Esquema Nacional de Seguridad (ENS): todo lo que tu empresa debe saber

Esquema Nacional de Seguridad (ENS): guía completa - Keliam

Si tu empresa vende tecnología en España, hay un marco de seguridad que tarde o temprano se cruzará en tu camino: el Esquema Nacional de Seguridad (ENS). Durante años fue percibido como «cosa de la administración»; hoy es también asunto de cualquier proveedor privado —desarrolladoras, SaaS, hostings, consultoras— que preste servicios al sector público o aspire a hacerlo. Y a diferencia de la ISO 27001, aquí no hablamos de una certificación voluntaria: dentro de su ámbito, el ENS es obligatorio por real decreto.

Esta guía es el pilar del segundo bloque de nuestra serie sobre certificaciones de seguridad. En ella encontrarás qué es exactamente el ENS, su marco legal (RD 311/2022), quién está obligado a cumplirlo, cómo funcionan sus categorías y dimensiones, qué medidas exige, cómo se consigue la Certificación de Conformidad y qué significa todo esto para una empresa tecnológica. Como hicimos con la guía de la ISO 27001, sin humo y con los pies en la operativa real.

📚 Índice de la serie: Esquema Nacional de Seguridad

Este artículo es la guía central del sub-cluster ENS. Cada capítulo desarrollará en profundidad un bloque del esquema:

  1. Guía central (estás aquí) — ENS: todo lo que tu empresa debe saber
  2. Marco organizativo del ENS: políticas, normativa y procedimientos (próximamente)
  3. Marco operacional del ENS: planificación, accesos y monitorización (próximamente)
  4. Medidas de protección del ENS: comunicaciones, aplicaciones e información (próximamente)
  5. ENS para proveedores tecnológicos: cómo cumplir con la administración (próximamente)
  6. ENS vs ISO 27001: diferencias, solapamientos y sinergias (próximamente)

1. Qué es el ENS y por qué existe

El Esquema Nacional de Seguridad es el marco de seguridad de la información del sector público español: un conjunto de principios básicos, requisitos mínimos y medidas de seguridad que deben cumplir los sistemas de información que sustentan los servicios públicos. Su objetivo es doble: proteger la información y los servicios de ciudadanos y administraciones, y crear las condiciones de confianza para que la administración digital funcione.

Su lógica es distinta a la de la ISO 27001, y conviene entenderlo desde el principio. La ISO define cómo gestionar la seguridad (un sistema de gestión flexible, basado en tu análisis de riesgos); el ENS define además qué medidas concretas aplicar según la categoría de cada sistema. Es un marco prescriptivo y graduado: clasificas tu sistema, y el propio esquema te dice qué medidas del catálogo te tocan y con qué intensidad. Menos margen de interpretación, más claridad de requisitos — y una auditoría que verifica contra una lista concreta.

El guardián técnico del esquema es el Centro Criptológico Nacional (CCN), que publica las guías de desarrollo (la serie CCN-STIC 800), mantiene herramientas de soporte y coordina la respuesta a incidentes del sector público a través del CCN-CERT. Si el ENS es la ley, las guías CCN-STIC son el manual de instrucciones.

2. El marco legal: RD 311/2022

El ENS nació con el Real Decreto 3/2010 y fue completamente renovado por el Real Decreto 311/2022, de 3 de mayo, que es el texto vigente. La renovación no fue cosmética: respondió a la evolución de las amenazas, al peso del cloud y a la necesidad de aligerar el cumplimiento para entidades pequeñas. Las novedades que más afectan al día a día:

  • Catálogo de medidas actualizado: 73 medidas de seguridad en el Anexo II, reorganizadas y modernizadas — con la seguridad en la nube y la vigilancia continua ganando protagonismo.
  • Perfiles de cumplimiento específicos: la posibilidad de que el CCN valide versiones adaptadas del esquema para colectivos concretos (entidades locales pequeñas, universidades…), haciendo el cumplimiento proporcional.
  • Refuerzo del papel de los proveedores: el texto deja explícito que los operadores del sector privado que presten servicios a las entidades públicas deben garantizar el mismo nivel de seguridad que se exige a la administración — de ahí la ola de exigencias ENS en pliegos y contratos que vive el sector tecnológico.
  • Vigilancia continua y gestión de incidentes como principios reforzados, alineando el esquema con la realidad de las amenazas que ya analizamos en el cluster de ciberseguridad.

Complementan el real decreto las Instrucciones Técnicas de Seguridad (ITS) —de conformidad, de auditoría, de notificación de incidentes y de informe del estado de seguridad— que concretan cómo se acredita y reporta el cumplimiento.

