después: la categorización, el análisis de riesgos, la declaración de aplicabilidad y, finalmente, la auditoría.
Y sin embargo, es el paso que menos atención recibe.
Hemos analizado los 2.215 alcances publicados en el registro oficial del CCN-CERT, la totalidad de los sistemas certificados en España hasta febrero de 2026, para extraer patrones prácticos que puedas usar al redactar tu propio alcance.
Longitud del alcance: ¿cuánto hay que escribir?
| Rango de caracteres | Certificaciones | Porcentaje |
|---|---|---|
| Menos de 100 | 67 | 3,0% |
| 100–200 | 529 | 23,9% |
| 200–400 | 1.053 | 47,5% |
| 400–800 | 438 | 19,8% |
| 800–1.500 | 93 | 4,2% |
| Más de 1.500 | 35 | 1,6% |
Casi la mitad de todos los alcances certificados tienen entre 200 y 400 caracteres, aproximadamente de 1 a 3 frases. No hace falta escribir un ensayo.
Longitud según categoría
| Categoría | Media (caracteres) | Mediana | Media (palabras) |
|---|---|---|---|
| ALTA | 408 | 287 | 59 |
| MEDIA | 334 | 260 | 49 |
| BÁSICA | 270 | 203 | 41 |
Existe una asociación estadísticamente significativa entre la categoría y la longitud del alcance (Kruskal-Wallis H=27,6, p<0,001), pero el tamaño del efecto es pequeño (η²=0,012: la categoría explica solo un 1,2% de la varianza en longitud). No se puede predecir la categoría solo por la longitud del alcance.
Prosa vs. viñetas
| Formato | Certificaciones | Porcentaje |
|---|---|---|
| Prosa continua | 1.692 | 76,4% |
| Con viñetas o listas | 523 | 23,6% |
Tres de cada cuatro alcances están escritos como texto corrido. Ambos formatos son aceptados.
La fórmula canónica: cómo empieza un alcance
Este es el hallazgo más llamativo del análisis. Los alcances del ENS son extraordinariamente formulaicos. Casi la mitad siguen una estructura idéntica.
Frases de apertura
| Frase de apertura | Ocurrencias | % del total |
|---|---|---|
| ”Los sistemas de información que dan soporte a los servicios de…“ | 406 | 18,3% |
| “Los sistemas de información que soportan…“ | 255 | 11,5% |
| “Los sistemas de información que dan soporte a las…“ | 129 | 5,8% |
| “El sistema de información que da soporte a…“ | 124 | 5,6% |
| “Sistemas de información que dan soporte a…“ | 54 | 2,4% |
| Otras variaciones | 1.247 | 56,3% |
El 47% de todos los alcances certificados comienzan con una de estas cinco fórmulas.
Un patrón dentro del patrón
Después de “soporte a”, la palabra que sigue es reveladora:
| Continuación | Ocurrencias |
|---|---|
| ”…los servicios de…“ | 731 |
| ”…las actividades de…“ | 257 |
| ”…los procesos de…“ | 148 |
| ”…la prestación de…“ | 38 |
“Servicios” es con diferencia la continuación más habitual, es el término usado en la propia redacción del RD 311/2022 y la guía CCN-STIC 806.
Frases de cierre
| Tipo de cierre | Ocurrencias | Porcentaje |
|---|---|---|
| Referencia a la declaración de aplicabilidad (DdA) | 867 | 39,1% |
| …con versión y/o fecha | 397 | 17,9% |
| …sin versión ni fecha | 470 | 21,2% |
| Referencia a “categorización vigente” | 232 | 10,5% |
| Sin referencia formal al cierre | 867 | 39,1% |
La fórmula de cierre más habitual:
“…atendiendo a la declaración de aplicabilidad vigente.”
