Cada vez más empresas privadas que trabajan con la Administración pública se enfrentan a una doble exigencia: cumplir el Esquema Nacional de Seguridad (ENS) —obligatorio para proveedores de servicios digitales a organismos públicos— y obtener o mantener la certificación ISO/IEC 27001 que piden sus clientes corporativos. La pregunta que nos hacen con frecuencia es directa: ¿cuánto ahorramos si lo hacemos a la vez? La respuesta, basada en la experiencia acumulada desde 2007 en más de ~200 certificaciones ISO acompañadas, es que el ahorro oscila entre el 30 % y el 45 % del coste combinado si se ejecutaran por separado. En este artículo desglosamos por qué, qué controles son aprovechables y cuáles son los rangos de mercado reales para cada partida.
ENS e ISO 27001: dos marcos, un solo núcleo de seguridad
El ENS, regulado por el Real Decreto 311/2022 (que reemplazó al RD 3/2010), es de aplicación obligatoria a las Administraciones Públicas y a sus proveedores de servicios TI cuando prestan servicios que afectan a sistemas clasificados en categorías básica, media o alta. La ISO/IEC 27001:2022, publicada por la Organización Internacional de Normalización, es el estándar global de gestión de seguridad de la información (SGSI) reconocido por auditores y entidades de certificación acreditadas.
Ambos marcos comparten una arquitectura de riesgos muy similar: identificar activos, evaluar amenazas, seleccionar controles y establecer un ciclo de mejora continua. El Anexo A de ISO 27001:2022 incorpora 93 controles organizados en cuatro temas (organizativo, de personas, físico y tecnológico); el ENS establece 73 medidas de seguridad agrupadas en marco organizativo, operacional y de protección. Cuando se comparan control a control, la superposición efectiva ronda el 60-70 % de los controles documentales y de procesos.
Esa superposición es la fuente del ahorro: la política de seguridad, el análisis de riesgos, el inventario de activos, el plan de continuidad, la gestión de incidentes, los procedimientos de acceso y la formación al personal se redactan una sola vez y se mapean a los requisitos de ambos marcos. Sin un proyecto conjunto, cada consultoría elabora esa documentación de forma independiente, duplicando el esfuerzo.
Controles exclusivos del ENS que no cubre ISO 27001
No todo es superponible. El ENS introduce requisitos específicos de la Administración española que ISO 27001 no contempla de forma explícita:
- Categorización del sistema (básica, media o alta) conforme a los criterios de disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad del RD 311/2022.
- Declaración de Aplicabilidad ENS con referencia al perfil de cumplimiento publicado por el Centro Criptológico Nacional (CCN).
- Guías CCN-STIC: el CCN publica más de 800 guías técnicas que concretan cómo aplicar las medidas del ENS en tecnologías específicas (Active Directory, Windows Server, equipos de red Cisco, etc.). Su aplicación es obligatoria en las categorías media y alta.
- Informe del estado de seguridad y reporte al dashboard del CCN (INES) para entidades sujetas a auditoría bienal.
- Uso de productos certificados CC (Common Criteria) o ENS para determinados componentes críticos en categoría alta.
Estos requisitos diferenciales no son transferibles desde ISO 27001 y requieren trabajo adicional específico. Por eso el ahorro no es del 100 % de los controles compartidos: hay una fracción de esfuerzo exclusivo de cada marco que siempre se ejecuta.
Tabla comparativa: partidas de coste en proyecto separado vs. proyecto conjunto
| Partida | Proyecto separado (ENS + ISO 27001) | Proyecto conjunto | Ahorro estimado |
|---|---|---|---|
| Análisis de riesgos | Se realiza dos veces con metodologías distintas | Una metodología unificada válida para ambos marcos | 40-50 % de esta partida |
| Documentación del SGSI / marco organizativo | Dos juegos de política, procedimientos y registros | Un juego documentado con doble mapeo ENS / ISO | 35-45 % de esta partida |
| Formación y concienciación del personal | Dos acciones formativas, posiblemente solapadas | Una acción formativa unificada | 50-60 % de esta partida |
| Revisión por la dirección y auditoría interna | Dos ciclos anuales separados | Un ciclo combinado de auditoría interna | 30-40 % de esta partida |
| Controles técnicos exclusivos ENS (CCN-STIC) | Solo aplica al proyecto ENS | Solo aplica al proyecto ENS | 0 % (sin sinergias) |
| Auditoría de certificación ISO 27001 | Coste de organismo certificador independiente | Idem (tarifa del organismo, no reducible por conjunción) | 0 % (fija por el organismo) |
| Auditoría ENS (bienal, para categoría media/alta) | Coste de entidad auditora ENS acreditada CCN | Idem (independiente) | 0 % (fija por la entidad) |
| Total consultoría e implantación | Base 100 % | 55-70 % del coste separado | 30-45 % |
Nota: los porcentajes son rangos orientativos de mercado basados en proyectos en pymes de 20-150 empleados con sistemas de categoría básica o media. Los costes de auditoría externa los fijan los organismos certificadores y las entidades auditoras ENS; no son negociables por la consultoría.