Un apunte de calendario y contexto: el RD 311/2022 dio 24 meses para la adecuación de los sistemas preexistentes, plazo que venció en mayo de 2024 — es decir, hoy ya no hay periodo de gracia: todo sistema en el ámbito debe estar conforme al texto de 2022. Y el ENS no vive aislado: convive con la directiva NIS2 y su transposición (que amplía las obligaciones de ciberseguridad a más sectores esenciales e importantes) y con el RGPD en materia de datos personales. Para una empresa tecnológica, los tres marcos comparten la misma base de medidas: otra razón para construir un único sistema de seguridad y mapearlo hacia fuera, en lugar de un silo por normativa.

3. ¿Quién está obligado a cumplir el ENS?

El ámbito subjetivo tiene dos grandes círculos:

3.1 El sector público

Todas las entidades del sector público en el sentido de la Ley 40/2015: Administración General del Estado, comunidades autónomas, entidades locales, universidades públicas, organismos y entidades de derecho público vinculadas o dependientes. Cualquier sistema de información que utilicen para ejercer competencias o prestar servicios está dentro.

3.2 Los proveedores privados (probablemente tú)

Aquí está el cambio de época: los sistemas de los operadores privados que prestan servicios o proveen soluciones a las entidades públicas también deben cumplir el ENS, en lo que afecte a esos servicios. En la práctica, esto alcanza a:

  • Desarrolladoras y agencias que construyen o mantienen sedes electrónicas, portales, apps o plataformas para administraciones.
  • Proveedores SaaS y cloud cuyos servicios usan las entidades públicas (desde la plataforma de gestión hasta el servicio de notificaciones).
  • Hostings y operadores de infraestructura que alojan sistemas públicos.
  • Consultoras y servicios gestionados con acceso a sistemas o información de la administración.

El vehículo de la exigencia son los pliegos de contratación: cada vez más licitaciones requieren la Certificación de Conformidad con el ENS como condición de solvencia o criterio de adjudicación, en la categoría que corresponda al servicio. Sin certificado, ni te presentas. Por eso dedicaremos un capítulo entero de esta serie al ENS para proveedores tecnológicos: es, con diferencia, la consulta que más recibimos de empresas como las que acompañamos desde Keliam.

3.3 ¿Te afecta? El test de cuatro preguntas

  • ¿Prestas hoy algún servicio a una entidad pública — aunque sea un mantenimiento pequeño o a través de otro contratista? → Te afecta ya, en la medida del servicio.
  • ¿Tu plan comercial incluye el sector público (licitaciones, Kit Digital avanzado, subcontratas de adjudicatarios)? → Te afectará, y la adecuación tarda meses: empieza antes del pliego.
  • ¿Tus clientes privados son adjudicatarios del sector público y tú formas parte de su cadena? → La exigencia puede llegarte por contrato en cascada.
  • ¿Ninguna de las anteriores? → No estás obligado, pero el ENS sigue siendo un catálogo de buenas prácticas de primer nivel — y una certificación diferencial si algún día cambia tu mercado.

4. Las cinco dimensiones de la seguridad

Todo el edificio del ENS se apoya en cinco dimensiones sobre las que se valora cada información y cada servicio:

  • Disponibilidad (D): el sistema y sus datos están accesibles cuando se necesitan. Una sede electrónica caída el último día de un plazo administrativo es un problema de disponibilidad con consecuencias legales.
  • Integridad (I): la información no ha sido alterada de manera no autorizada. Un expediente modificado sin control invalida un procedimiento.
  • Confidencialidad (C): solo accede quien debe. Datos personales, expedientes, información tributaria o sanitaria.
  • Autenticidad (A): la certeza sobre el origen: quien firma o envía es quien dice ser. La base de la administración electrónica (firma, sellos, certificados).
  • Trazabilidad (T): poder reconstruir quién hizo qué y cuándo. Sin trazas fiables no hay auditoría ni depuración de responsabilidades posible.

Cada sistema valora el impacto que tendría un incidente en cada dimensión (bajo, medio o alto), y de esa valoración nace todo lo demás. Fíjate en el matiz respecto a la tríada clásica CIA: el ENS eleva la autenticidad y la trazabilidad a dimensiones de primera clase — herencia directa de su ADN administrativo, donde la validez jurídica de las actuaciones depende de ellas.

