Para licitar con la Administración Pública en Castilla y León en 2026, una pyme TIC necesita combinar ISO 27001 + ENS Bajo (mínimo) + adecuación RGPD documentada. El pack consultoría completo cuesta 18.000–28.000 € y se completa en 5–7 meses.
En 2026, ninguna pyme TIC de Castilla y León puede competir por contratos públicos sin tener resuelta la matriz de cumplimiento normativo. La Junta exige certificados; los pliegos puntúan; la mesa de contratación rechaza por defecto a quien no presenta los documentos completos. Esta guía cubre el pack más eficiente: ISO 27001 + ENS + RGPD, en 5–7 meses, por menos de 28.000 €. Si quieres saltar al cuadro de precios, baja a la tabla de precios. Si quieres el caso real, salta al caso de la bodega tecnológica de Valladolid.
¿Qué normas pide la Administración Pública española en 2026?
La columna vertebral del cumplimiento para proveedores AAPP en 2026 son tres normas que se solapan y se refuerzan entre sí:
- ISO 27001 (Sistema de Gestión de Seguridad de la Información): marco internacional voluntario que demuestra control sobre los activos de información. Es la base sobre la que se construye el cumplimiento técnico.
- Esquema Nacional de Seguridad (ENS): regulado por el RD 311/2022, es obligatorio para todo organismo público y todo proveedor que trate información del sector público español. Tres categorías según el impacto del servicio: Básica, Media y Alta.
- RGPD + LOPDGDD: el Reglamento General de Protección de Datos europeo (2016/679) y la ley orgánica española de desarrollo (2018) son obligatorios siempre que se traten datos personales. La AEPD sanciona.
El error más común de las pymes es presentarse a licitar solo con RGPD (mínimo legal) cuando el pliego pide explícitamente ISO 27001 + ENS. Las mesas de contratación lo detectan al primer revisado del sobre B y descartan la propuesta por incompleta.
Tabla comparativa: ISO 27001 vs ENS vs RGPD
| Aspecto | ISO 27001 | ENS (RD 311/2022) | RGPD / LOPDGDD |
|---|---|---|---|
| Carácter | Voluntaria | Obligatoria proveedor AAPP | Obligatoria si hay datos personales |
| Ámbito | Internacional | España (sector público) | Unión Europea |
| Foco | Gestión del riesgo | Prescriptivo (qué controles aplicar) | Protección persona física |
| Auditor | AENOR · BV · SGS · LRQA · ENAC | Entidades acreditadas ENAC para ENS | No requiere certificación · AEPD inspecciona |
| Coste pyme | 8.000–18.000 € + 2.500 €/año | 6.000–15.000 € + 2.000 €/año | 2.000–6.000 € adecuación |
| Plazo implantación | 4–6 meses | 3–5 meses (si ISO 27001 base) | 6–10 semanas |
| Renovación | Auditoría externa cada 3 años + seguimiento anual | Reevaluación cada 2 años (categorías Media/Alta) | Revisión continua (registros) |
| Multas incumplimiento | N/A (pérdida del certificado) | Pérdida del contrato + responsabilidad penal CCN-CERT | Hasta 20 M€ o 4 % facturación |
La sinergia entre las tres es alta: implantar las tres en paralelo ahorra 30–40 % de horas frente a hacerlas por separado, porque comparten un sistema de gestión común, los mismos registros de activos, las mismas políticas de control de acceso y la misma estructura de auditoría interna.
¿Cuál es el coste real de implantar el pack completo en 2026?
Para una pyme TIC española de 10–40 empleados que quiera presentarse a licitaciones AAPP, el coste total realista del pack ISO 27001 + ENS Bajo + RGPD es:
| Concepto | Rango pyme 10–25 emp | Rango pyme 25–50 emp |
|---|---|---|
| Consultoría externa implantación (5 meses) | 14.000–18.000 € | 18.000–25.000 € |
| Auditoría externa ISO 27001 (3ª parte) | 2.500–4.000 € | 3.500–5.500 € |
| Certificación ENS (entidad acreditada) | 2.500–4.500 € | 4.000–6.500 € |
| Adecuación RGPD documental | 1.500–3.000 € | 2.500–4.500 € |
| Herramientas (gestor riesgos, GRC) | 1.200–2.500 €/año | 2.500–5.000 €/año |
| Total año 1 | 21.700–32.000 € | 30.500–46.500 € |
| Mantenimiento años 2–3 | 4.500–7.000 €/año | 6.500–10.500 €/año |
Con el bono Kit Consulting de Red.es (Orden TDF/38/2026), una pyme Segmento A puede subvencionar hasta 24.000 € del asesoramiento estratégico previo. Esto reduce el desembolso efectivo año 1 a 8.000–22.000 €.
