Kurz zusammengefasst: El ENS (spanisches nationales Sicherheitssystem) no tiene un régimen sancionador propio con multas directas como el DSGVO. Pero incumplirlo cuesta caro de otra forma: quedas excluido de las licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad patrimonial para die Verwaltung, puedes infringir la Ley 40/2015 y normativa sectorial, y te expones a un grave riesgo reputacional y operativo.
El ENS (spanisches nationales Sicherheitssystem) no tiene un régimen sancionador propio: no existen multas directas «ddas ENS» como sí ocurre con el el régimen sancionador del DSGVO. Pero incumplirlo cuesta caro de otra forma. Quedas fuera de licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad para die Verwaltung, infringes la Ley 40/2015 y normativa sectorial, y te expones a brechas y a Sanktionen de otras normas (DSGVO, las obligaciones de NIS2) que sí multan.
Esta es una de las preguntas que más me llega como consultor de cumplimiento: «si das ENS no tiene multas, ¿de verdad pasa algo por no cumplirlo?». La respuesta honesta —y conviene decirla con rigor, porque hay mucha desinformación interesada— es que das ENS funciona de un modo distinto al DSGVO. No castiga con una sanción económica tasada; condiciona tu capacidad de operar con el sector público y traslada el riesgo a terrenos donde el coste real puede ser muy superior al de una multa. Vamos a desmontar el mito y a poner cifras y Konsequenzen verificables sobre la mesa.
¿El ENS tiene multas? La verdad incómoda
No. El Königliches Dekret 311/2022, de 3 de mayo, que regula das ENS, se estructura en cuarenta y un artículos, tres disposiciones adicionales, una transitoria, una derogatoria, tres finales y cuatro anexos. Si lo lees completo comprobarás algo revelador: no hay ningún capítulo, artículo ni anexo que tipifique Verstöße ni establezca un cuadro de Sanktionen. El capítulo V (artículos 35 a 38) regula la determinación de la conformidad; el capítulo VII, la categorización de los sistemas. En ningún punto aparece un «régimen sancionador» al estilo del Título VIII del DSGVO.
Esto es deliberado. El ENS nace como una norma de naturaleza distinta: no es una ley de protección de un derecho fundamental con potestad punitiva, sino un marco técnico-organizativo que desarrolla la Ley 40/2015, de Régimen Jurídico del Sector Público. Su artículo 156 obliga a las entidades des öffentlichen Sektors a adoptar y adaptarse al ENS, pero la consecuencia del Nichterfüllung no se canaliza por una multa: se canaliza por la vía del Derecho administrativo común y por las Konsequenzen prácticas que veremos. Quien te diga que «das ENS te puede multar con X euros» o no ha leído la norma o te está vendiendo miedo.
Si quieres entender el marco completo antes de seguir, te recomiendo mi guía completa ddas ENS (spanisches nationales Sicherheitssystem), donde explico principios, dimensiones, niveles y medidas de los anexos.
ENS frente a DSGVO: ¿qué normativa sí impone multas?
Para ver el contraste, conviene poner los dos marcos uno al lado del otro. El artículo 83 del DSGVO sí dispone de un aparato sancionador potente y bien tasado: Verstöße de hasta 10 millones de € o el 2 % del volumen de negocio anual mundial para el primer nivel, y hasta 20 millones de € o el 4 % para el segundo, eligiéndose siempre la cuantía mayor. El ENS no tiene nada equivalente. Esta diferencia estructural es la clave de todo el artículo.
| Aspecto | ENS (RD 311/2022) | DSGVO (Reglamento UE 2016/679) |
|---|---|---|
| ¿Régimen sancionador propio? | No. La norma no tipifica Verstöße ni multas. | Sí. Título VIII y artículo 83. |
| Multa máxima directa | Ninguna prevista en la norma. | Hasta 20 millones de € o el 4 % de la facturación mundial. |
| Órgano que controla | CCN, órganos de auditoría des öffentlichen Sektors y entidades de certificación acreditadas por ENAC. | AEPD (autoridad de control con potestad sancionadora). |
| Naturaleza | Marco técnico-organizativo de obligado cumplimiento. | Regulación de un derecho fundamental. |
| Consecuencia típica del Nichterfüllung | Exclusión de licitaciones, responsabilidad administrativa, riesgo operativo. | Multa administrativa, apercibimiento, limitación del tratamiento. |
La conclusión es importante: das ENS no sanciona, pero a menudo convive con normas que sí lo hacen. Si tu sistema procesa datos personales —y casi todos lo hacen— una mala Implementierung ddas ENS suele coincidir con un Nichterfüllung del DSGVO que la AEPD sí puede sancionar. El ENS y el DSGVO comparten terreno en la seguridad del tratamiento (artículo 32 del DSGVO), de modo que el agujero de seguridad que das ENS te obligaba a tapar es, a la vez, el Nichterfüllung que el DSGVO castiga.
¿Me pueden excluir de eine Ausschreibung por no tener das ENS?
