ENS für Lieferanten: Wann die spanische Verwaltung es fordert.

Kurz zusammengefasst: Wenn Sie Dienstleistungen oder Lösungen für die Verwaltung, el ENS (spanisches nationales Sicherheitssystem) puede aparecer en die Ausschreibungsunterlagen como Anforderung an die Leistungsfähigkeit o condición de ejecución. No es una obligación universal des privaten Sektors: te obliga cuando el Vergabebehörde lo exige porque sus sistemas se apoyan en los tuyos. El Königliches Dekret 311/2022 fija esa exigencia para la Lieferkette pública.

Wenn Ihr Unternehmen Dienstleistungen oder Lösungen für die Verwaltung, el ENS (spanisches nationales Sicherheitssystem) puede aparecer en die Ausschreibungsunterlagen como Anforderung an die Leistungsfähigkeit o condición de ejecución. No es una obligación universal des privaten Sektors: te obliga cuando el Vergabebehörde lo exige porque sus sistemas de información se apoyan en los tuyos. Das KD 311/2022 selbst verpflichtet die Behörden, diese Anforderung in ihre Verträge aufzunehmen. La categoría (Grund-, Mittel- oder Hochstufe) la fija quien licita, según la información que vas a manejar.

Llega mucha consulta a meinen Schreibtisch que empieza igual: "Nos hemos presentado a eine Ausschreibung y en die Ausschreibungsunterlagen pone que hay que acreditar la conformidad con el ENS. No tenemos nada. ¿Estamos fuera?". La respuesta corta es que probablemente sigues dentro si actúas a tiempo, pero el ENS no se improvisa la semana antes de presentar la oferta. En este artículo me centro en el ángulo que más le importa a una empresa que quiere vender a die spanische öffentliche Verwaltung: cómo entra el ENS en die Ausschreibungsunterlagen de öffentliches Auftragswesen, qué categoría te van a exigir y cómo organizar el trabajo para llegar a la fecha límite. Si lo que buscas es el panorama general de la obligación, lo tienes desarrollado en el artículo sobre el ENS obligatorio para empresas y proveedores; aquí bajo al terreno concreto de las licitaciones.

¿El ENS obliga a las empresas privadas?

El ENS nació para die spanischen öffentlichen Verwaltungen, no para el sector privado. Su base legal está en la Gesetz 40/2015 über das öffentlich-rechtliche Regime, y su desarrollo vigente es el Königliches Dekret 311/2022, de 3 de mayo. Una empresa privada que no trabaja con ninguna entidad pública no tiene, por este motivo, ninguna obligación de cumplir el ENS.

El matiz que lo cambia todo está en el Artikel 2.3 des KD 311/2022. Ese apartado extiende la aplicación del ENS a los sistemas de información de las entidades des privaten Sektors cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades des öffentlichen Sektors para el ejercicio de sus competencias y potestades administrativas. Dicho de otro modo: el ENS no te alcanza por ser privado, te alcanza por ser proveedor de lo público. Cuando tu sistema se convierte en una pieza del sistema de información de un organismo, tu seguridad pasa a ser parte de la suya.

Conviene tener clara la diferencia entre dos preguntas que se confunden a menudo. Una es "¿estoy dentro del ámbito del ENS?", que responde el Artikel 2.3. La otra es "¿me lo van a exigir en este contrato concreto?", que responde die Ausschreibungsunterlagen de die Ausschreibung. Puedes estar potencialmente dentro del ámbito y no necesitar acreditar nada porque el servicio que prestas no toca información del organismo; o estar claramente dentro y tener que presentar una geprüftes Zertifikat. El detonante práctico, casi siempre, es la cláusula ddie Ausschreibungsunterlagen.

¿Por qué me piden el ENS en eine Ausschreibung?

Porque la propia norma se lo ordena al Vergabebehörde. El Artikel 2.3 des KD 311/2022 no se limita a definir el ámbito: también establece que die Ausschreibungsunterlagen de prescripciones administrativas o técnicas de los contratos que celebren las entidades des öffentlichen Sektors contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se apoyen los servicios prestados por los Auftragnehmer, tales como la presentación de las correspondientes Konformitätserklärungen oder -zertifikate con el ENS.

