El ENS (Esquema Nacional de Seguridad) prescrive que cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: bajo, medio o algo.

Nivel de seguridad BAJO

Un sistema tendrá un nivel bajo cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá que existe perjuicio limitado cuando:

  1. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
  2. El sufrimiento de un daño menor por los activos de la organización.
  3. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
  4. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
  5. Otros de naturaleza análoga.

Nivel de seguridad MEDIO

Un sistema tendrá un nivel medio cuando las consecuencias de un incidente de seguridad afecte a alguna de las dimensiones de seguridad que supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá que existe perjuicio grave cuando:

  1. La reducción significativa de la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
  2. El sufrimiento de un daño significativo por los activos de la organización.
  3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
  4. Causar un perjuicio significativo a algún individuo, de difícil reparación.
  5. Otros de naturaleza análoga.

Nivel de seguridad ALTO

Un sistema tendrá un nivel alto cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá que existe perjuicio muy grave cuando:

  1. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
  2. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
  3. El incumplimiento grave de alguna ley o regulación.
  4. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
  5. Otros de naturaleza análoga.