4.1 Cómo se valora en la práctica

La valoración no es un ejercicio libre: la guía CCN-STIC 803 da los criterios, y la pregunta guía es siempre la misma — ¿qué consecuencias tendría un incidente en esta dimensión? — medida en perjuicio para las funciones de la organización, para los interesados o para el cumplimiento legal. Un ejemplo aterrizado, con una plataforma de cita previa que un proveedor presta a varios ayuntamientos:

  • Disponibilidad: MEDIA. Una caída de horas trastoca la atención ciudadana y genera colas y quejas, pero es recuperable y no causa daños irreparables.
  • Integridad: MEDIA. Citas alteradas o borradas causan perjuicio serio a la operativa municipal, subsanable con esfuerzo.
  • Confidencialidad: MEDIA. Maneja datos personales (nombre, contacto, motivo de la cita) cuya fuga supone infracción de protección de datos con perjuicio grave.
  • Autenticidad: MEDIA. Hay que garantizar que las citas las crean ciudadanos y empleados legítimos; la suplantación tiene consecuencias administrativas.
  • Trazabilidad: BAJA-MEDIA. Reconstruir quién hizo qué importa para resolver disputas, aunque el sistema no soporta actos jurídicos complejos.

Resultado: la dimensión más alta es MEDIA → sistema de categoría MEDIA. Ese veredicto, firmado por los responsables de la información y del servicio (en la práctica, el ayuntamiento cliente con tu apoyo técnico), es la piedra angular de todo el expediente: define las medidas exigibles y el tipo de conformidad. Dedícale el tiempo que merece y documenta la justificación de cada dimensión — es lo primero que revisará el auditor.

Cómo clasifica el ENS: de las cinco dimensiones de seguridad a las categorías básica, media y alta
El flujo de clasificación del ENS: cinco dimensiones, tres niveles de impacto, una categoría.

5. Categorías: básica, media y alta

Con las dimensiones valoradas, el sistema se clasifica en una de las tres categorías de seguridad (Anexo I del RD 311/2022):

  • Categoría BÁSICA: un incidente tendría un perjuicio limitado — daños reparables, sin afectar derechos de forma grave. Típico de webs informativas o sistemas internos sin datos sensibles.
  • Categoría MEDIA: perjuicio grave — daños significativos aunque recuperables. Aquí cae la mayoría de sistemas con datos personales y servicios administrativos relevantes: sedes electrónicas, plataformas de tramitación, la mayor parte de los servicios que un proveedor tecnológico presta a la administración.
  • Categoría ALTA: perjuicio muy grave — daños irreparables: sistemas críticos, información especialmente protegida, servicios esenciales.

La categoría la determina la dimensión con mayor nivel: si la confidencialidad es media y el resto bajas, el sistema es de categoría media. Y la categoría manda: determina qué medidas del Anexo II aplican y con qué refuerzos. Un sistema básico puede tener que cumplir unas 40-50 medidas en su versión base; uno de categoría alta, prácticamente el catálogo completo con los refuerzos más exigentes.

Consejo de campo para proveedores: no te certifiques «por lo alto» por si acaso. Mira qué categoría exigen (o exigirán) los pliegos de tus clientes objetivo — la mayoría de servicios tecnológicos al sector público se mueven en categoría media — y dimensiona tu adecuación a esa realidad. Subir de categoría más adelante es incremental; sobredimensionar desde el día uno es dinero quemado, el mismo error de proporcionalidad que vimos en la ISO 27001 para pymes.

6. Los principios básicos: la filosofía del esquema

Antes de bajar al catálogo de medidas, merece la pena entender los principios básicos que el RD 311/2022 fija en sus primeros artículos, porque explican el porqué de todo lo demás:

  • Seguridad integral: la seguridad es un proceso que abarca personas, procesos y tecnología — no un producto que se compra. Nada nuevo para quien lleva leída esta serie, pero aquí es mandato legal.
  • Gestión basada en los riesgos: el análisis de riesgos es la base del dimensionamiento; el mismo corazón que la ISO 27001.
  • Prevención, detección, respuesta y conservación: el esquema exige capacidades en las cuatro fases — no basta prevenir; hay que detectar lo que atraviesa las defensas, responder y preservar evidencias.
  • Líneas de defensa: capas sucesivas (organizativas, físicas y lógicas), de modo que el fallo de una no comprometa el conjunto. La defensa en profundidad de toda la vida, elevada a principio normativo.
  • Vigilancia continua: reforzada en 2022 — monitorización permanente para detectar actividades anómalas, no revisiones anuales de trámite.
  • Reevaluación periódica: las medidas se revisan y ajustan conforme evolucionan los riesgos. El sistema es vivo por definición.
  • Diferenciación de responsabilidades: el responsable de seguridad debe ser distinto del responsable de operación/sistema. En empresas pequeñas exige diseño fino de roles, pero la separación entre quien opera y quien vigila no es negociable.

Si estos principios te suenan a lo que cualquier buena organización técnica debería hacer, es exactamente la idea: el ENS codifica buena ingeniería de seguridad. La ventaja de que sea norma es que ya no depende de convencer a nadie.