Esto significa que die Verwaltung no está siendo exigente "de más" cuando te pide el ENS: está cumpliendo su propia obligación legal. Por eso ves cada vez con más frecuencia cláusulas de ENS en contratos de desarrollo de software, alojamiento, mantenimiento de aplicaciones, plataformas SaaS, servicios cloud, gestión documental, atención al ciudadano o cualquier servicio que toque datos del organismo. Y por eso ignorarlo no es una opción: si die Ausschreibungsunterlagen lo pide y tú no lo acreditas, tu oferta se excluye, por buena que sea técnica o económicamente.

El Artikel 2.3 añade una cautela que muchas KMU pasan por alto: esa exigencia se extiende también a la Lieferkette del contratista, en la medida en que sea necesario y de acuerdo con los resultados del Risikoanalyse. Si tú subcontratas parte del servicio (por ejemplo, el hosting a un tercero), ese tercero también queda dentro del foco. No te basta con estar tú conforme: tienes que poder responder por los eslabones de los que dependes.

¿Cómo aparece el ENS en die Ausschreibungsunterlagen: PCAP o PPT?

Una öffentliche Ausschreibung se gobierna por dos documentos, ambos regulados por la Gesetz 9/2017 über öffentliche Aufträge (LCSP). El Besondere Verwaltungsklauseln (PCAP) fija las reglas del procedimiento y de la ejecución del contrato. El Technisches Leistungsverzeichnis (PPT) describe el objeto y los requisitos técnicos. El ENS puede aparecer en cualquiera de los dos, y dónde aparezca cambia su naturaleza jurídica.

En la práctica verás la exigencia del ENS materializada de tres formas distintas, que no son lo mismo a efectos de oferta:

• Como requisito de technische Leistungsfähigkeit. Die Ausschreibungsunterlagen pide acreditar la conformidad con el ENS para poder presentarse. Si no la tienes en el momento de licitar (o de adjudicar, según die Ausschreibungsunterlagen), quedas excluido. Es la versión más dura: la conformidad es una condición de entrada.
• Como besondere Ausführungsbedingung. Die Ausschreibungsunterlagen permite licitar sin tener el ENS, pero obliga a obtenerlo en un plazo determinado tras la Auftragsvergabe (por ejemplo, antes del inicio del servicio o en los primeros meses). Da margen, pero el compromiso es vinculante y su incumplimiento puede acarrear Vertragsstrafen o incluso Vertragsauflösung.
• Como criterio de Auftragsvergabe o mejora. Tener el ENS suma puntos frente a competidores que no lo tienen, aunque no sea estrictamente obligatorio. Aquí el ENS deja de ser un trámite y se convierte en ventaja competitiva.

Mi consejo cuando reviso Ausschreibungsunterlagen con un cliente es leer con lupa el apartado de solvencia y el de condiciones de ejecución antes de decidir si nos presentamos. Si el ENS figura como solvencia y no lo tenemos, hay que valorar si llegamos a tiempo o si esa licitación concreta no es para esta vuelta. Confundir "condición de ejecución" con "Anforderung an die Leistungsfähigkeit" puede costar una exclusión o un compromiso imposible de cumplir.

¿Qué categoría del ENS me exigen como proveedor?

Esta es la pregunta del millón, y la respuesta honesta es: la que decida el Vergabebehörde. No la eliges tú. El ENS define tres categorías de seguridad (Grund-, Mittel- und Hochstufe) en función del impacto que tendría un incidente sobre las fünf Sicherheitsdimensionen (Vertraulichkeit, Integrität, Nachverfolgbarkeit, Authentizität und Verfügbarkeit). El organismo valora esa información mediante su Risikoanalyse y fija en die Ausschreibungsunterlagen la categoría que te va a exigir.

