Saltar al contenido principal →
Buscar Acceso clientes
Cumplimiento · ENS

ENS con criterio jurídico-técnico.

Consultoria independiente de marketing, cumplimiento normativo (ISO, ENS, RGPD), digitalizacion y ventas B2B desde Aranda de Duero (Castilla y Leon) para toda Espana.

RGPD, NIS2, DORA, análisis de riesgos MAGERIT, plan director de seguridad, gestión de incidentes y delegado de protección de datos. Para empresas privadas, AAPP y proveedores de servicios esenciales.

Cumplimiento normativo sin papeleo inútil.

La normativa española y europea en ciberseguridad ha crecido enormemente: RGPD (2018), LOPDGDD (2018), Esquema Nacional de Seguridad (2010 + actualización 2022), NIS2 (transposición 2024-25), DORA (2025). Cada una con su ámbito subjetivo y sus exigencias específicas.

Mi trabajo: ayudarte a saber qué te aplica realmente, en qué orden afrontar el cumplimiento, qué controles son críticos y cuáles son cosméticos, y cómo demostrarlo cuando toque auditoría.

Resumen ejecutivo · TL;DR

El Esquema Nacional de Seguridad (ENS), regulado por el RD 311/2022, es obligatorio desde mayo 2024 para todo organismo público español y para todo proveedor de servicios al sector público. Tres categorías según impacto del servicio: Básica, Media, Alta. Para una pyme proveedora TIC, ENS Bajo es la categoría más habitual y cuesta 6.000-15.000 € de consultoría + 2.500-4.500 € de certificación por entidad acreditada CCN-CERT. ISO 27001 implantada cubre ~75 % de los requisitos ENS, por lo que combinarlas ahorra horas y dinero.

Preguntas frecuentes en profundidad

¿Qué empresas están obligadas a cumplir el ENS?

Todo organismo público español (administraciones, organismos autónomos, entidades del sector público). También, todo proveedor de servicios TIC al sector público: empresas que prestan servicios de gestión documental, alojamiento de datos, desarrollo de software, mantenimiento, plataformas, ciberseguridad, etc. Desde mayo 2024 sin certificación ENS no se puede firmar contrato con AAPP que trate información del sector público.

¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?

Se determina según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: impacto bajo en todas (la mayoría de servicios TIC genéricos para AAPP). Medio: impacto medio en al menos una dimensión (servicios sanitarios, tributarios, judiciales). Alto: defensa, infraestructuras críticas. El 80 % de pymes proveedoras AAPP cumple con ENS Bajo.

¿Cuánto cuesta certificarse en ENS Bajo?

Para pyme 10-30 empleados con ISO 27001 ya implantada: 4.000-7.000 € consultoría adicional + 2.500-4.000 € certificación por entidad acreditada CCN-CERT + 1.500-3.000 €/año mantenimiento. Para pyme sin ISO 27001 previa: 8.000-15.000 € consultoría completa. Las entidades CCN-CERT acreditadas en 2026 incluyen AENOR, Eqa Certificación, IT-Security, entre otras.

¿Cómo es el proceso de certificación ENS paso a paso?

Cinco fases. (1) Análisis de riesgos MAGERIT identificando activos, amenazas y vulnerabilidades. (2) Definición de la categoría aplicable y mapeo de controles obligatorios según Anexo II del RD 311/2022. (3) Implantación de controles técnicos y organizativos (políticas, procedimientos, registros, formación). (4) Auditoría interna y declaración de aplicabilidad. (5) Auditoría externa de tercera parte por entidad acreditada CCN-CERT y emisión del certificado.

¿Qué pasa si pierdo la certificación ENS durante un contrato?

Suspensión inmediata del contrato y posible reclamación de daños por la Administración. Las entidades certificadoras avisan con 60 días de antelación antes de la caducidad; en pyme conviene programar la renovación 90 días antes. El certificado ENS Bajo se reevalúa cada 2 años; ENS Medio y Alto cada año.

FAQ rápidas

Lo que más nos preguntan

¿Qué empresas están obligadas a cumplir el ENS?

Todo organismo público español (administraciones, organismos autónomos, entidades del sector público). También, todo proveedor de servicios TIC al sector público: empresas que prestan servicios de gestión documental, alojamiento de datos, desarrollo de software, mantenimiento, pl

¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?

