Cada vez más pymes descubren el Esquema Nacional de Seguridad de la peor manera: en el pliego de una licitación que exige conformidad, con plazo cerrado y sin saber por dónde empezar. Si tu empresa presta servicios al sector público —software, cloud, mantenimiento de sistemas, gestión de datos— esta guía te aclara si estás obligado, en qué categoría, cómo se demuestra el cumplimiento y cuál es el primer paso racional: saber exactamente qué te falta antes de comprometerte a nada.
El Esquema Nacional de Seguridad es el marco regulatorio español que fija los principios y requisitos mínimos de seguridad para proteger la información y los servicios del sector público. Su versión vigente es la del Real Decreto 311/2022, que sustituyó al esquema original de 2010 y lo modernizó: enfoque por perfiles de cumplimiento, actualización del catálogo de medidas y mayor atención a la cadena de suministro tecnológica.
La clave que muchas empresas privadas pasan por alto está precisamente ahí: el ENS no es solo para la administración. Su ámbito alcanza a los proveedores privados que prestan servicios a entidades públicas o les proporcionan soluciones tecnológicas. La administración traslada la obligación a su cadena de suministro a través de los pliegos de contratación.
Administración General del Estado, comunidades autónomas, entidades locales, universidades públicas, organismos y entidades vinculadas. Obligación directa y sin matices.
Empresas privadas que prestan servicios a entidades públicas o les proporcionan soluciones: desarrollo y mantenimiento de software, hosting y servicios cloud, soporte de sistemas, tratamiento o gestión de datos, servicios gestionados de TI. Si la información o los servicios que manejas están dentro del alcance del ENS de tu cliente público, la obligación te alcanza en la parte que te corresponde, y el pliego puede exigirte acreditar conformidad como condición para contratar o para seguir prestando el servicio.
Aunque hoy no tengas contratos públicos, si el mercado público está en tu plan comercial, la conformidad con el ENS ha dejado de ser un extra valorable para convertirse, en muchos pliegos tecnológicos, en requisito de acceso. Llegar a la licitación sin él significa quedarse fuera antes de empezar.
No todas las organizaciones cargan con las mismas exigencias. El ENS gradúa las medidas según el impacto que tendría un incidente de seguridad sobre la información y los servicios afectados:
| Categoría | Impacto de un incidente | Cómo se demuestra la conformidad |
|---|---|---|
| Básica | Perjuicio limitado | Autoevaluación con Declaración de Conformidad, al menos cada 2 años. La certificación por entidad acreditada es voluntaria en esta categoría |
| Media | Perjuicio grave | Certificación por entidad acreditada |
| Alta | Perjuicio muy grave | Certificación por entidad acreditada |
La categoría aplicable no la eliges tú a conveniencia: se deriva de la valoración de los sistemas de información afectados y, en el caso de proveedores, de lo que determine el organismo público cliente en su alcance y sus pliegos. Determinar correctamente alcance y categoría es la primera decisión técnica del proyecto — y equivocarse aquí encarece todo lo que viene después. Un matiz práctico: aunque en categoría básica la certificación es voluntaria conforme a la guía CCN-STIC 809, algunos órganos de contratación la exigen igualmente en sus pliegos — lo que manda siempre es lo que pide tu cliente público.
Se confunden constantemente. ISO 27001 es una norma internacional de sistemas de gestión de seguridad de la información; el ENS es una obligación regulatoria española con su propio catálogo de medidas y su propio esquema de conformidad. Un sistema ISO 27001 maduro facilita enormemente la adecuación al ENS —el solapamiento de controles es importante—, pero no la sustituye: tener el certificado ISO 27001 no equivale a estar conforme con el ENS, ni al revés. Si te interesa esta comparación, he analizado los costes del certificado internacional en cuánto cuesta certificarse en ISO 27001.
Mi alcance de servicio en ENS es deliberadamente acotado: realizo el diagnóstico de adecuación — el paso 1 — con criterio de Auditora Líder ISO 27001. El informe te dice exactamente dónde estás, qué te falta para la categoría que te aplica y en qué orden abordarlo. La implantación y la certificación posteriores las ejecutas con tu equipo, tu proveedor TI o el especialista que elijas, sobre una hoja de ruta objetiva e independiente de quien te vaya a vender la solución.
Solicita un diagnóstico de adecuación al ENS: alcance, categoría aplicable e informe de brechas con plan priorizado, con criterio de Auditora Líder ISO 27001 e independiente de cualquier proveedor de soluciones. Si tu caso apunta más al certificado internacional, revisa la consultoría ISO 27001.