7. Las 73 medidas: marco organizativo, operacional y de protección

El corazón práctico del ENS es el Anexo II: 73 medidas de seguridad organizadas en tres marcos. Cada una aplica o no —y con distinta intensidad— según la categoría y las dimensiones afectadas. Esta es la vista de pájaro (cada marco tendrá su capítulo en profundidad en esta serie):

7.1 Marco organizativo (org) — 4 medidas

El gobierno del sistema: política de seguridad (org.1), normativa de seguridad (org.2), procedimientos de seguridad (org.3) y proceso de autorización (org.4). Pocas medidas pero fundacionales: definen quién decide, qué está permitido y cómo se autorizan sistemas, y son el espejo de los controles organizativos de la ISO 27001 — si ya los tienes, aquí reutilizas casi todo.

7.2 Marco operacional (op) — la sala de máquinas

Cómo se opera la seguridad día a día, agrupado en familias:

  • op.pl Planificación: análisis de riesgos, arquitectura de seguridad documentada, adquisición de nuevos componentes con la seguridad como requisito, y dimensionamiento de capacidades. Traducción: tus decisiones de arquitectura deben estar escritas y justificadas.
  • op.acc Control de acceso: identificación única, requisitos y derechos de acceso, segregación de funciones, y mecanismos de autenticación con exigencia creciente por categoría — en media/alta, el doble factor deja de ser opcional para los accesos que importan. La familia más auditada del esquema.
  • op.exp Explotación: el grueso operativo — inventario de activos, configuración de seguridad y su gestión, mantenimiento y parcheo, gestión de cambios, protección frente a código dañino, gestión de incidentes y registro de actividad (trazas) con protección de los propios registros. Aquí vive la disciplina diaria.
  • op.ext Recursos externos: la cadena de suministro — contratación con requisitos de seguridad, gestión diaria de proveedores e interconexión de sistemas. Si subcontratas, esta familia te describe.
  • op.nub Servicios en la nube: protagonista desde 2022 — condiciones de seguridad para servicios cloud, con las certificaciones del proveedor (y esquemas como el propio ENS para servicios cloud) como evidencia central.
  • op.cont Continuidad: análisis de impacto, plan de continuidad y pruebas periódicas — el ENS no acepta planes sin ensayar, la misma regla del backup probado que repetimos en la serie ISO.
  • op.mon Monitorización: detección de intrusiones, sistema de métricas y vigilancia continua. Cierra el círculo con el principio de detección: hay que ver lo que pasa, siempre.

7.3 Medidas de protección (mp) — el escudo

Protecciones concretas por ámbito:

  • mp.if Instalaciones e infraestructuras: áreas separadas y control de acceso físico, acondicionamiento, energía, protección frente a incendios e inundaciones. En arquitecturas cloud, gran parte se hereda del datacenter del proveedor con sus certificaciones — documenta la herencia.
  • mp.per Personal: caracterización del puesto, deberes y obligaciones, concienciación y formación. El espejo del bloque de personas de la ISO.
  • mp.eq Equipos: puesto de trabajo despejado, bloqueo de sesión, protección de portátiles y medios alternativos. Lo que cualquier política de puesto seguro ya recoge.
  • mp.com Comunicaciones: perímetro seguro, cifrado de la confidencialidad e integridad del canal, segregación de redes. TLS moderno, VPN y una red bien segmentada cubren el grueso.
  • mp.si Soportes de información: etiquetado, criptografía en soportes, custodia, transporte y borrado/destrucción certificada — el fin de vida de los datos, que casi nadie tiene resuelto hasta que se lo piden.
  • mp.sw Aplicaciones: desarrollo seguro (metodología, seguridad en el ciclo de vida, pruebas) y aceptación y puesta en servicio con verificación previa. Nuestro terreno natural como desarrolladores — todo lo que contamos sobre SDLC seguro en la ISO aplica literal.
  • mp.info Información: calificación según la valoración, cifrado en reposo cuando proceda, firma electrónica y sellos de tiempo (aquí el ENS es mucho más exigente que la ISO, por la validez jurídica), limpieza de metadatos y copias de seguridad.
  • mp.s Servicios: protección del correo (SPF/DKIM/DMARC y anti-phishing), protección de servicios y aplicaciones web (frente al catálogo de ataques que conoces del OWASP Top 10) y protección frente a denegación de servicio.

Si vienes del mundo ISO, reconocerás el 80% de los temas. La diferencia es el estilo: donde la ISO dice «gestiona el control de accesos según tu riesgo», el ENS concreta requisitos por categoría (por ejemplo, doble factor obligatorio a partir de ciertas categorías y accesos). Para un equipo técnico esa concreción es, sinceramente, una ventaja: se discute menos y se implementa más — la misma filosofía de disciplina técnica que aplicamos en los controles técnicos de la ISO.

