Guía práctica · Esquema Nacional de Seguridad

¿Quién está obligado a
cumplir el ENS?

Cada vez más pymes descubren el Esquema Nacional de Seguridad de la peor manera: en el pliego de una licitación que exige conformidad, con plazo cerrado y sin saber por dónde empezar. Si tu empresa presta servicios al sector público —software, cloud, mantenimiento de sistemas, gestión de datos— esta guía te aclara si estás obligado, en qué categoría, cómo se demuestra el cumplimiento y cuál es el primer paso racional: saber exactamente qué te falta antes de comprometerte a nada.

Qué es el ENS en dos párrafos

El Esquema Nacional de Seguridad es el marco regulatorio español que fija los principios y requisitos mínimos de seguridad para proteger la información y los servicios del sector público. Su versión vigente es la del Real Decreto 311/2022, que sustituyó al esquema original de 2010 y lo modernizó: enfoque por perfiles de cumplimiento, actualización del catálogo de medidas y mayor atención a la cadena de suministro tecnológica.

La clave que muchas empresas privadas pasan por alto está precisamente ahí: el ENS no es solo para la administración. Su ámbito alcanza a los proveedores privados que prestan servicios a entidades públicas o les proporcionan soluciones tecnológicas. La administración traslada la obligación a su cadena de suministro a través de los pliegos de contratación.

¿Estás obligado? Los tres supuestos

1. Eres una entidad del sector público

Administración General del Estado, comunidades autónomas, entidades locales, universidades públicas, organismos y entidades vinculadas. Obligación directa y sin matices.

2. Prestas servicios al sector público (el caso de la mayoría de pymes afectadas)

Empresas privadas que prestan servicios a entidades públicas o les proporcionan soluciones: desarrollo y mantenimiento de software, hosting y servicios cloud, soporte de sistemas, tratamiento o gestión de datos, servicios gestionados de TI. Si la información o los servicios que manejas están dentro del alcance del ENS de tu cliente público, la obligación te alcanza en la parte que te corresponde, y el pliego puede exigirte acreditar conformidad como condición para contratar o para seguir prestando el servicio.

3. Quieres empezar a licitar

Aunque hoy no tengas contratos públicos, si el mercado público está en tu plan comercial, la conformidad con el ENS ha dejado de ser un extra valorable para convertirse, en muchos pliegos tecnológicos, en requisito de acceso. Llegar a la licitación sin él significa quedarse fuera antes de empezar.

Categorías: básica, media y alta

No todas las organizaciones cargan con las mismas exigencias. El ENS gradúa las medidas según el impacto que tendría un incidente de seguridad sobre la información y los servicios afectados:

CategoríaImpacto de un incidenteCómo se demuestra la conformidad
BásicaPerjuicio limitadoAutoevaluación con Declaración de Conformidad, al menos cada 2 años. La certificación por entidad acreditada es voluntaria en esta categoría
MediaPerjuicio graveCertificación por entidad acreditada
AltaPerjuicio muy graveCertificación por entidad acreditada

La categoría aplicable no la eliges tú a conveniencia: se deriva de la valoración de los sistemas de información afectados y, en el caso de proveedores, de lo que determine el organismo público cliente en su alcance y sus pliegos. Determinar correctamente alcance y categoría es la primera decisión técnica del proyecto — y equivocarse aquí encarece todo lo que viene después. Un matiz práctico: aunque en categoría básica la certificación es voluntaria conforme a la guía CCN-STIC 809, algunos órganos de contratación la exigen igualmente en sus pliegos — lo que manda siempre es lo que pide tu cliente público.

ENS e ISO 27001: parientes, no gemelos

Se confunden constantemente. ISO 27001 es una norma internacional de sistemas de gestión de seguridad de la información; el ENS es una obligación regulatoria española con su propio catálogo de medidas y su propio esquema de conformidad. Un sistema ISO 27001 maduro facilita enormemente la adecuación al ENS —el solapamiento de controles es importante—, pero no la sustituye: tener el certificado ISO 27001 no equivale a estar conforme con el ENS, ni al revés. Si te interesa esta comparación, he analizado los costes del certificado internacional en cuánto cuesta certificarse en ISO 27001.

