El ENS (Esquema Nacional de Seguridad) prescrive que cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: bajo, medio o algo.
Nivel de seguridad BAJO
Un sistema tendrá un nivel bajo cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá que existe perjuicio limitado cuando:
- La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
- El sufrimiento de un daño menor por los activos de la organización.
- El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
- Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
- Otros de naturaleza análoga.
Nivel de seguridad MEDIO
Un sistema tendrá un nivel medio cuando las consecuencias de un incidente de seguridad afecte a alguna de las dimensiones de seguridad que supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá que existe perjuicio grave cuando:
- La reducción significativa de la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
- El sufrimiento de un daño significativo por los activos de la organización.
- El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
- Causar un perjuicio significativo a algún individuo, de difícil reparación.
- Otros de naturaleza análoga.
Nivel de seguridad ALTO
Un sistema tendrá un nivel alto cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá que existe perjuicio muy grave cuando:
- La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
- El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
- El incumplimiento grave de alguna ley o regulación.
- Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
- Otros de naturaleza análoga.