Saltar al contenido principal →
Buscar Acceso clientes
Agenda una llamada
Cumplimiento y seguridad · ENS

Consultoría ENS para empresas

Soy Ángel Ortega Castro, consultor ENS independiente. Te acompaño en la adecuación al Esquema Nacional de Seguridad (RD 311/2022) para que tu organización cumpla, gane confianza y pueda licitar y trabajar con la Administración sin frenar tu operación.

Agenda una llamada → Ver las fases del servicio
RD 311/2022
Marco vigente
3 niveles
Básica · Media · Alta
1 a 1
Acompañamiento real
Qué es el ENS y por qué cumplir

Seguridad de la información con respaldo legal.

El Esquema Nacional de Seguridad (ENS) es el marco que fija la política de seguridad obligatoria para el uso de medios electrónicos en el sector público y en quienes le prestan servicios. Su norma vigente es el Real Decreto 311/2022, que derogó al RD 3/2010 y articula su contenido en cuatro Anexos —categorización (I), medidas de seguridad (II), auditoría (III) y glosario (IV)— bajo la coordinación del Centro Criptológico Nacional (CCN).

No es un trámite estético: cumplir el ENS protege tus sistemas, te abre la puerta a la contratación pública y demuestra a tus clientes que gestionas la información con método. Estos son los cuatro motivos por los que merece la pena hacerlo bien.

Protección real

Implantas las medidas del Anexo II proporcionadas al riesgo: defensa en profundidad sobre las cinco dimensiones de seguridad (CIDAT), no controles sueltos.

Confianza demostrable

La conformidad con el ENS es una señal de credibilidad ante administraciones, ciudadanos y socios. Demuestras que tratas sus datos en serio.

Licitar con la AAPP

Cada vez más pliegos exigen conformidad con el ENS a proveedores y contratistas. Cumplir es la condición para presentarte y ganar concursos públicos.

Resiliencia y mejora continua

El ENS instala un ciclo de gestión (PDCA): análisis de riesgos, monitorización, respuesta a incidentes y auditoría periódica. Mejoras de forma sostenida.

Si quieres una visión panorámica antes de seguir, te recomiendo la guía completa del Esquema Nacional de Seguridad y el resumen rápido del ENS en 5 minutos.

Obligados

¿A quién aplica el ENS?

El ENS obliga a todo el sector público (Administración General del Estado, comunidades autónomas, entidades locales y sus organismos vinculados) y, además, a las empresas privadas que prestan servicios o soluciones al sector público por una relación contractual. Es decir, alcanza a la cadena de suministro: proveedores TIC, integradores, fabricantes de software, servicios en la nube y contratistas.

Esta extensión a los proveedores es expresa: el Real Decreto 311/2022 establece que los operadores del sector privado que presten servicios al sector público deben acreditar su conformidad con el ENS. La disposición transitoria única fijó 24 meses para adecuar los sistemas preexistentes; ese plazo finalizó el 5 de mayo de 2024. La obligación está plenamente vigente: los sistemas nuevos o con cambios significativos deben cumplir desde el primer día, y la certificación ENS se renueva cada dos años. Los pliegos ya exigen la conformidad como requisito de solvencia, y quienes no la acrediten quedan fuera de la contratación pública.

Profundizo en cada supuesto en estos artículos del blog: cuándo aplica el ENS en el sector privado, quiénes son los proveedores obligados al ENS y el detalle de la consultoría ENS para administraciones públicas y su alcance.

Base legal: Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE). Guías de aplicación del CCN (Centro Criptológico Nacional). La verificación independiente la realizan entidades acreditadas por ENAC.
Cómo trabajamos

Fases del servicio de adecuación al ENS.

El plan de adecuación ENS sigue el orden marcado por las guías CCN-STIC. No improvisamos: cada fase produce un entregable que se apoya en el anterior. Esta es la hoja de ruta completa, del diagnóstico inicial a la preparación de la auditoría.

Plan de adecuación al ENS · fases y entregables
Fase Qué hacemos Referencia y entregable
Fase 01
Diagnóstico (gap)		 Análisis diferencial entre tu situación actual y los requisitos del ENS. Definición del alcance y de los sistemas de información afectados. Informe de diagnóstico / análisis GAP con la distancia real al cumplimiento.
Fase 02
Categorización		 Valoración de los sistemas en las cinco dimensiones de seguridad (CIDAT) y asignación de la categoría: básica, media o alta. Anexo I del ENS. Determina la categoría básica, media o alta aplicable.
Fase 03
Análisis de riesgos		 Identificación de activos, amenazas y salvaguardas con metodología MAGERIT (apoyada en herramientas como PILAR). Informe de análisis de riesgos MAGERIT y tratamiento del riesgo.
Fase 04
Plan de adecuación + DdA		 Política de seguridad, selección de medidas y redacción de la Declaración de Aplicabilidad (DdA), justificando cada control aplicable. Guía CCN-STIC 806. Plan de adecuación y declaración de conformidad.
Fase 05
Implantación		 Despliegue de las medidas seleccionadas: marco organizativo, operacional y de protección. Acompañamiento a tu equipo. Implantación de las medidas del Anexo II con evidencias.
Fase 06
Auditoría / certificación		 Preparación y revisión previa. Para categoría media o alta, acompañamiento durante la auditoría de la entidad acreditada. Anexo III. Preparo la auditoría del ENS; la auditoría de conformidad la realiza un tercero.

