Soy Ángel Ortega Castro, consultor ENS independiente. Te acompaño en todo el proceso hacia la certificación ENS: diagnóstico, plan de adecuación, preparación de evidencias, selección de entidad y soporte durante la auditoría. El certificado lo emite la entidad acreditada por ENAC; yo te preparo para superarla.
La certificación ENS es el documento formal que acredita que los sistemas de información de una organización cumplen los requisitos del Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo; BOE-A-2022-7191). No es equivalente a una declaración interna: en los niveles de categoría media y alta, la certificación la emite una entidad de certificación de producto acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012, lo que le otorga valor frente a la Administración y frente a terceros. El certificado tiene una validez de dos años, tras los que debe renovarse mediante una nueva auditoría de conformidad.
Para entender el marco completo en el que se inscribe este proceso, te recomiendo la guía completa del ENS y el artículo sobre el proceso de certificación ENS, requisitos y costes.
A diferencia de la declaración de conformidad de nivel básico, la certificación ENS la emite un tercero acreditado por ENAC: su valor no depende de la autoafirmación de la propia empresa.
Cada vez más contratos públicos exigen la certificación ENS como condición de solvencia técnica. Sin ella, la empresa queda directamente excluida del concurso, con independencia de su capacidad real.
El certificado ENS es válido durante dos años. La renovación exige una nueva auditoría de conformidad, lo que garantiza que el nivel de seguridad se mantiene en el tiempo y no queda obsoleto.
El proceso hacia la certificación ENS implanta un ciclo de gestión real: análisis de riesgos, medidas del Anexo II y revisión periódica. No es un trámite puntual, sino un sistema de seguridad sostenido.
El marco del ENS no exige lo mismo a todos. La vía que corresponde a tu organización depende de la categoría del sistema de información afectado, que se determina valorando el impacto potencial de un incidente sobre las cinco dimensiones de seguridad —confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (CIDAT)—. Conoce las categorías ENS básica, media y alta en detalle antes de decidir.
Cuando ninguna dimensión supera el nivel bajo, la organización puede acreditar la conformidad mediante una declaración de conformidad autoevaluada, sin intervención de una entidad certificadora externa.
Cuando alguna dimensión alcanza el nivel medio, la conformidad debe acreditarse mediante certificación por entidad acreditada por ENAC (ISO/IEC 17065). El consultor prepara; la entidad acreditada certifica.
Cuando alguna dimensión llega al nivel alto, la exigencia es la misma vía que en media —certificación por entidad acreditada por ENAC— pero con un conjunto de medidas de seguridad más amplio y exigente.
La organización verifica ella misma el cumplimiento conforme a las guías CCN-STIC y emite su propia declaración. Te preparo toda la documentación y las evidencias necesarias para que la declaración sea rigurosa y pueda sostenerse ante cualquier revisión. Profundizo en cómo hacerlo en el artículo sobre la declaración de conformidad ENS de nivel básico por autoevaluación.
La certificación ENS la emite una entidad de certificación de producto acreditada por ENAC conforme a UNE-EN ISO/IEC 17065:2012. Mi labor es prepararte para superar esa auditoría: implanto las medidas, genero la documentación y te acompaño durante el proceso. Nunca prometo la certificación garantizada: la emite la entidad acreditada, no el consultor. Si necesitas el servicio previo de adecuación, parto de la consultoría ENS para empresas.
Obtener la certificación ENS en categoría media o alta no es un trámite puntual: es el resultado de un proceso estructurado que sigue las guías CCN-STIC y culmina en una auditoría realizada por una entidad acreditada por ENAC. La preparación previa, que es mi trabajo como consultor, determina en gran medida el resultado de esa auditoría.