Vocabulario clave: las palabras que más aparecen
Servicios más frecuentes
| Término | Ocurrencias | % en ALTA | % en MEDIA |
|---|---|---|---|
| soporte | 2.147 | 34% | 65% |
| gestión | 1.490 | 34% | 64% |
| mantenimiento | 917 | 39% | 59% |
| desarrollo | 760 | 34% | 65% |
| seguridad | 579 | 50% | 49% |
| consultoría | 500 | 36% | 64% |
| cloud | 215 | 59% | 40% |
| monitorización | 157 | 55% | 42% |
Hallazgo clave: “Cloud” es el término con mayor asociación estadística con categoría ALTA (OR=3,10, p<10⁻¹⁴). Las empresas que mencionan “cloud” en su alcance tienen 3,1 veces más probabilidad de ser categoría ALTA. Le sigue “monitorización” (OR=2,48).
Para un análisis completo de qué términos predicen cada categoría, incluyendo modelos de regresión logística y topic modeling, consulta el capítulo de inteligencia artificial del análisis interactivo o la guía de categorías ENS en cifras.
Pares de servicios más frecuentes
| Par de servicios | Coocurrencias |
|---|---|
| Desarrollo + Mantenimiento | 400 |
| Gestión + Mantenimiento | 303 |
| Desarrollo + Gestión | 283 |
| Consultoría + Desarrollo | 205 |
| Gestión + Seguridad | 191 |
Si ofreces desarrollo, es muy probable que también debas incluir mantenimiento y gestión en tu alcance. Los datos muestran que ciertos servicios se certifican juntos de forma consistente, omitir uno que el auditor espera ver junto a los tuyos puede generar preguntas durante la auditoría.
Cómo escribir tu alcance: guía práctica
Con los datos del análisis, extraemos una guía práctica para redactar un alcance que siga las convenciones aceptadas por las certificadoras.
La fórmula que funciona
Basándonos en lo que usan el 47% de los certificados:
Los sistemas de información que dan soporte a los servicios de [lista de servicios], [según/atendiendo a] la declaración de aplicabilidad vigente[, versión X de fecha DD/MM/YYYY].
Paso a paso
1. Identifica tus servicios. Empieza por los servicios que tu organización presta y que están sujetos al ENS. Los más frecuentes en el registro son:
- Soporte técnico (2.147 menciones)
- Gestión de infraestructura (1.490 menciones)
- Mantenimiento de sistemas (917 menciones)
- Desarrollo de software (760 menciones)
- Consultoría (500 menciones)
- Servicios cloud / hosting (323 menciones)
2. Elige la construcción verbal. Las opciones validadas:
- “Los sistemas de información que dan soporte a los servicios de…” (la más neutra, 18,3%)
- “Los sistemas de información que soportan…” (más directa, 11,5%)
- “El sistema de información que da soporte a…” (singular, 5,6%)
3. Lista tus servicios. Pueden ir en prosa continua (76,4% de los casos) o en viñetas (23,6%). Si tienes más de 5 servicios, las viñetas mejoran la legibilidad.
4. Decide tu cierre. Las opciones son:
- “…atendiendo a la declaración de aplicabilidad vigente.” (21,2%)
- “…según la declaración de aplicabilidad vigente, versión X de fecha DD/MM/YYYY.” (17,9%)
- “…de acuerdo con la categorización del sistema vigente.” (10,5%)
- Sin cierre formal (39,1%, también es aceptable)
5. Apunta a 200-400 caracteres. Es el rango donde se concentra el 47,5% de los alcances certificados.
Ejemplo basado en los patrones del registro
Para una empresa de desarrollo de software que presta servicios al sector público:
Los sistemas de información que dan soporte a los servicios de desarrollo, mantenimiento y soporte de aplicaciones web para la administración pública, incluyendo los entornos de desarrollo, pruebas y producción, así como la infraestructura cloud asociada, atendiendo a la declaración de aplicabilidad vigente.
Este ejemplo tiene 305 caracteres (dentro del rango óptimo), usa la fórmula canónica, lista los servicios concretos y cierra con la referencia a la DdA.
