In brief: El ENS (Spanish National Security Framework) no tiene un régimen sancionador propio con multas directas como el GDPR. Pero incumplirlo cuesta caro de otra forma: quedas excluido de las licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad patrimonial para the Administration, puedes infringir la Ley 40/2015 y normativa sectorial, y te expones a un grave riesgo reputacional y operativo.
El ENS (Spanish National Security Framework) no tiene un régimen sancionador propio: no existen multas directas «del ENS» como sí ocurre con el el régimen sancionador del GDPR. Pero incumplirlo cuesta caro de otra forma. Quedas fuera de licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad para the Administration, infringes la Ley 40/2015 y normativa sectorial, y te expones a brechas y a sanctions de otras normas (GDPR, las obligaciones de NIS2) que sí multan.
Esta es una de las preguntas que más me llega como consultor de cumplimiento: «si el ENS no tiene multas, ¿de verdad pasa algo por no cumplirlo?». La respuesta honesta —y conviene decirla con rigor, porque hay mucha desinformación interesada— es que el ENS funciona de un modo distinto al GDPR. No castiga con una sanción económica tasada; condiciona tu capacidad de operar con the public sector y traslada el riesgo a terrenos donde el coste real puede ser muy superior al de una multa. Vamos a desmontar el mito y a poner cifras y consequences verificables sobre la mesa.
¿El ENS tiene multas? La verdad incómoda
No. El Royal Decree 311/2022, de 3 de mayo, que regula el ENS, se estructura en cuarenta y un artículos, tres disposiciones adicionales, una transitoria, una derogatoria, tres finales y cuatro anexos. Si lo lees completo comprobarás algo revelador: no hay ningún capítulo, artículo ni anexo que tipifique infringements ni establezca un cuadro de sanctions. El capítulo V (artículos 35 a 38) regula la determinación de la conformidad; el capítulo VII, la categorización de los sistemas. En ningún punto aparece un «régimen sancionador» al estilo del Título VIII del GDPR.
Esto es deliberado. El ENS nace como una norma de naturaleza distinta: no es una ley de protección de un derecho fundamental con potestad punitiva, sino un marco técnico-organizativo que desarrolla la Ley 40/2015, de Régimen Jurídico del Sector Público. Su artículo 156 obliga a las entidades dthe public sector a adoptar y adaptarse al ENS, pero la consecuencia del non-compliance no se canaliza por una multa: se canaliza por la vía del Derecho administrativo común y por las consequences prácticas que veremos. Quien te diga que «el ENS te puede multar con X euros» o no ha leído la norma o te está vendiendo miedo.
Si quieres entender el marco completo antes de seguir, te recomiendo mi guía completa del ENS (Spanish National Security Framework), donde explico principios, dimensiones, niveles y medidas de los anexos.
ENS frente a GDPR: ¿qué normativa sí impone multas?
Para ver el contraste, conviene poner los dos marcos uno al lado del otro. El artículo 83 del GDPR sí dispone de un aparato sancionador potente y bien tasado: infringements de hasta 10 millones de € o el 2 % del volumen de negocio anual mundial para el primer nivel, y hasta 20 millones de € o el 4 % para el segundo, eligiéndose siempre la cuantía mayor. El ENS no tiene nada equivalente. Esta diferencia estructural es la clave de todo el artículo.
| Aspecto | ENS (RD 311/2022) | GDPR (Reglamento UE 2016/679) |
|---|---|---|
| ¿Régimen sancionador propio? | No. La norma no tipifica infringements ni multas. | Sí. Título VIII y artículo 83. |
| Multa máxima directa | Ninguna prevista en la norma. | Hasta 20 millones de € o el 4 % de la facturación mundial. |
| Órgano que controla | CCN, órganos de auditoría dthe public sector y ENAC-accredited certification bodies. | AEPD (autoridad de control con potestad sancionadora). |
| Naturaleza | Marco técnico-organizativo de obligado cumplimiento. | Regulación de un derecho fundamental. |
| Consecuencia típica del non-compliance | Exclusión de licitaciones, responsabilidad administrativa, riesgo operativo. | Multa administrativa, apercibimiento, limitación del tratamiento. |
La conclusión es importante: el ENS no sanciona, pero a menudo convive con normas que sí lo hacen. Si tu sistema procesa datos personales —y casi todos lo hacen— una mala ENS implementation suele coincidir con un non-compliance del GDPR que la AEPD sí puede sancionar. El ENS y el GDPR comparten terreno en la seguridad del tratamiento (artículo 32 del GDPR), de modo que el agujero de seguridad que el ENS te obligaba a tapar es, a la vez, el non-compliance que el GDPR castiga.
¿Me pueden excluir de a public tender por no tener el ENS?