| Fase | Qué se hace | Referencia y entregable |
|---|---|---|
| Fase 01 Diagnóstico y alcance | Análisis diferencial (gap analysis) entre la situación actual y los requisitos del ENS. Definición del alcance: qué sistemas de información entran en el perímetro de certificación. | Informe de diagnóstico con distancia al cumplimiento y perímetro documentado. |
| Fase 02 Categorización del sistema | Valoración del sistema en las cinco dimensiones CIDAT y asignación de la categoría resultante (básica, media o alta). La categoría determina la vía de conformidad exigida. | Anexo I del RD 311/2022. Documento de categorización con justificación por dimensión. Ver categorías ENS básica, media y alta. |
| Fase 03 Análisis de riesgos | Identificación de activos, amenazas, vulnerabilidades y salvaguardas mediante metodología MAGERIT. Se cuantifica el riesgo residual y se establece el plan de tratamiento. | Análisis de riesgos con MAGERIT (apoyado en PILAR u otras herramientas CCN). Plan de tratamiento del riesgo. |
| Fase 04 Plan de adecuación y DdA | Política de seguridad de la información, selección y justificación de las medidas del Anexo II aplicables al alcance y categoría. Redacción de la Declaración de Aplicabilidad (DdA). | Guía CCN-STIC 806. Plan de adecuación con responsables y plazos. DdA completa. |
| Fase 05 Implantación de medidas | Despliegue de las medidas de seguridad seleccionadas: marco organizativo, operacional y de protección. Generación de evidencias que acreditan el cumplimiento de cada control. | Evidencias por medida del Anexo II implantada. Marco documental completo (procedimientos, normativas internas, registros). |
| Fase 06 Preauditoría interna | Revisión exhaustiva de la documentación y las evidencias antes de la auditoría oficial. Identificación y subsanación de desviaciones que pudieran provocar no conformidades. Simulacro con la metodología del Anexo III. | Informe de preauditoría con hallazgos y plan de cierre. Lista de verificación Anexo III del RD 311/2022. |
| Fase 07 Auditoría de conformidad | La auditoría de conformidad la realiza la entidad de certificación acreditada por ENAC. Yo te acompaño durante el proceso, coordino la entrega de evidencias y gestiono cualquier solicitud de aclaración. | Anexo III del RD 311/2022. La auditoría la ejecuta la entidad acreditada; el consultor acompaña y da soporte. |
| Fase 08 Obtención del certificado y renovación | La entidad acreditada emite el certificado ENS (válido dos años). Se establece el plan de seguimiento para mantener el nivel de conformidad y preparar la renovación bienal antes de que caduque el certificado. | Certificado ENS emitido por la entidad acreditada. Plan de seguimiento y hoja de ruta para la renovación en 24 meses. |
Puedes consultar el desglose completo en el artículo sobre el proceso de certificación ENS, requisitos y costes orientativos.
Solo pueden emitir la certificación ENS las entidades de certificación de producto que cuenten con acreditación expresa de ENAC (Entidad Nacional de Acreditación) conforme a la norma UNE-EN ISO/IEC 17065:2012 para el esquema ENS. Esta acreditación no es automática: ENAC evalúa la competencia técnica, la imparcialidad y los procedimientos de la entidad antes de autorizarla.
Puedes consultar en cualquier momento el listado vigente de entidades acreditadas para el ENS en el buscador público de ENAC. También el CCN publica orientaciones sobre el proceso en su portal ens.ccn.cni.es. Y una vez obtenido el certificado, tu empresa aparecerá en el listado de empresas certificadas en el ENS gestionado por el CCN.
Todas las entidades acreditadas por ENAC cumplen los requisitos técnicos mínimos. La diferencia entre unas y otras está en la experiencia sectorial (no es lo mismo auditar un sistema de gestión documental que una plataforma de servicios en la nube), la disponibilidad y plazos (las más demandadas pueden tener lista de espera), la claridad de su proceso de auditoría y los costes, que varían según el alcance y la complejidad del sistema. Recomiendo solicitar propuesta a dos o tres entidades antes de comprometerse.
Como consultor, mi trabajo es preparar tu organización para que la auditoría de la entidad acreditada transcurra sin sorpresas. Eso implica que la documentación esté completa, que las evidencias sean verificables y que tu equipo sepa qué esperar durante la auditoría. No tengo relación comercial con ninguna certificadora: te acompaño con independencia de cuál elijas, lo que garantiza que el asesoramiento es neutral. Una vez elegida la entidad, coordino la comunicación y la entrega de evidencias durante todo el proceso.
Para el proceso completo de preparación previa, puedes ver en qué consiste la consultoría ENS para empresas que realizamos antes de llegar a la auditoría de certificación.
Los pliegos de prescripciones técnicas de contratos públicos TIC incorporan cada vez con más frecuencia la conformidad con el ENS como criterio de solvencia o como obligación contractual. Sin el certificado correspondiente a la categoría del sistema, la empresa no puede presentarse al concurso. El plazo general de adecuación finalizó el 5 de mayo de 2024: la obligación está plenamente vigente.
La certificación ENS no solo abre puertas en contratos que la exigen explícitamente. También diferencia a tu empresa de competidores que todavía no la tienen, transmite madurez en seguridad de la información y facilita la relación con organismos públicos que valoran la acreditación independiente frente a las simples declaraciones propias.
Las administraciones que deben certificar sus propios sistemas exigen a su vez que sus proveedores y subcontratistas cumplan el ENS en los sistemas que aportan al servicio. Disponer de la certificación convierte a tu empresa en un proveedor elegible en toda la cadena de valor del sector público, ampliando el mercado accesible de forma significativa.
Mi trabajo termina cuando la entidad acreditada emite tu certificado. Esto es lo que construimos juntos durante el proceso de preparación.
Soy Ángel Ortega Castro, consultor independiente especializado en cumplimiento normativo y seguridad de la información. Acompaño a empresas que prestan servicios al sector público en todo el proceso que conduce a la certificación ENS: desde el diagnóstico inicial hasta el día que la entidad acreditada por ENAC emite el certificado.
Soy honesto desde el primer momento sobre lo que puedo y lo que no puedo prometer. Preparo y adecúo tu organización para la auditoría de conformidad; la certificación la emite la entidad acreditada por ENAC, nunca el consultor. Cualquiera que te prometa la certificación garantizada miente o no entiende el proceso.
