El Esquema Nacional de Seguridad (ENS) nació en 2010 para proteger la información que maneja el sector público español. Sin embargo, desde la entrada en vigor del Real Decreto 311/2022, de 3 de mayo, la pregunta que cada vez más directores de pyme y responsables de TI nos plantean es la misma: «¿Mi empresa privada también tiene que cumplir el ENS?». La respuesta corta es: depende de si prestas servicios o gestionas sistemas para la Administración Pública. La respuesta larga, y la que necesitas antes de tu próxima licitación, es la que desarrollamos en este artículo.
¿Qué es el ENS y por qué ahora importa a las empresas privadas?
El Esquema Nacional de Seguridad es el marco normativo español que establece los principios, requisitos y medidas de seguridad que deben aplicar todas las entidades que traten información o presten servicios electrónicos en el ámbito de las Administraciones Públicas. El texto vigente, el Real Decreto 311/2022, derogó el anterior de 2010 y amplió de forma significativa su alcance.
La clave para las empresas privadas está en el artículo 2 del Real Decreto 311/2022, que extiende la aplicación del ENS a «los proveedores del sector privado que presten servicios o provean soluciones a las entidades del sector público». En la práctica, esto significa que si tu empresa gestiona una plataforma SaaS para un ayuntamiento, desarrolla software para una consejería, aloja datos de un organismo público o presta servicios gestionados de TI a la Administración, la normativa ENS te afecta directamente. No es una opción; es un requisito contractual exigible en los pliegos de condiciones.
¿A qué empresas privadas obliga el ENS? Los tres supuestos principales
Para salir de dudas conviene distinguir los casos en los que la obligación es clara de aquellos en los que puede surgir por vía contractual o por extensión:
- Proveedores directos de la Administración: empresas que firman contratos de servicios, suministro o concesión con organismos públicos y, en el marco de esos contratos, tratan, almacenan o transmiten información clasificada o de uso oficial. El pliego de licitación incluirá, cada vez con más frecuencia, la exigencia de conformidad ENS como requisito habilitante.
- Proveedores de la cadena de suministro: subcontratistas o proveedores de un primer contratista que, a su vez, tiene obligación ENS. Si el prime contractor debe acreditar conformidad y delega en ti parte del servicio que toca sistemas públicos, la obligación se propaga contractualmente.
- Operadores de infraestructuras críticas con nexo público: aunque la obligación principal viene de la Ley PIC (Ley 8/2011), cuando el operador también presta servicios a las AA.PP., el ENS actúa como marco de seguridad complementario o sustitutivo según los protocolos del CCN.
Lo que no genera obligación ENS directa es prestar servicios exclusivamente a clientes privados sin ningún contrato ni dato público de por medio. En ese caso, el estándar de referencia de facto es la ISO 27001, que de hecho comparte muchos controles con el ENS y facilita la transición si en el futuro decides acceder a licitaciones públicas.
Los tres niveles de categorización del ENS: básico, medio y alto
El ENS no es una talla única. Su aplicación concreta depende del nivel de categoría del sistema que se va a tratar o gestionar. La categoría la determina la entidad pública titular del sistema —no la empresa privada proveedora—, pero es el proveedor quien debe implementar las medidas de seguridad correspondientes a esa categoría en su parte del servicio.
| Categoría del sistema | Impacto en caso de incidente | Instrumento de conformidad requerido | Quién lo emite |
|---|---|---|---|
| Básica | Limitado (información de gestión interna, trámites de bajo riesgo) | Declaración de Conformidad (DDC) | La propia entidad o el proveedor (autoevaluación con evidencias) |
| Media | Grave (afecta a derechos ciudadanos, operativa de servicios esenciales, datos sensibles) | Certificación ENS por entidad acreditada ENAC | Auditor externo acreditado por ENAC |
| Alta | Muy grave o catastrófico (infraestructuras críticas, seguridad nacional, datos clasificados) | Certificación ENS por entidad acreditada ENAC | Auditor externo acreditado por ENAC + validación CCN en algunos supuestos |
La gran mayoría de los contratos de servicios TI con Administración local y autonómica caen en categoría media, lo que implica certificación por un auditor externo acreditado por ENAC. La categoría básica, aunque permite declaración propia, exige igualmente un análisis de riesgos documentado, la implantación de las medidas del Anexo II del Real Decreto 311/2022 y evidencias auditables.
