Soy Ángel Ortega Castro, consultor ENS independiente. Te preparo para superar la auditoría ENS de conformidad (Anexo III del RD 311/2022): identifico las brechas antes de que lo haga el auditor, ordeno las evidencias y te acompaño durante la visita de la entidad acreditada por ENAC.
La auditoría ENS de conformidad es el proceso de verificación independiente que regula el Anexo III del Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191). Su función es constatar, de forma rigurosa, que los sistemas de información de una organización cumplen con los requisitos del Esquema Nacional de Seguridad aplicables a su categoría: las medidas del Anexo II, la política de seguridad, el análisis de riesgos y la gestión de la continuidad.
No es una revisión documental superficial. La auditoría examina la implantación real de los controles, la existencia de evidencias auditables y la coherencia entre lo declarado en la Declaración de Aplicabilidad (DdA) y lo practicado en la organización. Su resultado es un informe de conformidad con los hallazgos, no conformidades y, en categoría media o alta, la base para la certificación emitida por la entidad acreditada.
La auditoría de conformidad la realiza un tercero —en categoría media o alta, una entidad acreditada por ENAC— que evalúa de forma objetiva el grado de cumplimiento del sistema.
Los pliegos de contratación pública exigen cada vez con más frecuencia que los proveedores acrediten la conformidad ENS. La certificación es el justificante que los satisface.
La certificación ENS tiene una vigencia de dos años. Pasado ese plazo es necesario superar una nueva auditoría de conformidad para mantener la acreditación vigente.
El ciclo de auditoría obliga a mantener y actualizar los controles, lo que convierte la conformidad ENS en un sistema vivo de mejora de la seguridad, no en un trámite puntual.
La disposición transitoria única del RD 311/2022 fijó 24 meses para que los sistemas preexistentes se adecuasen; ese plazo finalizó el 5 de mayo de 2024. La obligación está plenamente vigente: los nuevos sistemas deben cumplir desde el primer día y los contratos en vigor exigen acreditar la conformidad en cada renovación. Si tu empresa presta servicios al sector público y aún no has iniciado la adecuación, te explico el punto de partida en la guía completa del ENS y en el servicio de consultoría ENS para empresas.
La principal causa de no conformidades en una auditoría ENS es la improvisación: llegar sin evidencias ordenadas, con la DdA desactualizada o con controles implantados pero sin registro. Mi trabajo empieza antes de la visita del auditor acreditado; cada fase produce un entregable concreto sobre el que apoyamos la siguiente.
| Fase | Qué hacemos | Referencia y entregable |
|---|---|---|
| Fase 01 Diagnóstico pre-auditoría | Análisis diferencial entre la situación real del sistema y los requisitos del Anexo III. Identificamos los controles sin evidencia, los procedimientos sin formalizar y las brechas que el auditor detectaría. | Informe de brechas con criticidad y orden de cierre. Base para el Anexo III del ENS. |
| Fase 02 Mapa de evidencias | Catalogación exhaustiva de todas las evidencias requeridas por el Anexo II según la categoría del sistema (básica, media o alta). Para cada control: estado actual, evidencia disponible, pendiente y responsable. | Registro de evidencias con semáforo de estado. Alineado con guías CCN-STIC 808 y 850. |
| Fase 03 Revisión y ajuste documental | Actualización de la Declaración de Aplicabilidad (DdA), la política de seguridad y el análisis de riesgos (MAGERIT). Coherencia entre la documentación y la implantación real de los controles. | Documentación alineada con el Anexo III y las guías CCN-STIC 806 y 807. |
| Fase 04 Auditoría interna (pre-auditoría) | Ensayo completo que simula la visita del auditor acreditado: revisión de controles, entrevistas con el personal responsable y pruebas técnicas. Resultado: lista de no conformidades antes de la auditoría real. | Informe de pre-auditoría con no conformidades y plan de cierre. Ver guía de preparación de la auditoría ENS. |
| Fase 05 Acompañamiento en la auditoría acreditada | Soporte durante la visita de la entidad acreditada por ENAC: coordinación de reuniones, clarificación de evidencias en tiempo real y respuesta técnica a los hallazgos del auditor. | Reducción de no conformidades durante el proceso. La certificación la emite la entidad acreditada por ENAC, no el consultor. |
| Fase 06 Cierre y seguimiento bienal | Resolución de las no conformidades detectadas por el auditor. Hoja de ruta para mantener la conformidad activa hasta la renovación bienal y preparar el siguiente ciclo de auditoría. | Plan de mejora continua y calendario de renovación cada dos años. |
¿Quieres entender en qué consiste cada prueba que realiza el auditor? Lo detallo en el artículo sobre el Anexo III del ENS y la auditoría de conformidad. Y si tu empresa provee servicios a la Administración, encontrarás el contexto jurídico en ENS para proveedores: ¿me obliga la Administración?