8. El proceso de adecuación, paso a paso

La ruta práctica hacia la conformidad, tanto para una entidad pública como para un proveedor:

  • 1. Definir el alcance: qué sistemas sustentan los servicios afectados. Para un proveedor: los sistemas con los que prestas el servicio a la administración (tu plataforma, tu infraestructura de soporte, los equipos del equipo que la opera).
  • 2. Categorizar el sistema: valorar las cinco dimensiones con los responsables de la información y del servicio, y derivar la categoría (Anexo I). Documentado y aprobado formalmente.
  • 3. Análisis de riesgos: obligatorio y proporcional a la categoría. En España la referencia natural es MAGERIT con la herramienta PILAR del CCN (licencia gratuita para el sector público), aunque el método es libre si es riguroso — todo lo que contamos en nuestra guía de análisis de riesgos aplica aquí directamente.
  • 4. Declaración de Aplicabilidad: la tabla de las 73 medidas indicando cuáles aplican según categoría y dimensiones, firmada por el responsable de seguridad.
  • 5. Plan de adecuación: las brechas entre lo que tienes y lo que la categoría exige, priorizadas, con responsables y plazos.
  • 6. Implantación: ejecutar el plan — políticas y procedimientos del marco organizativo, medidas operacionales, protecciones técnicas. Con las guías CCN-STIC como recetario.
  • 7. Auditoría o autoevaluación según categoría (siguiente sección), y obtención de la conformidad.
  • 8. Mantenimiento: vigilancia continua, informe del estado de seguridad, gestión de incidentes (con notificación al CCN-CERT cuando proceda) y re-auditoría bienal.

Los roles importan y el ENS los nombra explícitamente: responsable de la información (decide sobre los datos y sus requisitos), responsable del servicio (decide sobre el servicio y sus niveles), responsable de la seguridad (determina las decisiones para satisfacer los requisitos de ambos y supervisa la implantación) y responsable del sistema (desarrolla, opera y mantiene). La regla de oro: el responsable de seguridad debe ser distinto del responsable del sistema — quien vigila no puede ser quien opera. En la relación proveedor-administración, lo habitual es que la entidad pública retenga las responsabilidades de información y servicio mientras el proveedor asume la operación del sistema y comparte la función de seguridad según contrato; deja este reparto negro sobre blanco, porque es de lo primero que revisa el auditor.

En cuanto al expediente documental, el paquete mínimo que la auditoría esperará encontrar: política de seguridad aprobada, documento de categorización firmado, análisis de riesgos vigente, Declaración de Aplicabilidad, normativa y procedimientos operativos, plan de adecuación (o su cierre), registro de incidentes, evidencias de formación y los informes de las auditorías o autoevaluaciones previas. Ordenado y versionado — la misma disciplina documental ligera que defendimos en la serie ISO.

9. La Certificación de Conformidad: cómo se acredita

El ENS distingue dos vías según la categoría del sistema (ITS de conformidad):

  • Categoría BÁSICA: basta una autoevaluación (bienal) que produce una Declaración de Conformidad — aunque también puedes optar por certificarte, y en el mercado privado el certificado siempre pesa más que la declaración propia.
  • Categorías MEDIA y ALTA: obligatoria la auditoría formal cada dos años (Anexo III del RD), realizada por una entidad de certificación acreditada por ENAC para el esquema ENS. El resultado es la Certificación de Conformidad y el derecho a exhibir el Distintivo de Conformidad.

La mecánica de la auditoría te resultará familiar si has leído nuestro capítulo sobre la auditoría ISO 27001: revisión de documentación y evidencias, entrevistas, verificación técnica de medidas, informe con hallazgos y plan de corrección. Las diferencias: el checklist es el catálogo del Anexo II para tu categoría (más cerrado, menos interpretable), el informe de auditoría sigue un formato regulado, y el ciclo es bienal en lugar del anual de vigilancia ISO.

Detalle práctico que sorprende a muchos proveedores: la certificación es por sistema y alcance, no un sello genérico de empresa. El certificado dirá exactamente qué servicio/sistema cubre y en qué categoría — y eso es lo que el pliego comprobará. Redacta el alcance pensando en lo que tus clientes públicos contratan.

10. Perfiles de cumplimiento y el ecosistema CCN

Dos aceleradores que conviene conocer:

Perfiles de Cumplimiento Específicos: versiones adaptadas del esquema, validadas por el CCN, que ajustan las medidas a colectivos con necesidades homogéneas (entidades locales pequeñas, universidades, ciertos servicios cloud). Si tu cliente o tu caso encaja en un perfil publicado, el esfuerzo de adecuación baja sensiblemente sin perder validez.