Plazos de adecuación: el régimen transitorio del Real Decreto 311/2022
El Real Decreto 311/2022 estableció una disposición transitoria única que concedía 24 meses desde su publicación en el BOE (3 de mayo de 2022) para que los sistemas preexistentes alcanzaran la plena conformidad con el nuevo marco. Ese plazo venció en mayo de 2024.
A efectos prácticos, el periodo transitorio ya ha vencido. Lo que esto significa para un proveedor privado es que la conformidad ENS ya no es «algo que viene», sino un requisito exigible ahora mismo en cualquier licitación o renovación contractual. Los pliegos publicados desde 2025 en plataformas como la Plataforma de Contratación del Sector Público incorporan de forma generalizada la cláusula de conformidad ENS como condición de admisión.
El crecimiento de certificaciones ha sido notable en los últimos años: el portal de gobernanza del CCN registra un incremento sostenido de entidades con certificación ENS válida, y una parte significativa de ese crecimiento proviene de empresas privadas que necesitan el certificado para mantener o ampliar sus contratos públicos.
ENS vs. ISO 27001: ¿son lo mismo? ¿se puede usar uno para el otro?
Esta es una de las preguntas más frecuentes que recibimos en Summum Calidad. La respuesta es que no son equivalentes, pero sí complementarios, y tener la ISO 27001 facilita notablemente la adecuación al ENS.
La ISO 27001 es una norma internacional que establece un Sistema de Gestión de Seguridad de la Información (SGSI) basado en análisis de riesgos. El ENS, por su parte, es una norma nacional española con una estructura de medidas de seguridad muy concreta, catalogada en 75 medidas agrupadas en el Anexo II del Real Decreto 311/2022, y con un enfoque orientado al servicio público.
Las principales diferencias son:
- El ENS es de obligado cumplimiento para los supuestos que describe; la ISO 27001 es voluntaria (aunque exigida contractualmente con frecuencia).
- El ENS tiene un catálogo de medidas más prescriptivo; la ISO 27001 deja mayor libertad para seleccionar controles del Anexo A según el análisis de riesgos.
- La certificación ENS solo la emiten entidades acreditadas por ENAC; la ISO 27001 la emiten entidades de certificación acreditadas por ENAC u organismos de acreditación europeos equivalentes (UKAS, DAkkS, etc.).
- Tener la ISO 27001 implantada y certificada reduce de forma significativa el esfuerzo de adecuación al ENS, porque comparten muchos controles: gestión de activos, control de accesos, cifrado, continuidad, gestión de incidentes.
Si tu empresa ya tiene la ISO 27001 implantada con Summum Calidad, el camino hacia el ENS es notablemente más corto: un análisis de gap entre los controles de tu SGSI y las 75 medidas del ENS, un plan de remediación para las diferencias y la auditoría de certificación por un organismo acreditado ENAC.
El proceso de adecuación al ENS paso a paso
La adecuación al ENS sigue una lógica estructurada que en Summum acompañamos desde el inicio hasta la obtención del certificado (emitido siempre por el organismo certificador externo acreditado por ENAC, no por nosotros). El proceso habitual tiene cuatro fases:
1. Análisis de aplicabilidad y categorización
El punto de partida es determinar a qué sistemas de la organización aplica el ENS y en qué categoría caen. Para ello se revisan los contratos con la Administración, los sistemas que tratan información pública y el impacto potencial de un incidente de seguridad sobre la confidencialidad, integridad y disponibilidad de esa información. El resultado es el documento de categorización, que es la base de todo el proyecto.
2. Análisis de riesgos y gap ENS
Una vez conocida la categoría, se realiza un análisis de riesgos sobre los activos implicados y un análisis de brecha (gap analysis) entre las medidas de seguridad que ya aplica la organización y las 75 medidas del Anexo II del Real Decreto 311/2022 exigibles para esa categoría. Este análisis genera el plan de adecuación priorizado por riesgo y esfuerzo.
3. Implantación de medidas y documentación
Se implementan las medidas técnicas y organizativas identificadas en el gap: políticas de seguridad, gestión de identidades, cifrado, segmentación de redes, copias de seguridad, gestión de vulnerabilidades, formación al personal, procedimientos de respuesta a incidentes. Cada medida queda documentada con la evidencia necesaria para la auditoría.
4. Auditoría de certificación
Para categorías media y alta, un organismo acreditado por ENAC realiza la auditoría de certificación en dos fases: revisión documental y auditoría in situ. Si el resultado es positivo, emite el certificado de conformidad ENS con una validez de dos años, pasados los cuales hay que renovar. Para categoría básica, la Declaración de Conformidad es firmada por el responsable de seguridad con el respaldo de las evidencias del análisis y las medidas implantadas.