Como orientación, y siempre sujeta a lo que diga die Ausschreibungsunterlagen concreto, esta es la lógica habitual:

• Grundstufe. Servicios cuyo compromiso tendría un impacto limitado para el organismo. La conformidad se acredita mediante una Konformitätserklärung, basada en una Selbstbewertung. No exige auditoría externa.
• Mittelstufe. La más frecuente en contratos de cierto peso (SaaS, alojamiento de datos, aplicaciones de gestión). Exige Konformitätszertifikat, que solo puede emitir una von ENAC akkreditierte Zertifizierungsstelle tras una auditoría.
• Hochstufe. Servicios críticos o que manejan información muy sensible. También exige geprüftes Zertifikat, con los requisitos técnicos y organizativos más estrictos.

La frontera entre declaración y certificación la marca el Artikel 38.1 des KD 311/2022: los sistemas de Grundstufe pueden acreditar su conformidad mediante una Selbstbewertung (Declaración), mientras que los de Mittelstufe o Alta necesitan obligatoriamente una auditoría para la Certificación. La guía CCN-STIC-809 del Centro Criptológico Nacional detalla los modelos de declaración, los procedimientos de certificación y los distintivos de cumplimiento. Conviene leerla antes de prometer plazos: una certificación Media no se obtiene en dos semanas. Si necesitas afinar la categoría, lo trato con detalle en mi guía sobre los niveles y categorías ddas ENS (spanisches nationales Sicherheitssystem).

Fahrplan: qué categoría te exigen y cómo llegar a tiempo

La tabla siguiente es una guía de criterio propia, construida a partir del articulado del RD 311/2022 y de la experiencia de preparar empresas para reale Ausschreibungen. No sustituye zu den Ausschreibungsunterlagen (que siempre manda), pero te ayuda a estimar por dónde van los tiros antes de leerlo a fondo: qué categoría es probable según el servicio, por qué vía se acredita la conformidad y cuánto tiempo realista necesitas.

Qué categoría del ENS te exigen según el servicio y cómo acreditarla a tiempo

Tipo de servicio / dato que manejas	Categoría probable	Vía de conformidad	Plazo orientativo desde cero
Web informativa, suministro puntual o servicio que no trata información del organismo	Básica	Konformitätserklärung (Selbstbewertung, sin auditoría externa)	2 a 4 meses
SaaS, alojamiento o aplicación de gestión con datos del organismo de impacto moderado	Media	Konformitätszertifikat por entidad acreditada ENAC (con auditoría)	4 a 8 meses
Servicio crítico, infraestructura esencial o información muy sensible / especialmente protegida	Alta	Konformitätszertifikat auditada con requisitos máximos	6 a 12 meses
Servicio en el que subcontratas hosting o partes a terceros	La que fije el organismo (Lieferkette, art. 2.3)	Tu conformidad + acreditar la del subcontratista en lo necesario	Suma el plazo del eslabón más lento

Los plazos no son caprichosos: una certificación de Mittelstufe implica un Risikoanalyse, la implantación del Anhang-II-Maßnahmen, un periodo de funcionamiento del sistema con las medidas operando y, después, la auditoría por la entidad acreditada. Cada fase tiene su tiempo, y comprimirlas suele salir caro en calidad. Por eso insisto a mis clientes en lo mismo: la conformidad con el ENS se empieza antes de que salga die Ausschreibungsunterlagen que te interesa, no cuando ya está publicado con un mes de plazo de presentación.

¿Qué pasos sigo para preparar la conformidad?

La hoja de ruta para llegar a eine Ausschreibung con el ENS en orden tiene una secuencia bastante estable, la ajustes para Básica o para Media/Alta:

• 1. Determina el alcance y la categoría. Identifica qué sistema concreto soporta el servicio que vas a ofrecer a die Verwaltung y categoriza según el impacto en las cinco dimensiones. Si ya tienes Ausschreibungsunterlagen sobre la mesa, la categoría viene dada.
• 2. Redacta la Sicherheitsrichtlinie. El Artikel 12 des KD 311/2022 exige a las entidades des privaten Sektors en el ámbito del ENS disponer de la Informationssicherheitsrichtlinie. Es el documento fundacional del que cuelga todo lo demás.
• 3. Haz el Risikoanalyse. Con una metodología reconocida (MAGERIT es la de referencia en el sector público español). De aquí salen las medidas que de verdad necesitas.
• 4. Implanta las Maßnahmen des Anhangs II. Las que correspondan a tu categoría. No es solo tecnología: hay medidas de marco organizativo, operacional y de protección.
• 5. Declara o certifica. Para Básica, una Konformitätserklärung por Selbstbewertung. Para Media o Alta, contratas la auditoría con una von ENAC akkreditierten Stelle y obtienes la Certificación.
• 6. Mantente conforme. El ENS no es una foto fija: las certificaciones se renuevan y el sistema se audita periódicamente. La conformidad es un estado que se mantiene, no un sello que se cuelga y se olvida.

Si ya tienes una ISO 27001 implantada, parte de este camino está recorrido: el Informationssicherheitsmanagementsystem y buena parte de los controles se reaprovechan. La relación entre ambos marcos la explico en la guía de ISO 27001 para la Informationssicherheit; no son lo mismo, pero se solapan lo suficiente como para que tener una facilite la otra.

¿Qué pasa si no tengo el ENS y quiero licitar?

Depende de cómo figure en die Ausschreibungsunterlagen. Si el ENS es Anforderung an die Leistungsfähigkeit y no lo acreditas en el momento exigido, tu oferta se excluye: no entras a valoración. Si es besondere Ausführungsbedingung, puedes licitar y comprometerte a obtenerlo en plazo, pero ese compromiso es vinculante; incumplirlo abre la puerta a Vertragsstrafen e incluso a la Vertragsauflösung con sus consecuencias. Y si es criterio de Auftragsvergabe, no quedas fuera por no tenerlo, pero partes en desventaja frente a quien sí lo presenta.

En ningún escenario "no tener el ENS" es neutral cuando die Ausschreibungsunterlagen lo menciona. La buena noticia es que la mayoría de empresas que pierden eine Ausschreibung por esto no es porque el ENS sea inalcanzable, sino porque llegaron tarde a enterarse de que lo necesitaban. Si trabajas con die Verwaltung o aspiras a hacerlo, lo razonable es anticiparse: revisar tu cartera de Zielausschreibungen, ver qué categoría es previsible y arrancar la conformidad con margen. Para eso está la Beratung de ENS-Implementierung, que precisamente ordena este trabajo para que el sello llegue antes que la fecha de presentación.

ENS, ISO 27001 y DSGVO: el pack um zu bieten

En muchas licitaciones el ENS no viaja solo. Es habitual que el mismo pliego pida también certificación ISO 27001 y garantías de cumplimiento del DSGVO, porque casi cualquier servicio a un organismo implica tratar datos personales. Abordarlos por separado es ineficiente: comparten Risikoanalyse, comparten controles y comparten documentación. Tiene mucho más sentido planificarlos juntos.

Para empresas que quieren posicionarse de forma estable como proveedoras de die spanische öffentliche Verwaltung he articulado una vía combinada que cubre los tres frentes a la vez; la detallo en el pack ISO 27001 + ENS + DSGVO para Ausschreibungen mit die spanische öffentliche Verwaltung. La idea es sencilla: si vas a invertir en cumplimiento para vender a lo público, que la inversión sirva para el máximo de pliegos posibles y no haya que rehacer el trabajo en cada Ausschreibung.

Trabajo este tipo de proyectos desde Digitalisierungsberater in Kastilien und León y Canarias, con empresas que licitan con Gemeinden, Provinzregierungen, Regionalministerien und autonome Körperschaften. El patrón se repite: la conformidad bien planificada deja de ser un obstáculo y pasa a ser una llave que abre Ausschreibungs a los que antes ni te podías presentar.

Häufig gestellte Fragen

¿El ENS es obligatorio para empresas privadas?

No con carácter general. Una empresa privada que no trabaja con el sector público no tiene obligación de cumplir el ENS. El Artikel 2.3 des KD 311/2022 lo extiende al sector privado solo cuando, en virtud de una relación contractual, presta servicios o provee soluciones a entidades des öffentlichen Sektors. La obligación práctica nace de la cláusula ddie Ausschreibungsunterlagen del contrato concreto.