¿Cuánto tarda una pyme en estar lista para licitar?
El cronograma realista en pyme de 10–40 empleados, con dirección implicada desde el día 1 y un responsable interno designado (no senior, pero con tiempo):
- Mes 1: diagnóstico de partida (inventario de activos, mapa de tratamientos RGPD, análisis de brechas). Política base aprobada por dirección.
- Mes 2: análisis de riesgos (metodología MAGERIT para ENS, ISO 27005 para ISO 27001). Definición de controles aplicables.
- Mes 3: redacción de políticas, procedimientos y registros. Formación a equipo (8 horas mínimo).
- Mes 4: implantación de controles técnicos (cifrado, control de acceso, registro de actividad). Auditoría interna.
- Mes 5: corrección de no conformidades. Solicitud de auditoría externa ISO 27001 y certificación ENS.
- Mes 6–7: auditoría externa, certificación, documentación final.
Acelerar este plazo a 3–4 meses es posible pero implica dedicación intensiva del equipo interno y exposición a no conformidades mayores en la auditoría externa.
Caso real: bodega tecnológica de Valladolid licita SACYL
Una bodega tecnológica de 28 empleados con sede en Valladolid se enfrentaba a una licitación de SACYL (Servicio de Salud de Castilla y León) por 180.000 € en servicios de gestión documental. El pliego exigía ISO 27001 + ENS Bajo + protocolo RGPD aprobado por AEPD. La empresa no tenía ninguna de las tres.
Implantación en paralelo de las tres normas durante 5 meses con presupuesto total de 24.000 € (consultoría 16.000 € + auditoría externa AENOR 4.000 € + ENS certificación 3.000 € + tooling GRC 1.000 €). Resultados al cierre del proyecto:
- ISO 27001 certificado por AENOR (acreditación ENAC).
- ENS Bajo certificado por entidad acreditada CCN-CERT.
- RGPD adecuado con registro de actividades de tratamiento aprobado por AEPD.
- Licitación SACYL adjudicada (puntuación de cumplimiento 12/12 en el sobre B).
- Acceso a 6 nuevos pliegos similares en Castilla y León a 12 meses vista.
El ROI directo del proyecto se calculó en 7,5x el primer año (180.000 € de contrato / 24.000 € de inversión), sin contar los contratos adicionales que la certificación abrió en los meses siguientes.
Checklist: 12 pasos para llegar a la licitación con todo el cumplimiento listo
- Diagnóstico inicial: inventario completo de activos de información (servidores, bases de datos, software, terceros).
- Mapa de tratamientos de datos personales conforme RGPD art. 30 (responsable, encargado, finalidad, base jurídica, cesiones, plazos).
- Análisis de riesgos MAGERIT (para ENS) y matriz de probabilidad/impacto (para ISO 27001).
- Política de seguridad de la información firmada por dirección, comunicada a toda la organización.
- Procedimientos operativos: control de accesos, gestión de incidentes, copias de seguridad, gestión de cambios.
- Implantación de controles técnicos: cifrado en reposo y tránsito, MFA, registro centralizado de logs, segregación de redes.
- Formación obligatoria a todos los empleados (mínimo 8 horas) y específica al comité de seguridad.
- Designación de Delegado de Protección de Datos (DPO) si aplica según RGPD art. 37 o por contrato del pliego.
- Comunicación a AEPD del DPO (formulario electrónico Sede AEPD).
- Auditoría interna documentada (registros, no conformidades, acciones correctivas).
- Solicitud de auditoría externa ISO 27001 (AENOR / BV / SGS / LRQA) y certificación ENS (entidad acreditada).
- Memoria técnica del sobre B preparada con anexos: políticas, certificados, designación DPO, plan de continuidad.