El Anexo I del RD 311/2022 establece tres categorías de sistemas según el impacto que tendría un incidente de seguridad sobre las cinco dimensiones (CIDAT): confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. La dimensión con mayor nivel determina la categoría del sistema, y esta categoría define la vía de conformidad que tu organización debe seguir y el tipo de auditoría exigido.
Cuando un incidente causaría un perjuicio limitado sobre las funciones de la organización, sus activos o las personas.
Cuando un incidente supondría un perjuicio grave; alguna dimensión alcanza el nivel medio.
Cuando un incidente causaría un perjuicio muy grave, incluso irreparable; alguna dimensión llega al nivel alto.
La realiza el consultor o el propio equipo de seguridad antes de la visita del tercero acreditado. Su objetivo es detectar no conformidades con tiempo suficiente para corregirlas. No tiene validez oficial ni acredita la conformidad ante la Administración, pero es la herramienta más eficaz para superar la auditoría externa a la primera y minimizar el número de hallazgos.
En categoría media o alta, la conformidad solo puede acreditarse mediante una entidad acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012. Esta entidad emite el certificado de conformidad ENS, que es el documento que satisface los pliegos de contratación pública. El consultor prepara y acompaña; el certificado lo emite el tercero acreditado. Nunca "certificación garantizada": eso no existe en ningún proceso de auditoría riguroso.
¿Necesitas ayuda para categorizar tu sistema antes de decidir qué vía seguir? Te orienta la guía de categorías ENS básica, media y alta, y si dudas entre el ENS y la ISO 27001, comparo ambos marcos en ENS o ISO 27001 para licitar con la Administración.
El trabajo de preparación no consiste en redactar documentos que nadie lee. Cada entregable tiene un destinatario concreto —el auditor acreditado, tu equipo de seguridad o el responsable de la licitación— y está diseñado para ser útil en el proceso real de certificación.
Soy Ángel Ortega Castro, consultor independiente especializado en adecuación al Esquema Nacional de Seguridad y seguridad de la información. Preparo a empresas proveedoras del sector público para superar la auditoría ENS de conformidad: identifico las brechas antes de que lo haga el auditor acreditado, ordeno la documentación y acompaño durante todo el proceso.
Mi enfoque es de acompañamiento real, persona a persona: no te dejo un informe y desaparezco. Trabajo contigo en cada fase, desde el diagnóstico previo hasta la resolución de las no conformidades que detecte la entidad certificadora. Cuando el proyecto termina, tu equipo sabe mantener la conformidad hasta la siguiente renovación bienal sin depender de nadie.
Soy explícito en lo que puedo y no puedo prometer: preparo y acompaño tu organización hacia la conformidad; la certificación la emite la entidad acreditada por ENAC. Quien promete "certificación garantizada" no entiende el proceso o no es honesto. Esa franqueza, sumada al rigor con el RD 311/2022 y sus Anexos I-IV, es lo que me distingue.
Integradores, proveedores de servicios en la nube y desarrolladores de software que necesitan certificar la conformidad ENS para mantener sus contratos públicos o acceder a nuevos pliegos que la exigen.
Compañías privadas que afrontan por primera vez la certificación ENS como requisito de solvencia para presentarse a concursos públicos. La auditoría es la puerta de entrada a un mercado que de otro modo queda cerrado.
Organizaciones cuya certificación ENS caduca en los próximos meses y necesitan una revisión del estado actual, actualización de evidencias y acompañamiento en la nueva auditoría de conformidad bienal.
El coste depende de la categoría del sistema (básica, media o alta), del número de sistemas en alcance y de la madurez de partida: cuantas más brechas existan antes de la auditoría, mayor es el trabajo de cierre previo. No hay una cifra única válida para todos los casos.