El arsenal CCN-STIC: la serie 800 son las guías de implantación del ENS (la 801 de responsabilidades, la 803 de valoración, la 804 de implantación de medidas, la 808 de verificación…), y junto a ellas un ecosistema de herramientas: PILAR (riesgos), INES (informe del estado de seguridad), LUCIA (gestión de incidentes), CLARA (auditoría de configuraciones). Para un proveedor privado no todo es de acceso libre, pero las guías públicas son de una calidad que ya quisieran muchos estándares de pago: úsalas.

11. ENS para proveedores tecnológicos: lo esencial

Resumimos aquí lo que desarrollaremos en un capítulo propio, porque es la pregunta estrella. Si eres proveedor:

  • La exigencia llega por contrato: los pliegos piden conformidad ENS en la categoría del servicio contratado. Revísalos bien: a veces piden certificación de la empresa proveedora, a veces del servicio concreto, a veces «compromiso de adecuación» con plazo.
  • El alcance es tu servicio al sector público, no toda tu empresa: la plataforma que les prestas, su infraestructura y las personas y procesos que la operan. Acotar bien = coste contenido.
  • Categoría media es el estándar de facto para la mayoría de servicios tecnológicos con datos personales o tramitación. Básica se queda corta para casi cualquier pliego serio.
  • Si ya tienes ISO 27001, partes con ventaja real: el sistema de gestión, el análisis de riesgos y buena parte de las medidas ya existen; queda mapear al Anexo II, cubrir las medidas específicas del ENS (trazabilidad reforzada, firma, requisitos cloud, notificación de incidentes al esquema público) y pasar la auditoría bienal.
  • El retorno es acceso a mercado: el sector público español es un cliente enorme, estable y cada vez más digital. La certificación ENS es la llave — y una barrera de entrada frente a competidores que no la tienen.

12. ENS e ISO 27001: rivales no, complementarios

La comparación completa tendrá su capítulo puente en esta serie, pero el resumen ejecutivo: la ISO 27001 es internacional, voluntaria y define el sistema de gestión; el ENS es español, obligatorio en su ámbito y prescribe medidas concretas por categoría. Comparten análisis de riesgos, gobierno de seguridad y la mayoría de temas técnicos; difieren en estilo (gestión vs. catálogo), ciclo (vigilancia anual vs. auditoría bienal) y reconocimiento (global vs. España).

La estrategia inteligente para una empresa tecnológica española con clientes mixtos es plantearlos como un solo sistema de seguridad con dos certificados: un único análisis de riesgos, un único cuerpo documental con mapeo dual, evidencias compartidas y dos auditorías coordinadas. El sobrecoste del segundo certificado, con el primero en marcha, suele ser del 30-40% — no del 100%.

Para que veas el solapamiento, un mapeo rápido de equivalencias: la política y normativa del marco org ↔ las políticas del bloque organizativo ISO; op.pl ↔ cláusula 6 y planificación; op.acc ↔ los controles de acceso 8.2-8.5; op.exp ↔ configuración, malware, incidentes y logging del bloque tecnológico; op.cont ↔ continuidad (5.30, 8.13-8.14); mp.per ↔ controles de personas; mp.sw ↔ desarrollo seguro 8.25-8.31. Las piezas donde el ENS pide más de lo que la ISO acostumbra: firma electrónica y sellado de tiempo, trazabilidad reforzada como dimensión propia, notificación reglada de incidentes al esquema público y los requisitos específicos op.nub sobre cloud. Si construyes el mapeo en una tabla de doble columna desde el principio, cada evidencia alimenta a los dos marcos a la vez.

Comparativa ENS vs ISO 27001: ámbito, obligatoriedad, enfoque, medidas, auditoría y reconocimiento
Dos marcos complementarios: el ENS abre el mercado público español; la ISO, el resto del mundo.
Las 73 medidas del Anexo II del ENS organizadas en marco organizativo, operacional y de protección
Los tres marcos del Anexo II: gobierno, operación y protección.

13. Costes y plazos realistas

Para un proveedor tecnológico mediano que parte de una base razonable (los números públicos varían menos aquí que en ISO, porque el catálogo es más cerrado):

  • Adecuación (consultoría + implantación): 8.000–20.000 € para categoría media con alcance acotado, según madurez de partida. Con ISO 27001 previa, recorta un 30-50%.
  • Auditoría de certificación: 4.000–9.000 € el ciclo inicial con entidad acreditada, y coste similar en cada renovación bienal.
  • Plazos: 4–8 meses de adecuación para categoría media partiendo de una seguridad razonable; súmale la agenda de la certificadora.
  • Coste interno: como siempre, la partida decisiva — un responsable con dedicación parcial sostenida y la colaboración puntual del equipo técnico.