El camino, por orden

Paso 1
Diagnóstico de adecuación (gap analysis)
Determinar alcance y categoría, contrastar la situación actual contra las medidas exigibles y obtener un informe de brechas con plan priorizado. Es donde yo intervengo — y donde se evita comprometerse a plazos imposibles en un pliego.
Paso 2
Plan de adecuación
Implantar las medidas pendientes: políticas, controles técnicos y organizativos, documentación de seguridad. Con el informe del paso 1, tu equipo o tu proveedor TI trabajan sobre una lista cerrada, no sobre suposiciones.
Paso 3
Conformidad
Declaración de conformidad (categoría básica) o auditoría de certificación por entidad acreditada (media y alta), con su distintivo de conformidad publicable.
Paso 4
Mantenimiento
El ENS no es una foto: exige mantener las medidas, gestionar incidentes y renovar la conformidad periódicamente.

Mi alcance de servicio en ENS es deliberadamente acotado: realizo el diagnóstico de adecuación — el paso 1 — con criterio de Auditora Líder ISO 27001. El informe te dice exactamente dónde estás, qué te falta para la categoría que te aplica y en qué orden abordarlo. La implantación y la certificación posteriores las ejecutas con tu equipo, tu proveedor TI o el especialista que elijas, sobre una hoja de ruta objetiva e independiente de quien te vaya a vender la solución.

Preguntas frecuentes sobre el ENS

¿El ENS es obligatorio para empresas privadas? +
Sí, cuando prestan servicios a entidades públicas o les proporcionan soluciones tecnológicas: software, cloud, mantenimiento de sistemas, gestión de datos. La obligación se traslada a través de los pliegos, y cada vez más licitaciones exigen conformidad como requisito para concurrir.
¿Qué diferencia hay entre básica, media y alta? +
La categoría depende del impacto de un posible incidente: limitado (básica), grave (media) o muy grave (alta). A mayor categoría, más medidas aplicables. Media y alta requieren certificación por entidad acreditada; la básica se declara mediante autoevaluación al menos cada 2 años, siendo la certificación voluntaria en esta categoría.
¿Tener ISO 27001 equivale a cumplir el ENS? +
No. Son marcos complementarios: un ISO 27001 maduro facilita mucho la adecuación por el solapamiento de controles, pero no la sustituye. El ENS tiene su propio catálogo de medidas y su propio esquema de conformidad.
¿Qué pasa si no cumplo? +
La consecuencia más inmediata es comercial: quedar fuera de licitaciones que exigen conformidad, o incumplir pliegos de contratos ya firmados. Para pymes tecnológicas que facturan al sector público, el ENS es ya condición de acceso al mercado.
¿Cómo sé qué me falta exactamente? +
Con un diagnóstico de adecuación: alcance, categoría aplicable, contraste contra las medidas exigibles y un informe de brechas con plan priorizado. Es el primer paso antes de invertir en implantación o comprometer plazos en una licitación.
Sobre la autora
Marta Mendoza Díez

Consultora independiente de sistemas de gestión bajo la marca Step Quality. Auditora Líder ISO 27001 y Auditora Líder ISO 9001, con más de 20 años en sectores regulados —automoción, naval, defensa, ferroviario e IT— y 93 auditorías documentadas. Base en Madrid, cobertura nacional presencial y remota.

¿Un pliego te exige el ENS y no sabes dónde estás?

Solicita un diagnóstico de adecuación al ENS: alcance, categoría aplicable e informe de brechas con plan priorizado, con criterio de Auditora Líder ISO 27001 e independiente de cualquier proveedor de soluciones. Si tu caso apunta más al certificado internacional, revisa la consultoría ISO 27001.

Solicitar diagnóstico ENS Ver consultoría ISO 27001