Para iniciar el proceso, lo más eficiente es solicitar una primera valoración con nuestro equipo especializado: consulta aquí el servicio de adecuación al ENS de Summum Calidad.
Consecuencias de no cumplir: lo que te arriesgas realmente
El ENS no tiene un régimen sancionador propio con multas directas a los proveedores privados. Sin embargo, las consecuencias del incumplimiento son igualmente graves desde el punto de vista de negocio:
- Exclusión de licitaciones públicas: si el pliego exige conformidad ENS y no la tienes, quedas excluido del procedimiento de forma automática.
- Resolución anticipada de contratos: si durante la ejecución de un contrato ya adjudicado se detecta que el proveedor no mantiene el nivel de seguridad exigido, la entidad contratante puede resolver el contrato por incumplimiento de las condiciones técnicas.
- Responsabilidad por incidentes: si se produce una brecha de seguridad en sistemas bajo tu gestión, la falta de adecuación al ENS agrava la responsabilidad contractual y, en su caso, la responsabilidad civil frente a la entidad pública y a los ciudadanos cuyos datos se hayan visto comprometidos.
- Pérdida de ventaja competitiva: a medida que más proveedores se certifican, los que no lo hacen quedan en desventaja en los procesos de selección, incluso cuando la certificación no es formalmente exigida pero sí valorada como criterio de adjudicación.
ENS y NIS2: la convergencia regulatoria que viene
La Directiva NIS2 (Directiva UE 2022/2555), cuya transposición al ordenamiento español está pendiente en 2026, ampliará las obligaciones de ciberseguridad a sectores que hasta ahora no estaban en el radar: fabricación industrial, alimentación, gestión de residuos, servicios postales, servicios digitales y proveedores de servicios gestionados (MSP). Muchos de estos sectores tienen relaciones contractuales con la Administración y se encontrarán con que deben cumplir simultáneamente con el ENS (por sus contratos públicos) y con los requisitos de NIS2 (por su sector).
La buena noticia es que ambos marcos comparten una lógica común basada en gestión de riesgos, gobernanza de seguridad, notificación de incidentes y continuidad de negocio. Una adecuación bien hecha al ENS sienta las bases para cubrir una parte relevante de los requisitos NIS2, especialmente en lo relativo a medidas técnicas y organizativas.
Preguntas frecuentes
¿Tiene que certificarse mi empresa en el ENS aunque el contrato público sea pequeño?
La obligación de conformidad ENS no depende del importe del contrato, sino de si los sistemas implicados tratan información del sector público y de la categoría de esos sistemas. Un contrato de bajo importe que implique acceso a datos de ciudadanos o a plataformas de gestión municipal puede requerir igualmente la conformidad con el ENS. Es el nivel de impacto del sistema, no el volumen económico del contrato, lo que determina la exigencia.
¿Cuánto tiempo tarda el proceso de adecuación y certificación?
Los plazos varían según el punto de partida de la organización y la categoría del sistema. Para una empresa con una postura de seguridad razonable y sistemas de categoría básica, el proceso de declaración de conformidad puede completarse en 3 a 5 meses. Para categoría media con certificación por entidad acreditada, el plazo habitual oscila entre 6 y 12 meses, incluyendo la auditoría externa. Si la empresa ya tiene la ISO 27001 implantada, los plazos se reducen de forma significativa porque el análisis de riesgos y muchos controles ya están documentados y en funcionamiento.
¿La ISO 27001 sustituye al ENS en los contratos públicos?
No. La ISO 27001 es un estándar internacional valioso y complementario, pero no sustituye al ENS a efectos de cumplimiento normativo en contratos con la Administración española. Un pliego que exige conformidad ENS no puede satisfacerse únicamente con la certificación ISO 27001. Ahora bien, como hemos explicado, tener la ISO 27001 vigente reduce considerablemente el esfuerzo y el coste de la adecuación al ENS, porque muchas de sus medidas están ya documentadas e implantadas.
¿Qué organismos pueden certificar el ENS en España?
Solo pueden certificar la conformidad con el ENS (para categorías media y alta) las entidades de inspección o certificación acreditadas por ENAC (Entidad Nacional de Acreditación) en el esquema específico del CCN (Centro Criptológico Nacional). En España operan varios organismos con esta acreditación: AENOR, Bureau Veritas, SGS, DNV y otras entidades. Summum Calidad, como consultora, acompaña el proceso de adecuación pero la certificación siempre la emite el organismo externo acreditado.