Rangos de coste reales en el mercado español (2025-2026)
A continuación se recogen rangos orientativos de mercado para empresas privadas en España. Estos precios no son tarifas de Summum Marketing; reflejan lo publicado por organismos certificadores, asociaciones del sector (ISACA, ISMS Forum Spain) y convocatorias públicas de la Administración. Los factores que desplazan el precio dentro del rango se detallan en el apartado siguiente.
Consultoría de implantación ENS (categoría básica o media)
Para una pyme de 20-80 empleados con un sistema de información de categoría básica o media, el rango de mercado para la consultoría de implantación ENS oscila entre 8.000 € y 22.000 €. Para categoría alta, el coste puede superar los 40.000 € debido a los requisitos de productos certificados CC y la mayor profundidad de las guías CCN-STIC aplicables.
Consultoría de implantación ISO 27001:2022
La implantación de ISO 27001 en una pyme de tamaño similar (20-80 empleados, sin certificación previa) se mueve entre 7.000 € y 20.000 €. El rango varía según el número de activos en alcance, la madurez previa del sistema y si la empresa dispone de responsable de seguridad interno.
Proyecto conjunto ENS + ISO 27001
Ejecutado de forma integrada por una misma consultora, el rango de mercado para el mismo perfil de empresa es de 10.000 € a 28.000 €: el ahorro real frente a sumar los dos proyectos separados (15.000-42.000 €) está entre el 30 % y el 45 %, tal y como anticipaba la tabla anterior.
Auditoría de certificación ISO 27001 (organismos acreditados)
Las tasas de organismos acreditados por ENAC (AENOR, Bureau Veritas, SGS, Lloyd's Register, DNV…) para la auditoría de certificación de una pyme en alcance reducido oscilan entre 3.500 € y 9.000 € para la fase 1 + fase 2 inicial (primer año). Las auditorías de seguimiento anuales se sitúan en el 40-60 % de ese coste.
Auditoría bienal ENS (entidades auditoras acreditadas CCN)
Las entidades habilitadas por el CCN para auditar el ENS en categoría media o alta cobran por el mismo perfil de empresa entre 4.000 € y 12.000 € por auditoría bienal, en función del número de sistemas auditados, la categoría y el número de controles aplicables.
Factores que mueven el precio dentro del rango
- Categoría ENS del sistema: básica, media o alta determinan el número de guías CCN-STIC aplicables y la profundidad de la auditoría. Una empresa con varios sistemas en categoría alta puede triplicar el coste de consultoría respecto a categoría básica.
- Alcance de ISO 27001: cuántos procesos, ubicaciones y activos entran en el SGSI. Un alcance reducido (solo el servicio prestado a la Administración) es más económico que un alcance corporativo completo.
- Madurez previa: si la empresa ya tiene análisis de riesgos, política de seguridad o controles técnicos documentados, la carga de trabajo del consultor se reduce significativamente.
- Tamaño del equipo TI: más activos, más servidores, más aplicaciones en alcance implica más horas de inventario y de aplicación de controles.
- Implicación del cliente: un proyecto conjunto requiere más coordinación interna (responsable de seguridad, dirección, departamento de sistemas). Si el cliente puede dedicar recursos propios a tareas de recopilación de evidencias, el coste externo baja.
- Organismo certificador: cada entidad fija sus tarifas de forma independiente. La diferencia entre el más económico y el más caro para el mismo alcance puede ser del 40 %.