FAQ
¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?
Las tres categorías ENS se definen según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: para servicios cuyo impacto es bajo en todas las dimensiones (la mayoría de servicios TIC genéricos). Medio: cuando el impacto en al menos una dimensión es medio (servicios de salud, justicia, recaudación tributaria). Alto: defensa, infraestructuras críticas. Para 80% de pymes proveedoras de AAPP, ENS Bajo es suficiente.
¿Es obligatorio nombrar Delegado de Protección de Datos (DPO) para licitar AAPP?
No automáticamente. La obligación de nombrar DPO viene de RGPD art. 37 (actividades a gran escala, datos especiales) y se aplica independientemente de licitar o no. Sin embargo, muchos pliegos de AAPP exigen DPO designado y comunicado a AEPD como criterio adicional. En 2026 la mayoría de pliegos sanitarios, educativos y de servicios sociales lo piden.
¿Puedo certificar ENS Bajo sin tener antes ISO 27001?
Sí, técnicamente son independientes. Pero la realidad es que ISO 27001 cubre aproximadamente el 75% de los requisitos de ENS Bajo, por lo que tenerla simplifica enormemente la certificación ENS. Implantar solo ENS sin ISO 27001 cuesta lo mismo y aporta menos valor comercial (la ISO sí es valorada por clientes privados).
¿Cuál es el coste de mantener las tres certificaciones cada año?
Para una pyme 10–25 empleados: 4.500–7.000 €/año combinado. Incluye auditoría de seguimiento ISO 27001 (1.500–2.500 €), reevaluación ENS cada 2 años (1.500–3.000 € prorrateado), revisión anual de políticas y registros RGPD (1.500–2.500 € si se externaliza el DPO).
¿Qué pasa si pierdo una certificación durante el contrato?
Suspensión inmediata del contrato y posible reclamación de daños por parte de la Administración. Por eso es crítico mantener auditorías internas trimestrales y no dejar caducar el certificado. Las entidades certificadoras avisan con 60 días de antelación; en pyme conviene programar la renovación 90 días antes.
¿Cubre el Kit Digital esta consultoría?
El Kit Digital de Red.es cubre soluciones digitales específicas (web, CRM, BI, ciberseguridad básica), pero no la consultoría estratégica de implantación ISO/ENS. Para esa parte se usa el Kit Consulting (Orden TDF/38/2026), que sí subvenciona hasta 24.000 € en asesoramiento estratégico, incluyendo gobierno IA, ciberseguridad e implantación de normas.
¿Puede una pyme licitar con la AAPP sin certificaciones, solo presentando compromisos?
En pliegos pequeños (<30.000 €) algunas administraciones aceptan compromisos firmes de obtener las certificaciones en X meses tras la adjudicación. Pero esto es excepcional y depende del órgano de contratación. Como regla práctica: para cualquier contrato >50.000 €, las certificaciones se piden firmadas y vigentes en el sobre B.
Mini-glosario
- SGSI: Sistema de Gestión de Seguridad de la Información (ISO 27001).
- ENS: Esquema Nacional de Seguridad. RD 311/2022.
- CCN-CERT: Centro Criptológico Nacional · entidad certificadora ENS.
- MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información del CNI.
- RGPD: Reglamento General de Protección de Datos UE 2016/679.
- LOPDGDD: Ley Orgánica española de Protección de Datos y Garantía de Derechos Digitales.
- DPO: Delegado de Protección de Datos.
- Sobre B: parte técnica de una oferta a licitación pública.
- CPSTIC: Catálogo de Productos y Servicios de Seguridad TIC del CCN.
Fuentes oficiales
- BOE · Real Decreto 311/2022 ENS
- AEPD · Agencia Española de Protección de Datos
- AENOR · Norma ISO 27001 España
- CCN-CERT · Centro Criptológico Nacional
- INCIBE · Recursos ciberseguridad empresa
- Red.es · Kit Consulting 2026
- Plataforma de Contratación del Sector Público
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.
¿Necesitas implantar este pack?
Consultoría ISO 27001 + ENS + RGPD para licitar AAPP
Implantación integrada en 5–7 meses. Acompañamiento hasta la adjudicación. Cofinanciación con Kit Consulting.
Agendar sesión →