Mi metodología combina el rigor del RD 311/2022 y sus Anexos I, II, III y IV, las guías CCN-STIC, la metodología MAGERIT de análisis de riesgos y un acompañamiento real, persona a persona. El objetivo no es generar papeles, sino que tu equipo salga del proceso con un sistema de seguridad que funciona y que puede sostener la conformidad en el tiempo.
El coste total de obtener la certificación ENS tiene dos componentes bien diferenciados que conviene no mezclar. Por un lado, los honorarios de consultoría para la preparación del proceso (diagnóstico, categorización, análisis de riesgos, implantación, preauditoría y acompañamiento). Por otro, los honorarios de la entidad certificadora acreditada por ENAC, que los factura el tercero directamente y son independientes de los de consultoría.
La inversión en consultoría varía según el alcance del sistema (número de sistemas, complejidad tecnológica y organizativa), la categoría resultante (básica, media o alta) y la madurez de partida. Un sistema con buenas prácticas de seguridad previas requiere menos esfuerzo de implantación que uno que parte de cero. Tampoco es lo mismo preparar una declaración de conformidad para categoría básica que acompañar una auditoría de certificación de nivel alto con varios sistemas en el perímetro.
Para más contexto sobre rangos habituales del mercado, revisa el artículo sobre proceso de certificación ENS y costes orientativos.
La certificación ENS es el documento formal que acredita que los sistemas de información de una organización cumplen los requisitos del Esquema Nacional de Seguridad (RD 311/2022). La emite una entidad de certificación de producto acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012. Sirve para demostrar ante la Administración y ante terceros que la organización gestiona la seguridad de la información con el nivel exigido, y es requisito en muchos contratos públicos. Puedes consultar el detalle en el artículo sobre proceso de certificación ENS, requisitos y costes.
La declaración de conformidad es la vía prevista para los sistemas de categoría básica: la propia organización verifica y declara el cumplimiento, sin intervención de un tercero acreditado. La certificación ENS, en cambio, es obligatoria para los sistemas de categoría media y alta, y la emite una entidad de certificación acreditada por ENAC tras una auditoría de conformidad independiente. Lo explico con más detalle en el artículo sobre la declaración de conformidad de nivel básico por autoevaluación.
La certificación por entidad acreditada por ENAC es obligatoria en los sistemas de categoría media y alta. Para los sistemas de categoría básica, la vía es la declaración de conformidad autoevaluada. La categoría se determina valorando el impacto de un incidente sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). Puedes profundizar en las categorías ENS básica, media y alta.
Solo pueden emitir la certificación ENS las entidades de certificación de producto acreditadas por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012 para el esquema ENS. Ni el propio CCN emite certificados individuales a empresas, ni los consultores pueden certificar: el consultor prepara y acompaña; la entidad acreditada audita y certifica. Puedes consultar quiénes son en la página sobre cómo consultar el listado de empresas certificadas en el ENS.
El plazo depende del alcance del sistema, la categoría y la madurez de partida. En general, la preparación completa (diagnóstico, análisis de riesgos, implantación de medidas y preauditoría) puede llevar varios meses; a ese tiempo hay que añadir la disponibilidad de la entidad certificadora. Una organización que parte de cero y afronta una categoría alta tarda significativamente más que una que ya tiene controles implantados y afronta categoría media. Revisa el detalle de plazos en el artículo sobre el proceso de certificación ENS.
La certificación ENS tiene una validez de dos años. Transcurrido ese plazo, la organización debe someterse a una nueva auditoría de conformidad por la entidad acreditada para renovar el certificado. Por eso es importante establecer desde el principio un plan de seguimiento que mantenga el nivel de conformidad durante la vigencia del certificado y permita afrontar la renovación sin prisas.
Si el pliego del contrato exige la conformidad con el ENS como requisito de solvencia o como obligación contractual, la empresa que no la acredita queda excluida del proceso de licitación o incumple sus obligaciones contractuales. Además, el plazo general de adecuación de los sistemas preexistentes finalizó el 5 de mayo de 2024, por lo que la obligación está plenamente vigente. Licitar sin la acreditación requerida puede generar responsabilidades contractuales y administrativas.
Sí, aunque conviene definir bien el alcance de la certificación desde el inicio. La entidad acreditada certifica el sistema o conjunto de sistemas incluidos en el perímetro definido; ampliar el alcance después implica una nueva auditoría. Como consultor, parte fundamental de mi trabajo es ayudarte a definir el alcance más adecuado: suficientemente amplio para cubrir lo que exigen los pliegos, pero no más de lo necesario para no incrementar innecesariamente el coste y el esfuerzo.
Primera llamada sin coste y sin compromiso. Valoramos tu alcance, tu categoría probable y tu punto de partida. Si tiene sentido trabajar juntos, te presento una propuesta cerrada. Si no, te llevas orientación útil para avanzar.