Los 6 errores que revelan los datos
1. Alcance demasiado amplio
Si tu alcance incluye “todos los sistemas de información de la empresa”, estás elevando innecesariamente la categoría. La categoría es el máximo de todas las dimensiones de todos los activos dentro del alcance.
Lo que dicen los datos: La mediana del alcance es de solo 267 caracteres. Las empresas certificadas definen alcances acotados a servicios específicos.
2. Alcance demasiado vago
Frases como “los servicios prestados por la empresa” no son un alcance, son una declaración genérica. El auditor necesita saber qué servicios, qué sistemas, qué información.
Lo que dicen los datos: Los alcances exitosos nombran servicios concretos: “desarrollo de software”, “soporte técnico”, “gestión de infraestructura cloud”.
3. Ignorar la cadena de suministro
El RD 311/2022 (Artículo 2.3) extiende el alcance a los sistemas de los proveedores que tratan información dentro del alcance. Si usas AWS, Azure o un proveedor SaaS, sus sistemas están dentro de tu perímetro.
Lo que dicen los datos: El 10% de los alcances mencionan explícitamente infraestructura cloud o proveedores externos. Y la mayoría de esos alcances (67%) son categoría ALTA.
4. No distinguir subsistemas
Si tu organización presta servicios muy distintos (por ejemplo, consultoría + hosting + desarrollo), puede tener sentido certificar cada uno como un subsistema independiente. Esto evita que la dimensión más alta de un servicio “contagie” a los demás.
Lo que dicen los datos: 154 empresas del registro tienen múltiples certificaciones; subsistemas certificados independientemente.
5. Copiar el alcance de otra empresa
Copiar el alcance de una empresa similar puede parecer eficiente, pero cada organización tiene servicios, sistemas y tipos de información diferentes.
Lo que dicen los datos: Aunque la estructura es formulaica (47% usan la misma apertura), el contenido es específico de cada organización. No hay dos alcances idénticos en el registro.
6. No revisar el alcance anualmente
El Artículo 40 del RD 311/2022 exige reevaluar la categorización cuando hay cambios significativos. Los certificados tienen una vigencia de 2 años.
La relación alcance → categorización → BIA
El alcance no es un documento aislado. Es el punto de partida de una cadena:
Alcance (¿qué se certifica?)
↓
Categorización / BIA (¿qué impacto tendría un incidente?)
↓
Análisis de Riesgos (¿qué amenazas existen?)
↓
Declaración de Aplicabilidad (¿qué medidas del Anexo II aplican?)
↓
Plan de Adecuación (¿cómo implementamos las medidas?)
↓
Auditoría (¿cumplimos?)El alcance define qué servicios entran en la evaluación. La categorización (BIA) evalúa el impacto de un incidente sobre esos servicios en las 5 dimensiones de seguridad (CITA + Disponibilidad). Y la categoría resultante determina qué medidas de seguridad del Anexo II son de aplicación.
Un alcance mal definido tiene un efecto cascada: invalida la categorización, el análisis de riesgos y todo lo que sigue.
Conclusiones
-
Los alcances del ENS son extraordinariamente formulaicos. El 47% siguen la misma estructura de apertura, y la mediana es de solo 267 caracteres.
-
“Cloud” es el término con mayor asociación con categoría ALTA (OR=3,10). Las empresas cloud tienen 3,1 veces más probabilidad de ser ALTA.
-
La mejor estrategia es seguir la fórmula canónica, adaptar el contenido a tus servicios específicos, y apuntar a 200-400 caracteres.
-
Los servicios se certifican en grupo: si ofreces desarrollo, incluye también mantenimiento y gestión. Los pares de servicios que se omiten generan preguntas en auditoría.
Explora todos los datos: El análisis interactivo completo incluye visualizaciones de los 2.215 certificados: distribución geográfica, mercado de certificadoras, evolución temporal, modelos predictivos y más.
¿Necesitas definir el alcance de tu sistema? Nuestra IA genera el alcance por ti, usando los mismos datos de este artículo. Pruébala gratis en app.esquema.dev.