Sí, y esta es la consecuencia más tangible e inmediata. La Ley 9/2017, de Contratos del Sector Público (LCSP), permite al contracting authority exigir requisitos de technical capacity y condiciones de ejecución en the tender documents. Cuando un contrato implica tratar información de the Administration o prestar servicios que se integran en sus sistemas, es cada vez más habitual que the tender document de cláusulas administrativas exija al adjudicatario disponer de la conformidad con el ENS —declaración o certificación según la categoría— como requisito de solvencia o como condición de ejecución.
¿Qué significa esto en la práctica? Que si no acreditas la conformidad cuando the tender document la pide, tu oferta queda excluida, por buena y barata que sea. No es una multa: es algo peor para una empresa que vive dthe public sector, porque te deja fuera del mercado. Y no es un riesgo teórico: la conformidad ENS se ha convertido en un filtro de entrada en muchísimas licitaciones de servicios TIC, alojamiento, desarrollo de software o tratamiento de datos para administraciones. Lo desarrollo con casos concretos en mi análisis sobre cuándo el ENS es obligatorio para empresas y proveedores.
Responsabilidad patrimonial y obligaciones de the Administration
Para las entidades públicas, el non-compliance del ENS tiene una dimensión propia que las empresas a veces pasan por alto. La Ley 40/2015 impone la adopción del ENS como obligación legal; no cumplirla es una infracción del ordenamiento que el sistema de control interno y los órganos de fiscalización pueden detectar y reprochar. Pero hay más: si un sistema mal protegido —porque no se aplicaron las medidas del ENS— sufre una brecha que causa un daño a un ciudadano o a un tercero, se abre la puerta a la responsabilidad patrimonial de the Administration.
Es decir, the Administration (y, por extensión, sus contractors según el reparto de responsabilidades) puede tener que indemnizar el daño causado por el funcionamiento anormal del servicio. El ENS, al definir el estándar de diligencia exigible en seguridad, se convierte en la vara de medir: si no aplicaste las medidas que el ENS obligaba para la categoría de tu sistema, demostrar que actuaste con la diligencia debida se vuelve muy difícil. El non-compliance del ENS deja de ser una cuestión formal para convertirse en la prueba de tu negligencia.
Riesgo reputacional y de confianza institucional
Hay un coste que no aparece en ninguna ley pero que pesa enormemente: la reputación. La conformidad con el ENS se materializa en distintivos públicos —sellos de declaración o certificación— que las organizaciones muestran en su sede electrónica. Su ausencia, cuando deberías tenerla, es visible. Y al revés: una brecha de seguridad en un servicio público o en un proveedor que debía cumplir el ENS y no lo hacía genera titulares, abre expedientes y erosiona la confianza de ciudadanos y administraciones.
Para una empresa proveedora, perder la confianza de un cliente público es perder un mercado entero, porque las administraciones se comunican entre sí y comparten experiencias de contractors. La reputación en este sector no se recupera con una campaña de marketing; se recupera demostrando conformidad real y sostenida en el tiempo. Por eso muchas organizaciones afrontan la ENS implementation no como un trámite, sino como una inversión defensiva en su propia continuidad comercial.
¿Quién controla el cumplimiento del ENS?
Aquí está otra clave que desmonta el mito de la multa. El ENS no se vigila mediante inspecciones sancionadoras como las de la AEPD, sino mediante un sistema de auditoría y conformidad articulado por el National Cryptologic Centre (CCN) (CCN) a través de su serie de CCN-STIC guides. La CCN-STIC guide-808 establece el itinerario de verificación del cumplimiento, y la CCN-STIC-809 regula la declaración y la certificate of conformity.
El mecanismo depende de la categoría del sistema:
- Categoría básica: basta una self-assessment que da lugar a una declaration of conformity.
- Categorías media y alta: exigen una auditoría de certificación realizada por ENAC-accredited certification bodies u órganos de auditoría técnica dthe public sector.
Quien «controla», por tanto, no es un inspector que viene a multarte: es el auditor que verifica si cumples y, si no cumples, no te otorga la conformidad. Y sin conformidad vuelves al primer problema: no puedes acreditar la solvencia que the tender document exige. El círculo se cierra. Si te estás preparando para una de estas auditorías, en mi servicio de preparación de auditoría ENS reviso el itinerario CCN-STIC-808 contigo antes de que venga la entidad certificadora.