Se determina según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: impacto bajo en todas (la mayoría de servicios TIC genéricos para AAPP). Medio: impacto medio en al menos una di

¿Cuánto cuesta certificarse en ENS Bajo?

Para pyme 10-30 empleados con ISO 27001 ya implantada: 4.000-7.000 € consultoría adicional + 2.500-4.000 € certificación por entidad acreditada CCN-CERT + 1.500-3.000 €/año mantenimiento. Para pyme sin ISO 27001 previa: 8.000-15.000 € consultoría completa. Las entidades CCN-CERT

¿Cómo es el proceso de certificación ENS paso a paso?

Cinco fases. (1) Análisis de riesgos MAGERIT identificando activos, amenazas y vulnerabilidades. (2) Definición de la categoría aplicable y mapeo de controles obligatorios según Anexo II del RD 311/2022. (3) Implantación de controles técnicos y organizativos (políticas, procedimi

¿Qué pasa si pierdo la certificación ENS durante un contrato?

Suspensión inmediata del contrato y posible reclamación de daños por la Administración. Las entidades certificadoras avisan con 60 días de antelación antes de la caducidad; en pyme conviene programar la renovación 90 días antes. El certificado ENS Bajo se reevalúa cada 2 años; EN

Fuentes oficiales

¿Tu empresa necesita ayuda con cumplimiento?

Agendar sesión sin coste →
Continúa leyendo

Artículos sobre ENS

ENS

ENS o ISO 27001 para licitar con la Administración

En breve: Para licitar o contratar con el sector público español lo que te exigen es el Esquema Nacional de Seguridad (ENS),…

17 Jun 2026
ENS

ENS para proveedores: ¿me obliga la Administración?

En breve: Si prestas servicios o provees soluciones a la Administración, el Esquema Nacional de Seguridad (ENS) puede aparecer en el pliego…

17 Jun 2026
ENS

Real Decreto 311/2022: resumen del ENS vigente

El Real Decreto 311/2022 derogó el anterior ENS de 2010 y cambió reglas que muchas organizaciones todavía aplican según la versión antigua…

17 Jun 2026
ENS

ENS: resumen rápido, qué es en 5 minutos

El Esquema Nacional de Seguridad (ENS) es el marco legal, regulado por el Real Decreto 311/2022, de 3 de mayo, que fija…

17 Jun 2026
ENS

ENS en el sector privado: ¿cuándo aplica a tu empresa?

En breve: El ENS no es exclusivo de la Administración: desde el Real Decreto 311/2022 alcanza también al sector privado cuando una…

17 Jun 2026
ENS

ENS y RGPD: cómo encajan y dónde se solapan

En breve: El ENS y el RGPD son normas distintas que se encuentran en las medidas de seguridad. El ENS protege los…

17 Jun 2026
ENS

Auditoría del ENS: cada cuánto se hace y quién la realiza

¿Cada cuánto se audita el ENS y quién la realiza? El Esquema Nacional de Seguridad obliga a una auditoría regular ordinaria al…

17 Jun 2026
ENS

Declaración de conformidad ENS básico: cómo autoevaluarte

¿Qué es la declaración de conformidad del ENS y cuándo basta con autoevaluarse? En el el ENS hay dos vías para acreditar…

17 Jun 2026
ENS

¿Qué pasa si no cumples el ENS? Consecuencias reales

En breve: El Esquema Nacional de Seguridad (ENS) no tiene un régimen sancionador propio con multas directas como el RGPD. Pero incumplirlo…

17 Jun 2026
ENS

Plazos de adecuación al ENS: cuánto tarda y cómo planificar

No existe un número mágico de meses idéntico para todos. La adecuación al Esquema Nacional de Seguridad (ENS) es un proyecto con…

17 Jun 2026
ENS

ENS y administración electrónica: por qué van de la mano

La administración electrónica y el Esquema Nacional de Seguridad (ENS) van de la mano porque una no puede existir sin el otro:…

17 Jun 2026
ENS

Roles del ENS: responsable de seguridad, sistema y servicio

El Esquema Nacional de Seguridad define cuatro roles diferenciados: el responsable de la información, el responsable del servicio, el responsable de la…

17 Jun 2026