ENS for suppliers: when the Spanish Administration requires it.

In brief: If you provide services or solutions to the Administration, el ENS (Spanish National Security Framework) may appear in the tender document como requisito de solvencia o condición de ejecución. No es una obligación universal in the private sector: te obliga cuando el contracting authority lo exige porque sus sistemas se apoyan en los tuyos. El Real Decreto 311/2022 fija esa exigencia para la supply chain pública.

If your company provides services or solutions to the Administration, el ENS (Spanish National Security Framework) may appear in the tender document como requisito de solvencia o condición de ejecución. No es una obligación universal in the private sector: te obliga cuando el contracting authority lo exige porque sus sistemas de información se apoyan en los tuyos. Royal Decree 311/2022 itself requires the Administration to include this requirement in its contracts. La categoría (Basic, Medium or High) la fija quien licita, según la información que vas a manejar.

Llega mucha consulta a mi mesa que empieza igual: "Nos hemos presentado a a public tender y en the tender document pone que hay que acreditar la conformidad con el ENS. No tenemos nada. ¿Estamos fuera?". La respuesta corta es que probablemente sigues dentro si actúas a tiempo, pero el ENS no se improvisa la semana antes de presentar la oferta. En este artículo me centro en el ángulo que más le importa a una empresa que quiere vender a the Spanish Public Administration: cómo entra el ENS en the tender documents de public procurement, qué categoría te van a exigir y cómo organizar el trabajo para llegar a la fecha límite. Si lo que buscas es el panorama general de la obligación, lo tienes desarrollado en el artículo sobre el ENS obligatorio para empresas y proveedores; aquí bajo al terreno concreto de las licitaciones.

¿El ENS obliga a las empresas privadas?

El ENS nació para the Spanish Public Administration, no para el sector privado. Su base legal está en la Law 40/2015 on Public Sector Legal Regime, y su desarrollo vigente es el Real Decreto 311/2022, de 3 de mayo. Una empresa privada que no trabaja con ninguna entidad pública no tiene, por este motivo, ninguna obligación de cumplir el ENS.

El matiz que lo cambia todo está en el artículo 2.3 del RD 311/2022. Ese apartado extiende la aplicación del ENS a los sistemas de información de las entidades in the private sector cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades in the public sector para el ejercicio de sus competencias y potestades administrativas. Dicho de otro modo: el ENS no te alcanza por ser privado, te alcanza por ser proveedor de lo público. Cuando tu sistema se convierte en una pieza del sistema de información de un organismo, tu seguridad pasa a ser parte de la suya.

Conviene tener clara la diferencia entre dos preguntas que se confunden a menudo. Una es "¿estoy dentro del ámbito del ENS?", que responde el artículo 2.3. La otra es "¿me lo van a exigir en este contrato concreto?", que responde the tender document de la licitación. Puedes estar potencialmente dentro del ámbito y no necesitar acreditar nada porque el servicio que prestas no toca información del organismo; o estar claramente dentro y tener que presentar una audited certification. El detonante práctico, casi siempre, es la cláusula dthe tender document.

¿Por qué me piden el ENS en a public tender?

Porque la propia norma se lo ordena al contracting authority. El artículo 2.3 del RD 311/2022 no se limita a definir el ámbito: también establece que los administrative and technical specifications documents de los contratos que celebren las entidades in the public sector contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se apoyen los servicios prestados por los contractors, tales como la presentación de las correspondientes Declarations or Certificates of Conformity con el ENS.

Esto significa que the Administration no está siendo exigente "de más" cuando te pide el ENS: está cumpliendo su propia obligación legal. Por eso ves cada vez con más frecuencia cláusulas de ENS en contratos de desarrollo de software, alojamiento, mantenimiento de aplicaciones, plataformas SaaS, servicios cloud, gestión documental, atención al ciudadano o cualquier servicio que toque datos del organismo. Y por eso ignorarlo no es una opción: si the tender document lo pide y tú no lo acreditas, tu oferta se excluye, por buena que sea técnica o económicamente.