¿Por qué me piden el ENS en eine Ausschreibung?

Porque el RD 311/2022 obliga al Vergabebehörde a incluir en sus pliegos los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas en que se apoyan los servicios contratados, incluida la presentación de declaraciones o certificaciones de conformidad. No es exceso de celo del organismo: es el cumplimiento de su propia obligación legal.

¿Qué categoría del ENS me exigen como proveedor?

La fija el Vergabebehörde en die Ausschreibungsunterlagen, según el Risikoanalyse sobre la información que vas a manejar. Como orientación: Básica para servicios de impacto limitado (se acredita por Declaración), Media para SaaS y tratamiento de datos de impacto moderado (Geprüftes Zertifikat por entidad ENAC) y Alta para servicios críticos o información muy sensible. No la eliges tú.

¿Necesito certificación o basta una declaración?

Depende de la categoría. Según el Artikel 38.1 des KD 311/2022, los sistemas de Grundstufe pueden acreditar su conformidad mediante Selbstbewertung (Konformitätserklärung), mientras que los de Mittelstufe o Alta necesitan una Konformitätszertifikat emitida por una von ENAC akkreditierten Stelle tras auditoría.

¿Qué pasa si no tengo el ENS y quiero licitar?

Depende de cómo figure en die Ausschreibungsunterlagen. Si es Anforderung an die Leistungsfähigkeit, quedas excluido si no lo acreditas. Si es besondere Ausführungsbedingung, puedes licitar comprometiéndote a obtenerlo en plazo, con Vertragsstrafen si incumples. Si es criterio de Auftragsvergabe, no quedas fuera pero pierdes puntos. En todos los casos conviene anticiparse y empezar la conformidad antes de que salga die Ausschreibungsunterlagen.

¿Mis subAuftragnehmer también tienen que cumplir el ENS?

Pueden tener que hacerlo. El Artikel 2.3 des KD 311/2022 extiende la cautela a la Lieferkette del contratista, en la medida necesaria y según el Risikoanalyse. Si subcontratas, por ejemplo, el alojamiento del servicio, ese tercero entra en el foco y debes poder responder por su conformidad en lo que afecte al contrato.

¿Cuánto tiempo tardo en estar conforme con el ENS um zu bieten?

Orientativamente, de cero: 2 a 4 meses para una Declaración de Grundstufe y 4 a 8 meses para una Certificación de Mittelstufe, porque esta última incluye Risikoanalyse, Implementierung von Maßnahmen, periodo de operación y auditoría. La Hochstufe puede llegar a 12 meses. Por eso conviene arrancar antes de que se publique die Ausschreibungsunterlagen objetivo, no después.

Quellen

• Königliches Dekret 311/2022, de 3 de mayo, por el que se regula das ENS (spanisches nationales Sicherheitssystem) (BOE, texto consolidado) — art. 2.3 (ámbito sector privado y pliegos), art. 12 (Sicherheitsrichtlinie), art. 38 (conformidad por categorías).
• Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP) — PCAP y PPT, technische Leistungsfähigkeit y condiciones especiales de ejecución.
• Gesetz 40/2015 vom 1. Oktober über das öffentlich-rechtliche Regime — base legal ddas ENS (spanisches nationales Sicherheitssystem).
• Portal ENS del Centro Criptológico Nacional (CCN) — Distintivos de conformidad — declaración vs. certificación y categorías.
• Guía CCN-STIC-809: Declaración y Konformitätszertifikat con el ENS — procedimientos y distintivos.
• ENAC — Acreditación de entidades de certificación del ENS — quién puede emitir certificaciones de conformidad Media y Alta.

Contenido elaborado por Ángel Ortega Castro para angelortegacastro.com. Información divulgativa verificada contra fuentes primarias; no sustituye el asesoramiento sobre Ausschreibungsunterlagen concreto. ¿Tienes eine Ausschreibung con cláusula ENS sobre la mesa? Nehmen Sie Kontakt auf und wir prüfen, ob Sie die Fristen einhalten können.