Cronograma típico de un proyecto conjunto
Un proyecto ENS + ISO 27001 integrado en una pyme de categoría básica o media sigue típicamente este calendario:
- Mes 1-2: diagnóstico de brechas (gap analysis) frente a ambos marcos, inventario de activos y análisis de riesgos unificado.
- Mes 3-4: diseño y redacción del SGSI con doble mapeo ENS / ISO 27001. Política de seguridad, procedimientos de gestión de accesos, incidentes, continuidad y proveedores.
- Mes 5-6: implantación de controles técnicos (cifrado, gestión de parches, registros de auditoría, segmentación de red) con referencia a guías CCN-STIC relevantes.
- Mes 7: auditoría interna combinada, revisión por la dirección y cierre de no conformidades.
- Mes 8-9: auditoría de certificación ISO 27001 (fase 1 documental + fase 2 en sitio) y, si aplica, auditoría ENS por entidad habilitada CCN.
El calendario total es de 8 a 10 meses para un perfil de pyme con categoría básica o media. Ejecutar los proyectos de forma separada y secuencial requeriría entre 14 y 18 meses, además del mayor coste.
Si tu empresa necesita acreditar el cumplimiento del ENS ante un organismo público y a la vez reforzar sus credenciales de seguridad ante clientes privados, la consultoría ENS de Summum Calidad integra ambos marcos desde el primer día para que no pagues dos veces el mismo trabajo.
¿Cuándo NO tiene sentido hacer el proyecto conjunto?
La integración no siempre es la opción óptima. Hay situaciones en las que conviene separar los proyectos:
- Urgencia regulatoria asimétrica: si tienes un contrato público con fecha límite de acreditación ENS en 3 meses y la ISO 27001 no es urgente, es mejor cerrar el ENS primero y abordar la ISO 27001 en un segundo ciclo.
- Alcances muy distintos: si el sistema ENS es solo un subsistema menor (por ejemplo, un portal de comunicaciones) mientras que el SGSI ISO 27001 abarca toda la empresa, integrarlos puede complicar innecesariamente la gestión del proyecto.
- Organismos certificadores distintos con requisitos de independencia: en algunos contratos públicos, el auditor ENS debe ser independiente del consultor implantador; esto puede limitar las sinergias con la auditora ISO 27001.
Preguntas frecuentes
¿Es obligatorio el ENS para una empresa privada que presta servicios a un ayuntamiento?
Sí. El Real Decreto 311/2022 extiende la obligación del ENS a «los proveedores del sector privado que presten servicios o soluciones a las entidades del ámbito de aplicación» (art. 2.2). En la práctica, cualquier empresa que opere sistemas de información para una Administración Pública —desde un ayuntamiento hasta un organismo estatal— debe implantar el ENS en los sistemas afectados por ese servicio. El grado de exigencia (básico, medio o alto) depende de la categoría que el organismo público asigne al sistema.
¿ISO 27001 «sustituye» al ENS o son certificaciones acumulables?
Son marcos acumulables e independientes. La ISO 27001 la emite una entidad de certificación acreditada por ENAC (organismo nacional de acreditación); el ENS lo audita una entidad habilitada por el CCN. Ninguna sustituye a la otra ante la Administración, aunque el trabajo de implantación es altamente sinérgico. Existen empresas con ambas certificaciones vigentes simultáneamente.
¿El ahorro del 30-45 % es igual en categoría alta del ENS?
En categoría alta el ahorro porcentual se reduce, porque los requisitos exclusivos del ENS (productos certificados Common Criteria, aplicación de guías CCN-STIC de mayor profundidad, auditorías más extensas) representan una proporción mayor del coste total. En la práctica, el ahorro en consultoría e implantación para categoría alta ronda el 20-30 % frente al 30-45 % de las categorías básica y media.
¿Qué organismos pueden auditar el ENS para una empresa privada?
El CCN publica y actualiza la lista de entidades de certificación ENS habilitadas en su portal (ccn.cni.es). A fecha de 2025-2026, entre las entidades habilitadas para categorías media y alta figuran AENOR, Bureau Veritas, DEKRA, Lloyd's Register y varias otras acreditadas por ENAC. Para categoría básica, la verificación puede realizarla una auditoría interna cualificada o una entidad auditora privada sin necesidad de habilitación CCN, aunque muchos organismos públicos exigen igualmente una entidad externa reconocida.