ENS con criterio jurídico-técnico.
Consultoria independiente de marketing, cumplimiento normativo (ISO, ENS, RGPD), digitalizacion y ventas B2B desde Aranda de Duero (Castilla y Leon) para toda Espana.
RGPD, NIS2, DORA, análisis de riesgos MAGERIT, plan director de seguridad, gestión de incidentes y delegado de protección de datos. Para empresas privadas, AAPP y proveedores de servicios esenciales.
Cumplimiento normativo sin papeleo inútil.
La normativa española y europea en ciberseguridad ha crecido enormemente: RGPD (2018), LOPDGDD (2018), Esquema Nacional de Seguridad (2010 + actualización 2022), NIS2 (transposición 2024-25), DORA (2025). Cada una con su ámbito subjetivo y sus exigencias específicas.
Mi trabajo: ayudarte a saber qué te aplica realmente, en qué orden afrontar el cumplimiento, qué controles son críticos y cuáles son cosméticos, y cómo demostrarlo cuando toque auditoría.
Artículos publicados sobre ciberseguridad.
Esquema Nacional de Seguridad · Guía completa
Análisis riesgos MAGERIT · ENS
Auditoría ENS · Preparación
Certificación ENS · Proceso, requisitos, costes
Catálogo CPSTIC del CCN · Productos cualificados
Concienciación ciberseguridad ENS
Consultoría ENS · Implantación
73 controles del ENS · Tres marcos
ENS para ayuntamientos
ENS categorías · Básica, media, alta
¿Quién debe cumplir el ENS?
ENS vs ISO 27001 · Diferencias
Gestión incidentes · Protocolo CCN-CERT
Plan continuidad negocio · BCP en ENS
Política seguridad · ISO 27001 y ENS
Resumen ejecutivo · TL;DR
El Esquema Nacional de Seguridad (ENS), regulado por el RD 311/2022, es obligatorio desde mayo 2024 para todo organismo público español y para todo proveedor de servicios al sector público. Tres categorías según impacto del servicio: Básica, Media, Alta. Para una pyme proveedora TIC, ENS Bajo es la categoría más habitual y cuesta 6.000-15.000 € de consultoría + 2.500-4.500 € de certificación por entidad acreditada CCN-CERT. ISO 27001 implantada cubre ~75 % de los requisitos ENS, por lo que combinarlas ahorra horas y dinero.
Preguntas frecuentes en profundidad
¿Qué empresas están obligadas a cumplir el ENS?
Todo organismo público español (administraciones, organismos autónomos, entidades del sector público). También, todo proveedor de servicios TIC al sector público: empresas que prestan servicios de gestión documental, alojamiento de datos, desarrollo de software, mantenimiento, plataformas, ciberseguridad, etc. Desde mayo 2024 sin certificación ENS no se puede firmar contrato con AAPP que trate información del sector público.
¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?
Se determina según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: impacto bajo en todas (la mayoría de servicios TIC genéricos para AAPP). Medio: impacto medio en al menos una dimensión (servicios sanitarios, tributarios, judiciales). Alto: defensa, infraestructuras críticas. El 80 % de pymes proveedoras AAPP cumple con ENS Bajo.
¿Cuánto cuesta certificarse en ENS Bajo?
Para pyme 10-30 empleados con ISO 27001 ya implantada: 4.000-7.000 € consultoría adicional + 2.500-4.000 € certificación por entidad acreditada CCN-CERT + 1.500-3.000 €/año mantenimiento. Para pyme sin ISO 27001 previa: 8.000-15.000 € consultoría completa. Las entidades CCN-CERT acreditadas en 2026 incluyen AENOR, Eqa Certificación, IT-Security, entre otras.
¿Cómo es el proceso de certificación ENS paso a paso?
Cinco fases. (1) Análisis de riesgos MAGERIT identificando activos, amenazas y vulnerabilidades. (2) Definición de la categoría aplicable y mapeo de controles obligatorios según Anexo II del RD 311/2022. (3) Implantación de controles técnicos y organizativos (políticas, procedimientos, registros, formación). (4) Auditoría interna y declaración de aplicabilidad. (5) Auditoría externa de tercera parte por entidad acreditada CCN-CERT y emisión del certificado.
¿Qué pasa si pierdo la certificación ENS durante un contrato?