14. Después de la conformidad: el día a día del ENS

Obtener el distintivo no cierra el expediente; lo abre. La vida en conformidad tiene tres rutinas que conviene interiorizar desde el diseño:

El informe del estado de seguridad (INES). Las entidades públicas reportan anualmente su estado de seguridad a través de la plataforma INES del CCN; como proveedor, prepárate para alimentar los datos que tu cliente necesite de tu servicio. Si tus métricas de seguridad ya existen (op.mon obliga a ello), esto es exportar, no fabricar.

La gestión y notificación de incidentes. El ENS exige gestionar incidentes conforme a procedimiento y, para los significativos, notificar — el sector público al CCN-CERT, y tú a tu cliente según contrato (que a su vez notifica). Define en frío el circuito: qué es «significativo», quién avisa a quién, en qué plazos y con qué información. La guía CCN-STIC 817 marca la pauta de clasificación. Y recuerda que el incidente gestionado deja de ser solo un problema: es también la evidencia de que tu capacidad de respuesta existe.

La vigilancia continua y la re-auditoría bienal. Entre auditorías, el sistema no hiberna: monitorización activa, revisiones periódicas de configuración (la herramienta CLARA ayuda en entornos Windows), parcheo disciplinado y análisis de riesgos actualizado ante cambios. Si mantienes el ritmo, la re-auditoría bienal es una visita de verificación; si no, es una segunda adecuación con las tarifas de la primera.

15. Checklist: cómo empezar esta misma semana

Si después de todo lo anterior la conclusión es «nos afecta y vamos tarde», esta es la secuencia de arranque que recomendamos — cada punto es una tarea concreta de horas, no de meses:

  • 1. Inventaría tu exposición al sector público: contratos vivos, licitaciones en pipeline, clientes adjudicatarios de los que eres subcontrata. Eso define urgencia y alcance.
  • 2. Lee dos o tres pliegos reales de tu mercado (son públicos en las plataformas de contratación): qué categoría piden, si exigen certificado o compromiso, en qué plazos. Es tu especificación de requisitos.
  • 3. Haz la categorización preliminar de tu servicio con las cinco dimensiones (usa la CCN-STIC 803 como guía). Con eso ya sabes contra qué versión del Anexo II te mides.
  • 4. Ejecuta un gap analysis honesto: tu estado actual contra las medidas de tu categoría. Si tienes ISO 27001 o una buena base técnica, la lista de brechas será más corta de lo que temes; si no la tienes, considera una auditoría técnica externa como punto de partida objetivo.
  • 5. Dimensiona y decide: con las brechas y los números de la sección de costes, monta el plan — presupuesto, responsable, calendario y fecha objetivo de auditoría. Y reserva la entidad de certificación con antelación: sus agendas también se llenan.

16. Caso práctico: SaaS que quiere vender a ayuntamientos

Perfil tipo que vemos a menudo: SaaS español de gestión (20 personas), producto multi-tenant en cloud, quiere entrar en el mercado municipal y los pliegos piden «Certificación de Conformidad con el ENS, categoría media, del servicio ofertado».

El camino que siguió: primero, categorización honesta del servicio con la ayuda de dos clientes piloto → categoría MEDIA (datos personales, disponibilidad relevante). Segundo, mapeo de su base existente contra el Anexo II: su higiene técnica (MFA, backups probados, CI/CD con revisiones, logging centralizado) cubría de partida cerca del 60% de las medidas aplicables; las brechas grandes estaban en la formalización (política y normativa firmadas, proceso de autorización), la trazabilidad reforzada, el plan de continuidad con pruebas documentadas y los requisitos op.nub sobre su proveedor cloud (resueltos referenciando las certificaciones del hyperscaler + configuración propia documentada).

Números y plazos: cinco meses de adecuación con apoyo externo puntual (11.000 €), auditoría con entidad acreditada (5.500 €), unas 220 horas internas. Con el certificado en mano, se presentó a tres licitaciones en el semestre siguiente: dos ganadas. El detalle revelador: en ambas, parte de la competencia quedó excluida por no acreditar el ENS. La barrera de entrada funcionando a su favor.

17. Errores comunes con el ENS

  • Ignorarlo hasta que llega el pliego. La adecuación + auditoría lleva meses; el plazo de presentación de ofertas, semanas. Las empresas que se certifican «en frío» llegan a las licitaciones; las que reaccionan, no.
  • Categorizar mal el sistema. Subvalorar dimensiones para caer en básica (se detecta en auditoría y ante el cliente) o sobrevalorar hacia alta «para impresionar» (coste disparado sin retorno).
  • Tratarlo como papeleo y no como seguridad. El mismo error de siempre: el catálogo del Anexo II describe medidas reales contra amenazas reales — el ransomware no distingue entre sector público y privado, como demostraron los ciberataques a la UAB o al Clínic.
  • Olvidar el ciclo bienal y el informe anual. La conformidad caduca: auditoría cada dos años y deberes continuos (INES, incidentes). Sin mantenimiento, el distintivo se pierde.
  • No aprovechar lo que ya tienes. Montar el ENS desde cero teniendo ISO 27001 (o al revés) duplica trabajo absurdamente. Mapea primero, construye después.