¿Quieres saber cuánto se tarda en cada fase? Lo desgloso en los plazos de adecuación al ENS. Y si ya tienes el sistema en marcha, puedo encargarme directamente de la implantación y adecuación ENS.

Pide tu diagnóstico inicial →

Niveles de seguridad

Categorías del ENS: básica, media y alta.

La categoría de un sistema no es un "bajo/medio/alto" a ojo: se obtiene valorando el impacto de un incidente sobre las cinco dimensiones de seguridadconfidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (CIDAT)—. La dimensión con mayor nivel marca la categoría del sistema.

Categoría básica

Impacto limitado

Cuando un incidente causaría un perjuicio limitado sobre las funciones de la organización, sus activos o las personas.

  • Ninguna dimensión supera el nivel bajo
  • Conformidad por declaración autoevaluada
  • Conjunto de medidas proporcionado y asumible
Categoría media

Impacto grave

Cuando un incidente supondría un perjuicio grave: alguna dimensión alcanza el nivel medio.

  • Alguna dimensión en nivel medio
  • Conformidad mediante certificación acreditada
  • Auditoría de conformidad bienal
Categoría alta

Impacto muy grave

Cuando un incidente causaría un perjuicio muy grave, incluso irreparable: alguna dimensión llega al nivel alto.

  • Alguna dimensión en nivel alto
  • Conformidad mediante certificación acreditada
  • Auditoría de conformidad bienal

Elegir bien la categoría es clave para no sobre-invertir ni quedarte corto. Te ayudo a decidir en la guía de niveles del ENS y cómo elegir la categoría, y a entender el papel de las cinco dimensiones de seguridad (CIDAT).

Las dos vías de conformidad

Básica → declaración de conformidad

En categoría básica, la conformidad se acredita mediante una declaración de conformidad autoevaluada: la propia organización verifica el cumplimiento conforme a las guías CCN-STIC. Te preparo la documentación y las evidencias para que la declaración sea sólida.

Media / alta → certificación acreditada

En categoría media o alta, la conformidad exige certificación por una entidad acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012. Yo te preparo para superarla; la certificación la emite la entidad acreditada, nunca el consultor.

Si tu duda es qué marco necesitas, compara ENS o ISO 27001 para licitar con la Administración; y para el proceso completo de sello, revisa el proceso de certificación ENS.

Qué te llevas

Documentación lista para demostrar conformidad.

No te dejo un PDF que nadie vuelve a abrir. Te entrego el cuerpo documental y técnico que sostiene la conformidad y que el auditor (o tu cliente de la Administración) necesita ver.

  • Informe de diagnóstico / análisis GAP con la distancia real entre tu situación y los requisitos del ENS.
  • Categorización del sistema en las cinco dimensiones (CIDAT) y nivel resultante (básica, media o alta).
  • Análisis de riesgos con metodología MAGERIT y plan de tratamiento del riesgo.
  • Política de seguridad de la información y normativa de seguridad derivada.
  • Plan de adecuación (CCN-STIC 806) con responsables, plazos y prioridades.
  • Declaración de Aplicabilidad (DdA) justificando la selección de medidas del Anexo II.
  • Evidencias de implantación de las medidas organizativas, operacionales y de protección.
  • Preparación de la auditoría: revisión previa, checklist y acompañamiento durante el proceso de conformidad.
Ángel Ortega Castro, consultor ENS independiente
Por qué trabajar conmigo

Un consultor ENS que da la cara.

Soy Ángel Ortega Castro, consultor independiente especializado en cumplimiento normativo y seguridad de la información. Acompaño a administraciones, proveedores TIC y empresas que licitan con el sector público en su adecuación al Esquema Nacional de Seguridad.

Mi enfoque es de acompañamiento real, persona a persona: no te dejo un manual y desaparezco. Trabajo a tu lado en cada fase, traduzco la norma a decisiones concretas y dejo a tu equipo autónomo para mantener la conformidad cuando el proyecto termina.

Soy honesto con lo que puedo y no puedo prometer: preparo y adecúo tu organización para la conformidad; la certificación la emite una entidad acreditada por ENAC. Esa franqueza, sumada al rigor con la norma vigente (RD 311/2022, Anexos I-IV y guías CCN-STIC), es lo que me distingue de las consultoras anónimas.

Consultor ENS independiente RD 311/2022 · Anexos I-IV Guías CCN-STIC MAGERIT · análisis de riesgos Castilla y León · Canarias · España
Sectores que acompaño

Tres perfiles típicos de adecuación al ENS.