Suspensión inmediata del contrato y posible reclamación de daños por la Administración. Las entidades certificadoras avisan con 60 días de antelación antes de la caducidad; en pyme conviene programar la renovación 90 días antes. El certificado ENS Bajo se reevalúa cada 2 años; ENS Medio y Alto cada año.
FAQ rápidas
Lo que más nos preguntan
¿Qué empresas están obligadas a cumplir el ENS?
Todo organismo público español (administraciones, organismos autónomos, entidades del sector público). También, todo proveedor de servicios TIC al sector público: empresas que prestan servicios de gestión documental, alojamiento de datos, desarrollo de software, mantenimiento, pl
¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?
Se determina según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: impacto bajo en todas (la mayoría de servicios TIC genéricos para AAPP). Medio: impacto medio en al menos una di
¿Cuánto cuesta certificarse en ENS Bajo?
Para pyme 10-30 empleados con ISO 27001 ya implantada: 4.000-7.000 € consultoría adicional + 2.500-4.000 € certificación por entidad acreditada CCN-CERT + 1.500-3.000 €/año mantenimiento. Para pyme sin ISO 27001 previa: 8.000-15.000 € consultoría completa. Las entidades CCN-CERT
¿Cómo es el proceso de certificación ENS paso a paso?
Cinco fases. (1) Análisis de riesgos MAGERIT identificando activos, amenazas y vulnerabilidades. (2) Definición de la categoría aplicable y mapeo de controles obligatorios según Anexo II del RD 311/2022. (3) Implantación de controles técnicos y organizativos (políticas, procedimi
¿Qué pasa si pierdo la certificación ENS durante un contrato?
Suspensión inmediata del contrato y posible reclamación de daños por la Administración. Las entidades certificadoras avisan con 60 días de antelación antes de la caducidad; en pyme conviene programar la renovación 90 días antes. El certificado ENS Bajo se reevalúa cada 2 años; EN
¿Tu empresa necesita ayuda con cumplimiento?
Agendar sesión sin coste →Artículos sobre ENS
ENS o ISO 27001 para licitar con la Administración
En breve: Para licitar o contratar con el sector público español lo que te exigen es el Esquema Nacional de Seguridad (ENS),…
ENSENS para proveedores: ¿me obliga la Administración?
En breve: Si prestas servicios o provees soluciones a la Administración, el Esquema Nacional de Seguridad (ENS) puede aparecer en el pliego…
ENSReal Decreto 311/2022: resumen del ENS vigente
El Real Decreto 311/2022 derogó el anterior ENS de 2010 y cambió reglas que muchas organizaciones todavía aplican según la versión antigua…
ENSENS: resumen rápido, qué es en 5 minutos
El Esquema Nacional de Seguridad (ENS) es el marco legal, regulado por el Real Decreto 311/2022, de 3 de mayo, que fija…
ENSENS en el sector privado: ¿cuándo aplica a tu empresa?
En breve: El ENS no es exclusivo de la Administración: desde el Real Decreto 311/2022 alcanza también al sector privado cuando una…
ENSENS y RGPD: cómo encajan y dónde se solapan
En breve: El ENS y el RGPD son normas distintas que se encuentran en las medidas de seguridad. El ENS protege los…
ENSAuditoría del ENS: cada cuánto se hace y quién la realiza
¿Cada cuánto se audita el ENS y quién la realiza? El Esquema Nacional de Seguridad obliga a una auditoría regular ordinaria al…
ENSDeclaración de conformidad ENS básico: cómo autoevaluarte
¿Qué es la declaración de conformidad del ENS y cuándo basta con autoevaluarse? En el el ENS hay dos vías para acreditar…
ENS¿Qué pasa si no cumples el ENS? Consecuencias reales
En breve: El Esquema Nacional de Seguridad (ENS) no tiene un régimen sancionador propio con multas directas como el RGPD. Pero incumplirlo…
ENSPlazos de adecuación al ENS: cuánto tarda y cómo planificar
No existe un número mágico de meses idéntico para todos. La adecuación al Esquema Nacional de Seguridad (ENS) es un proyecto con…
ENSENS y administración electrónica: por qué van de la mano
La administración electrónica y el Esquema Nacional de Seguridad (ENS) van de la mano porque una no puede existir sin el otro:…
ENSRoles del ENS: responsable de seguridad, sistema y servicio
El Esquema Nacional de Seguridad define cuatro roles diferenciados: el responsable de la información, el responsable del servicio, el responsable de la…