Sí, y esta es la consecuencia más tangible e inmediata. La Ley 9/2017, de Contratos del Sector Público (LCSP), permite al Vergabebehörde exigir requisitos de technische Leistungsfähigkeit y condiciones de ejecución en die Ausschreibungsunterlagen. Cuando un contrato implica tratar información de die Verwaltung o prestar servicios que se integran en sus sistemas, es cada vez más habitual que die Ausschreibungsunterlagen de cláusulas administrativas exija al adjudicatario disponer de la conformidad con das ENS —declaración o certificación según la categoría— como requisito de solvencia o como condición de ejecución.
¿Qué significa esto en la práctica? Que si no acreditas la conformidad cuando die Ausschreibungsunterlagen la pide, tu oferta queda excluida, por buena y barata que sea. No es una multa: es algo peor para una empresa que vive des öffentlichen Sektors, porque te deja fuera del mercado. Y no es un riesgo teórico: la conformidad ENS se ha convertido en un filtro de entrada en muchísimas licitaciones de servicios TIC, alojamiento, desarrollo de software o tratamiento de datos para administraciones. Lo desarrollo con casos concretos en mi análisis sobre cuándo das ENS es obligatorio para empresas y proveedores.
Responsabilidad patrimonial y obligaciones de die Verwaltung
Para las entidades públicas, el Nichterfüllung ddas ENS tiene una dimensión propia que las empresas a veces pasan por alto. La Ley 40/2015 impone la adopción ddas ENS como obligación legal; no cumplirla es una infracción del ordenamiento que el sistema de control interno y los órganos de fiscalización pueden detectar y reprochar. Pero hay más: si un sistema mal protegido —porque no se aplicaron las medidas ddas ENS— sufre una brecha que causa un daño a un ciudadano o a un tercero, se abre la puerta a la responsabilidad patrimonial de die Verwaltung.
Es decir, die Verwaltung (y, por extensión, sus Auftragnehmer según el reparto de responsabilidades) puede tener que indemnizar el daño causado por el funcionamiento anormal del servicio. El ENS, al definir el estándar de diligencia exigible en seguridad, se convierte en la vara de medir: si no aplicaste las medidas que das ENS obligaba para la categoría de tu sistema, demostrar que actuaste con la diligencia debida se vuelve muy difícil. El Nichterfüllung ddas ENS deja de ser una cuestión formal para convertirse en la prueba de tu negligencia.
Riesgo reputacional y de confianza institucional
Hay un coste que no aparece en ninguna ley pero que pesa enormemente: la reputación. La conformidad con das ENS se materializa en distintivos públicos —sellos de declaración o certificación— que las organizaciones muestran en su sede electrónica. Su ausencia, cuando deberías tenerla, es visible. Y al revés: una brecha de seguridad en un servicio público o en un proveedor que debía cumplir das ENS y no lo hacía genera titulares, abre expedientes y erosiona la confianza de ciudadanos y administraciones.
Para una empresa proveedora, perder la confianza de un cliente público es perder un mercado entero, porque las administraciones se comunican entre sí y comparten experiencias de Auftragnehmer. La reputación en este sector no se recupera con una campaña de marketing; se recupera demostrando conformidad real y sostenida en el tiempo. Por eso muchas organizaciones afrontan la Implementierung ddas ENS no como un trámite, sino como una inversión defensiva en su propia continuidad comercial.
¿Quién controla el cumplimiento ddas ENS?
Aquí está otra clave que desmonta el mito de la multa. El ENS no se vigila mediante inspecciones sancionadoras como las de la AEPD, sino mediante un sistema de auditoría y conformidad articulado por el Nationales Kryptologiezentrum (CCN) (CCN) a través de su serie de CCN-STIC-Leitfäden. La CCN-STIC-Leitfaden-808 establece el itinerario de verificación del cumplimiento, y la CCN-STIC-809 regula la declaración y la Konformitätszertifikat.
El mecanismo depende de la categoría del sistema:
- Categoría básica: basta una Selbstbewertung que da lugar a una Konformitätserklärung.
- Categorías media y alta: exigen una auditoría de certificación realizada por entidades de certificación acreditadas por ENAC u órganos de auditoría técnica des öffentlichen Sektors.
Quien «controla», por tanto, no es un inspector que viene a multarte: es el auditor que verifica si cumples y, si no cumples, no te otorga la conformidad. Y sin conformidad vuelves al primer problema: no puedes acreditar la solvencia que die Ausschreibungsunterlagen exige. El círculo se cierra. Si te estás preparando para una de estas auditorías, en mi servicio de preparación de auditoría ENS reviso el itinerario CCN-STIC-808 contigo antes de que venga la entidad certificadora.