A este coste de preparación y acompañamiento hay que sumar, en categoría media o alta, los honorarios de la entidad certificadora acreditada, que son independientes de los míos y los factura el tercero que emite el certificado. En la primera llamada valoramos ambas partidas sin compromiso.
La auditoría ENS de conformidad, regulada en el Anexo III del Real Decreto 311/2022, es una revisión independiente que constata si los sistemas de información de una organización cumplen con las medidas del Anexo II, la política de seguridad, el análisis de riesgos y la gestión de la continuidad. El auditor examina evidencias reales —registros, configuraciones, procedimientos, entrevistas— para verificar que lo declarado en la DdA coincide con lo implantado. El resultado es un informe de conformidad con los hallazgos detectados. Lo detallo en el artículo sobre el Anexo III del ENS y la auditoría de conformidad.
Lo es si prestas servicios al sector público y tus sistemas están clasificados en categoría media o alta. En categoría básica puedes optar por la declaración de conformidad autoevaluada, aunque cada vez más pliegos exigen evidencias adicionales o incluso la certificación independientemente del nivel. El plazo general de adecuación de los sistemas preexistentes finalizó el 5 de mayo de 2024; la obligación está plenamente vigente y aplica desde el primer día a los sistemas nuevos o con cambios significativos. Si no sabes si tu empresa está obligada, te lo explico en la guía sobre ENS para proveedores y licitaciones.
En categoría media o alta, solo puede emitir el certificado de conformidad una entidad acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012. El consultor ENS prepara la conformidad y acompaña durante el proceso; la auditoría de certificación la realiza el tercero acreditado. En categoría básica, la conformidad se acredita mediante declaración autoevaluada por la propia organización. Lo explico con detalle en el artículo sobre quién realiza la auditoría del ENS y cada cuánto.
La certificación ENS se renueva cada dos años (renovación bienal). Durante ese periodo deben mantenerse activas las medidas implantadas y las evidencias que las sostienen. Lo habitual es programar una revisión anual para detectar desviaciones y corregirlas antes de que llegue la auditoría de renovación, evitando así acumular brechas. Lo desarrollo en cada cuánto se audita el ENS y quién lo hace.
La auditoría interna, también llamada pre-auditoría, es una revisión que realiza el consultor o el propio equipo antes de la visita del tercero acreditado. Su objetivo es detectar no conformidades con tiempo para corregirlas; no tiene validez oficial ni acredita la conformidad ante la Administración. La certificación externa la lleva a cabo una entidad acreditada por ENAC: sus resultados tienen validez oficial y son los que acreditan la conformidad en los pliegos de contratación pública. Ambas son complementarias; la interna es la mejor inversión para superar la externa a la primera.
Los cinco pasos clave son: (1) diagnóstico de brechas frente al Anexo III con tiempo suficiente antes de la visita, (2) cierre de no conformidades identificadas antes de que las encuentre el auditor, (3) ordenación y verificación de evidencias para cada control del Anexo II, (4) ensayo interno completo (pre-auditoría) que simule la visita real, y (5) acompañamiento durante la auditoría para clarificar evidencias en tiempo real. Lo detallo en la guía de preparación de la auditoría ENS.
La entidad emite un informe de hallazgos. Las no conformidades se clasifican por gravedad: las mayores impiden la certificación hasta que se subsanan y se verifica la corrección; las menores pueden resolverse con evidencias documentales sin nueva visita. Un trabajo de preparación riguroso minimiza el número y la gravedad de los hallazgos. Si aun así aparecen, te acompaño en el proceso de cierre y en la demostración de la subsanación ante el auditor.
No. La consultoría ENS abarca todo el ciclo de adecuación: diagnóstico inicial, categorización del sistema, análisis de riesgos con MAGERIT, plan de adecuación, implantación de medidas del Anexo II y preparación de la auditoría. La auditoría ENS es la fase final de verificación por un tercero acreditado. Si tu organización parte de cero, el camino completo empieza en la consultoría; si ya tienes los sistemas adecuados y solo necesitas preparar la auditoría, entramos directamente en las fases de pre-auditoría descritas en esta página.
Primera llamada sin coste ni compromiso. Valoramos tu categoría y el alcance del sistema, identificamos las brechas principales y, si encajamos, te paso una propuesta cerrada para preparar y superar la auditoría de conformidad a la primera.