18. Preguntas frecuentes sobre el ENS

¿El ENS es obligatorio para empresas privadas?

Solo si prestas servicios o soluciones al sector público, y en lo que afecte a esos servicios. Fuera de ese ámbito es voluntario — aunque certificarse se está convirtiendo en argumento comercial también en el sector privado, como señal de madurez.

¿Qué categoría necesito como proveedor?

La que exija el servicio que prestas, y la marcan tus clientes en los pliegos. La mayoría de servicios tecnológicos con datos personales caen en media. Ante la duda, pregunta al órgano de contratación o revisa pliegos anteriores similares.

¿Cuánto dura el proceso completo?

De 4 a 8 meses de adecuación (categoría media, base razonable) más el ciclo de auditoría. Con ISO 27001 previa, sensiblemente menos.

¿La certificación ENS vale fuera de España?

No tiene reconocimiento internacional per se — para eso está la ISO 27001. Por eso la estrategia dual es tan común entre proveedores tecnológicos españoles: ENS para el mercado público nacional, ISO para todo lo demás.

¿Quién puede auditar y certificar el ENS?

Entidades de certificación acreditadas por ENAC específicamente para el esquema ENS (AENOR, BDO, Áudea y otras). Verifica la acreditación: una «consultoría de conformidad» sin acreditación no puede emitir el certificado.

¿Y si mi cliente público me pide ENS pero yo uso subcontratistas?

La cadena se extiende: tus subcontratistas que participen del servicio deben cumplir el nivel exigido en lo que les toque, y a ti te corresponde garantizarlo contractualmente (op.ext). El mismo principio de cadena de suministro que vimos en los controles de proveedores de la ISO.

¿Sirve el ENS para cumplir el RGPD?

Se complementan pero no se sustituyen: el ENS aporta las medidas de seguridad (que el RGPD exige como «medidas técnicas y organizativas apropiadas»), y de hecho la normativa española de protección de datos remite al ENS como referencia para el sector público. Pero el RGPD tiene su propio ámbito — bases jurídicas, derechos, registro de actividades, DPD — que gestiona su propio marco.

¿Puedo usar mi cloud americano (AWS, Azure, Google) en un sistema ENS?

Sí — los grandes hyperscalers disponen de certificaciones ENS para buena parte de sus servicios, además de sus certificados internacionales. Tu trabajo es la parte que te toca del modelo de responsabilidad compartida: configuración segura, cifrado, accesos y trazabilidad sobre esa infraestructura, y documentar qué heredas y qué aportas (op.nub).

¿Qué pasa si incumplo estando certificado?

La conformidad puede suspenderse o retirarse si la auditoría detecta incumplimientos graves, y contractualmente puedes enfrentarte a penalizaciones o resolución del contrato con tu cliente público. Además del daño reputacional obvio en un mercado donde los distintivos son públicos. Motivo de más para el mantenimiento continuo en lugar del sprint bienal.

Conclusión: del cumplimiento a la ventaja competitiva

El ENS ha dejado de ser un asunto interno de la administración para convertirse en la puerta de entrada al mayor cliente tecnológico de España. Para una empresa de desarrollo o un SaaS, la lectura estratégica es clara: quien se adecúa en frío, con alcance bien acotado y aprovechando lo que ya tiene, convierte una obligación en barrera de entrada frente a su competencia. Quien lo deja para cuando llegue el pliego, llega tarde.

Y el mensaje de fondo es el mismo de toda esta serie: detrás del papel hay seguridad real. Las 73 medidas del Anexo II describen, con nombre administrativo, lo que cualquier plataforma bien construida debería tener. Si el ENS te obliga a tenerlo, bienvenida sea la obligación.

En los próximos capítulos desmenuzamos el esquema por dentro: marco organizativo, marco operacional, medidas de protección, la guía específica para proveedores y el cara a cara ENS vs ISO 27001. Mientras tanto, si la ISO es tu primera parada, empieza por su guía completa.

¿Tu empresa quiere (o necesita) vender al sector público?

Te ayudamos a llegar a la Certificación de Conformidad ENS sin sobredimensionar: evaluamos tu estado real frente al Anexo II, acotamos el alcance a tu servicio y reforzamos las medidas técnicas de tu plataforma.

Habla con nuestro equipo →

Scroll al inicio