Administración local

Ayuntamientos y entidades locales.

Categoría básica habitual, declaración de conformidad autoevaluada y uso de herramientas del CCN como INES. Adecuación práctica y proporcionada al tamaño del municipio.

Proveedor TIC

Empresas que prestan servicio a la AAPP.

Proveedores de software, integradores y servicios en la nube que necesitan acreditar conformidad para cumplir los pliegos y mantener sus contratos públicos.

Empresa que licita

Compañías que quieren entrar en contratación pública.

Organizaciones privadas que preparan su conformidad con el ENS como requisito de solvencia para presentarse a concursos y ampliar su mercado hacia el sector público.

Inversión orientativa

¿Cuánto cuesta adecuarse al ENS?

No hay una cifra única, y desconfía de quien te la dé sin conocer tu caso. La inversión depende del alcance (cuántos sistemas), de la categoría (básica, media o alta), de tu madurez de partida y de si necesitas certificación acreditada o basta con declaración.

Presupuesto cerrado tras el diagnósticoSin sorpresas · adaptado a tu alcance y categoría

A esta inversión en consultoría hay que sumar, en categoría media o alta, el coste de la entidad certificadora acreditada, que es independiente de mis honorarios y lo factura el tercero que audita.

En la primera llamada valoramos tu alcance y categoría y te paso una propuesta cerrada. Sin compromiso y sin cifras infladas: orientación honesta desde el minuto uno.
Preguntas frecuentes

Dudas habituales sobre el ENS.

¿Es obligatorio el ENS para empresas privadas?

Sí, cuando prestan servicios o soluciones al sector público por una relación contractual. El RD 311/2022 extiende la obligación a la cadena de suministro; el plazo general para adecuar los sistemas preexistentes finalizó el 5 de mayo de 2024. La obligación está plenamente vigente y los pliegos la exigen como requisito de solvencia. Lo detallo en cuándo aplica el ENS en el sector privado.

¿Quién está obligado a cumplir el ENS?

Todo el sector público (Estado, comunidades autónomas, entidades locales y sus organismos) y las empresas privadas que les prestan servicios, es decir, sus proveedores y contratistas. Amplío quiénes son los proveedores obligados al ENS.

¿Cuál es la diferencia entre categoría básica, media y alta?

Se determina por el impacto de un incidente sobre las cinco dimensiones de seguridad (CIDAT). Básica = perjuicio limitado; media = grave; alta = muy grave. La dimensión con mayor nivel marca la categoría del sistema. Te ayudo a decidir en cómo elegir entre categoría básica, media o alta.

¿Quién certifica el ENS?

En categoría media o alta, la certificación la emite una entidad acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065:2012. En categoría básica basta con una declaración de conformidad autoevaluada. Como consultor te preparo para la conformidad, pero el sello lo otorga el tercero acreditado. Más detalle en la declaración de conformidad de nivel básico.

¿Cuánto cuesta adecuarse al ENS?

Depende del alcance, la categoría y tu madurez de partida; por eso doy presupuesto cerrado tras el diagnóstico. En media y alta hay que sumar el coste de la entidad certificadora, que es independiente de la consultoría.

¿Cuánto se tarda en adecuarse al ENS?

Varía según la categoría y la madurez del sistema. Un proyecto de categoría básica suele ser más rápido que uno de alta con varios sistemas y certificación. Reviso los tiempos por fase en los plazos de adecuación al ENS.

¿Cada cuánto se audita el ENS?

En categoría media y alta, la auditoría de conformidad es bienal (al menos cada dos años) y la realiza una entidad acreditada. En básica, la verificación se asocia a la declaración de conformidad. Lo explico en cada cuánto se hace la auditoría del ENS y quién la realiza.

¿ENS o ISO 27001? ¿Necesito las dos?

El ENS es de obligado cumplimiento para el sector público y sus proveedores; ISO 27001 es una certificación internacional voluntaria. Son compatibles y comparten muchos controles, de modo que el trabajo se aprovecha. Comparo ambos marcos en ENS o ISO 27001 para licitar con la Administración.

Sigue leyendo

Guías del clúster ENS.

Guía pilarEsquema Nacional de Seguridad: guía completa NormativaReal Decreto 311/2022: resumen del ENS vigente Anexo IILas medidas de seguridad del Anexo II del ENS RiesgosAnálisis de riesgos MAGERIT para el ENS CPSTICCatálogo CPSTIC del CCN: productos cualificados ENS Hub ENSGuía completa del ENS · hub de servicios ServicioAuditoría ENS: auditoría interna y preparación ServicioCertificación ENS: acompañamiento en el proceso
Siguiente paso

¿Hablamos de tu adecuación al ENS?

Primera llamada sin coste y sin compromiso. Valoramos tu alcance y categoría, y si encajamos te paso una propuesta cerrada. Si no, te llevas un diagnóstico inicial útil para empezar a cumplir el ENS.

Agenda una llamada → Ver todos los servicios de cumplimiento