Solapamientos sancionables: cuando otra norma sí multa
Este es el matiz que separa el análisis riguroso del titular fácil. Aunque el ENS no sancione, el mismo non-compliance técnico puede activar el régimen sancionador de otras normas que comparten objetivo. Conviene tenerlos todos en el radar:
| Norma | ¿Multa directa? | Cuando se solapa con el ENS |
|---|---|---|
| GDPR (art. 83) | Sí, hasta 20 M€ o 4 % | Si el sistema mal protegido trata datos personales (art. 32 GDPR). |
| NIS2 / Directiva (UE) 2022/2555 | Sí, hasta 10 M€ o 2 % (entidades esenciales) | Si eres entidad esencial o importante de un sector estratégico. |
| LCSP (Ley 9/2017) | No multa, pero excluye y resuelve contratos | Si the tender document exigía conformidad ENS como solvencia o condición. |
| Ley 40/2015 | No multa, base de responsabilidad administrativa | Siempre, para the public sector: el ENS es obligación legal directa. |
La NIS2 merece atención especial. Esta directiva europea, en vigor a nivel UE desde 2023 y pendiente de transposición completa en España a fecha de 2026, impone multas de hasta 10 millones de € o el 2 % de la facturación mundial a las entidades esenciales, además de sanctions no monetarias como la inhabilitación de directivos. Para muchas organizaciones, ENS y NIS2 se solaparán: el mismo fallo de seguridad que el ENS te obligaba a evitar será, bajo NIS2, una infracción sancionable. Profundizo en cómo encajan ENS, GDPR, NIS2 y DORA en mi panorama de normativa de ciberseguridad en España.
El coste real de no cumplir, en cifras prácticas
Resumamos el verdadero coste del non-compliance, que rara vez es una multa pero casi siempre es dinero perdido:
- Contratos perdidos: cada licitación de la que quedas excluido es facturación que no entra. Para un proveedor TIC dthe public sector, esto puede representar la mayor parte de su negocio.
- Coste de la brecha: un incidente en un sistema mal protegido implica respuesta de emergencia, posible indemnización por responsabilidad patrimonial y notificación obligatoria.
- Sanción cruzada: si hay datos personales, la AEPD puede multar bajo el GDPR; si eres sector estratégico, NIS2 entra en juego.
- Coste reputacional: la pérdida de confianza institucional cierra puertas durante años.
- Coste de la prisa: implantar el ENS a contrarreloj cuando ya has perdido un contrato sale mucho más caro que hacerlo con planificación.
La implementation ordenada del ENS es, en realidad, la opción más barata. Por eso recomiendo abordarla como un proyecto y no como una urgencia; en mi servicio de consultancy e ENS implementation trabajo sobre el risk assessment, la categorización y la declaración de aplicabilidad para que llegues a las licitaciones con la conformidad ya acreditada.
Frequently asked questions sobre el non-compliance del ENS
¿El ENS tiene multas?
No. El el RD 311/2022 que regula el ENS no contiene un régimen sancionador propio: no tipifica infringements ni establece multas, a diferencia del artículo 83 del GDPR. Las consequences del non-compliance llegan por otras vías —exclusión de licitaciones, responsabilidad administrativa, sanctions de otras normas— pero no existe una «multa del ENS».
¿Qué pasa si no cumplo el ENS?
Si eres una empresa proveedora, quedas excluido de las licitaciones públicas cuyos pliegos exijan la conformidad ENS, pierdes contratos y te expones a sanctions cruzadas del GDPR o la NIS2 si tu sistema falla. Si eres una entidad pública, incumples una obligación legal directa de la Ley 40/2015 y abres la puerta a la responsabilidad patrimonial de the Administration ante una brecha.
¿Me pueden excluir de a public tender por no tener el ENS?
Sí. La Ley 9/2017 de Contratos del Sector Público permite a los órganos de contratación exigir la conformidad ENS como requisito de technical capacity o condición de ejecución en the tender documents. Si the tender document lo pide y no lo acreditas, tu oferta se excluye automáticamente, con independencia de su precio o calidad.
¿Quién controla el cumplimiento del ENS?
El National Cryptologic Centre (CCN) (CCN) define el marco de verificación a través de las CCN-STIC guides (808 y 809). El control efectivo se realiza mediante self-assessment en categoría básica y mediante auditoría de certificación —por entidades acreditadas por ENAC u órganos de auditoría dthe public sector— en las categorías media y alta. No es un inspector sancionador, sino un auditor que otorga o deniega la conformidad.
Sources
- Royal Decree 311/2022, de 3 de mayo, por el que se regula el ENS (Spanish National Security Framework) (BOE) — texto consolidado; sin régimen sancionador propio.
- Law 40/2015 of 1 October on Public Sector Legal Regime (BOE) — artículo 156, base legal del ENS.
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (BOE) — technical capacity y pliegos.
- Reglamento (UE) 2016/679 (GDPR), artículo 83 — régimen sancionador para contraste.
- CCN-CERT — Guía CCN-STIC-808, verificación del cumplimiento del ENS.
- Portal ENS del CCN — Distintivos de conformidad.
Contenido elaborado por Ángel Ortega Castro para Ángel Ortega, consultor de cumplimiento (Valladolid · Las Palmas). Información de carácter divulgativo; no sustituye el asesoramiento jurídico individualizado.