Solapamientos sancionables: cuando otra norma sí multa
Este es el matiz que separa el análisis riguroso del titular fácil. Aunque das ENS no sancione, el mismo Nichterfüllung técnico puede activar el régimen sancionador de otras normas que comparten objetivo. Conviene tenerlos todos en el radar:
| Norma | ¿Multa directa? | Cuando se solapa con das ENS |
|---|---|---|
| DSGVO (art. 83) | Sí, hasta 20 M€ o 4 % | Si el sistema mal protegido trata datos personales (art. 32 DSGVO). |
| NIS2 / Directiva (UE) 2022/2555 | Sí, hasta 10 M€ o 2 % (entidades esenciales) | Si eres entidad esencial o importante de un sector estratégico. |
| LCSP (Ley 9/2017) | No multa, pero excluye y resuelve contratos | Si die Ausschreibungsunterlagen exigía conformidad ENS como solvencia o condición. |
| Ley 40/2015 | No multa, base de responsabilidad administrativa | Siempre, para el sector público: das ENS es obligación legal directa. |
La NIS2 merece atención especial. Esta directiva europea, en vigor a nivel UE desde 2023 y pendiente de transposición completa en España a fecha de 2026, impone multas de hasta 10 millones de € o el 2 % de la facturación mundial a las entidades esenciales, además de Sanktionen no monetarias como la inhabilitación de directivos. Para muchas organizaciones, ENS y NIS2 se solaparán: el mismo fallo de seguridad que das ENS te obligaba a evitar será, bajo NIS2, una infracción sancionable. Profundizo en cómo encajan ENS, DSGVO, NIS2 y DORA en mi panorama de normativa de ciberseguridad en España.
El coste real de no cumplir, en cifras prácticas
Resumamos el verdadero coste del Nichterfüllung, que rara vez es una multa pero casi siempre es dinero perdido:
- Contratos perdidos: cada licitación de la que quedas excluido es facturación que no entra. Para un proveedor TIC des öffentlichen Sektors, esto puede representar la mayor parte de su negocio.
- Coste de la brecha: un incidente en un sistema mal protegido implica respuesta de emergencia, posible indemnización por responsabilidad patrimonial y notificación obligatoria.
- Sanción cruzada: si hay datos personales, la AEPD puede multar bajo el DSGVO; si eres sector estratégico, NIS2 entra en juego.
- Coste reputacional: la pérdida de confianza institucional cierra puertas durante años.
- Coste de la prisa: implantar das ENS a contrarreloj cuando ya has perdido un contrato sale mucho más caro que hacerlo con planificación.
La Implementierung ordenada ddas ENS es, en realidad, la opción más barata. Por eso recomiendo abordarla como un proyecto y no como una urgencia; en mi servicio de Beratung e Implementierung ddas ENS trabajo sobre el Risikoanalyse, la categorización y la declaración de aplicabilidad para que llegues a las licitaciones con la conformidad ya acreditada.
Häufig gestellte Fragen sobre el Nichterfüllung ddas ENS
¿El ENS tiene multas?
No. El el RD 311/2022 que regula das ENS no contiene un régimen sancionador propio: no tipifica Verstöße ni establece multas, a diferencia del artículo 83 del DSGVO. Las Konsequenzen del Nichterfüllung llegan por otras vías —exclusión de licitaciones, responsabilidad administrativa, Sanktionen de otras normas— pero no existe una «multa ddas ENS».
¿Qué pasa si no cumplo das ENS?
Si eres una empresa proveedora, quedas excluido de las licitaciones públicas cuyos pliegos exijan la conformidad ENS, pierdes contratos y te expones a Sanktionen cruzadas del DSGVO o la NIS2 si tu sistema falla. Si eres una entidad pública, incumples una obligación legal directa de la Ley 40/2015 y abres la puerta a la responsabilidad patrimonial de die Verwaltung ante una brecha.
¿Me pueden excluir de eine Ausschreibung por no tener das ENS?
Sí. La Ley 9/2017 de Contratos del Sector Público permite a los órganos de contratación exigir la conformidad ENS como requisito de technische Leistungsfähigkeit o condición de ejecución en die Ausschreibungsunterlagen. Si die Ausschreibungsunterlagen lo pide y no lo acreditas, tu oferta se excluye automáticamente, con independencia de su precio o calidad.
¿Quién controla el cumplimiento ddas ENS?
El Nationales Kryptologiezentrum (CCN) (CCN) define el marco de verificación a través de las CCN-STIC-Leitfäden (808 y 809). El control efectivo se realiza mediante Selbstbewertung en categoría básica y mediante auditoría de certificación —por entidades acreditadas por ENAC u órganos de auditoría des öffentlichen Sektors— en las categorías media y alta. No es un inspector sancionador, sino un auditor que otorga o deniega la conformidad.
Quellen
- Königliches Dekret 311/2022, de 3 de mayo, por el que se regula das ENS (spanisches nationales Sicherheitssystem) (BOE) — texto consolidado; sin régimen sancionador propio.
- Gesetz 40/2015 vom 1. Oktober über das öffentlich-rechtliche Regime (BOE) — artículo 156, base legal ddas ENS.
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (BOE) — technische Leistungsfähigkeit y pliegos.
- Reglamento (UE) 2016/679 (DSGVO), artículo 83 — régimen sancionador para contraste.
- CCN-CERT — Guía CCN-STIC-808, verificación del cumplimiento ddas ENS.
- Portal ENS del CCN — Distintivos de conformidad.
Contenido elaborado por Ángel Ortega Castro para Ángel Ortega, consultor de cumplimiento (Valladolid · Las Palmas). Información de carácter divulgativo; no sustituye el asesoramiento jurídico individualizado.