El artículo 2.3 añade una cautela que muchas SMEs pasan por alto: esa exigencia se extiende también a la supply chain del contratista, en la medida en que sea necesario y de acuerdo con los resultados del risk assessment. Si tú subcontratas parte del servicio (por ejemplo, el hosting a un tercero), ese tercero también queda dentro del foco. No te basta con estar tú conforme: tienes que poder responder por los eslabones de los que dependes.

¿Cómo aparece el ENS en the tender document: PCAP o PPT?

Una public procurement se gobierna por dos documentos, ambos regulados por la Public Sector Contracts Law 9/2017 (LCSP). El Particular Administrative Clauses Document (PCAP) fija las reglas del procedimiento y de la ejecución del contrato. El Technical Specifications Document (PPT) describe el objeto y los requisitos técnicos. El ENS may appear in cualquiera de los dos, y dónde aparezca cambia su naturaleza jurídica.

En la práctica verás la exigencia del ENS materializada de tres formas distintas, que no son lo mismo a efectos de oferta:

• Como requisito de solvencia técnica. The tender document pide acreditar la conformidad con el ENS para poder presentarse. Si no la tienes en el momento de licitar (o de adjudicar, según the tender document), quedas excluido. Es la versión más dura: la conformidad es una condición de entrada.
• Como condición especial de ejecución. The tender document permite licitar sin tener el ENS, pero obliga a obtenerlo en un plazo determinado tras la contract award (por ejemplo, antes del inicio del servicio o en los primeros meses). Da margen, pero el compromiso es vinculante y su incumplimiento puede acarrear penalidades o incluso contract termination.
• Como criterio de contract award o mejora. Tener el ENS suma puntos frente a competidores que no lo tienen, aunque no sea estrictamente obligatorio. Aquí el ENS deja de ser un trámite y se convierte en ventaja competitiva.

Mi consejo cuando reviso a tender document con un cliente es leer con lupa el apartado de solvencia y el de condiciones de ejecución antes de decidir si nos presentamos. Si el ENS figura como solvencia y no lo tenemos, hay que valorar si llegamos a tiempo o si esa licitación concreta no es para esta vuelta. Confundir "condición de ejecución" con "requisito de solvencia" puede costar una exclusión o un compromiso imposible de cumplir.

¿Qué categoría del ENS me exigen como proveedor?

Esta es la pregunta del millón, y la respuesta honesta es: la que decida el contracting authority. No la eliges tú. El ENS define three security categories (Basic, Medium and High) en función del impacto que tendría un incidente sobre las five security dimensions (confidentiality, integrity, traceability, authenticity and availability). El organismo valora esa información mediante su risk assessment y fija en the tender document la categoría que te va a exigir.

Como orientación, y siempre sujeta a lo que diga the tender document concreto, esta es la lógica habitual:

• Basic Category. Servicios cuyo compromiso tendría un impacto limitado para el organismo. La conformidad se acredita mediante una Declaration of Conformity, basada en una autoevaluación. No exige auditoría externa.
• Medium Category. La más frecuente en contratos de cierto peso (SaaS, alojamiento de datos, aplicaciones de gestión). Exige Certificate of Conformity, que solo puede emitir una entidad de certificación acreditada por ENAC tras una auditoría.
• High Category. Servicios críticos o que manejan información muy sensible. También exige audited certification, con los requisitos técnicos y organizativos más estrictos.

La frontera entre declaración y certificación la marca el artículo 38.1 del RD 311/2022: los sistemas de Basic category pueden acreditar su conformidad mediante una autoevaluación (Declaración), mientras que los de Medium category o Alta necesitan obligatoriamente una auditoría para la Certificación. La guía CCN-STIC-809 del Centro Criptológico Nacional detalla los modelos de declaración, los procedimientos de certificación y los distintivos de cumplimiento. Conviene leerla antes de prometer plazos: una certificación Media no se obtiene en dos semanas. Si necesitas afinar la categoría, lo trato con detalle en mi guía sobre los niveles y categorías dthe ENS (Spanish National Security Framework).

Hoja de ruta: qué categoría te exigen y cómo llegar a tiempo

La tabla siguiente es una guía de criterio propia, construida a partir del articulado del RD 311/2022 y de la experiencia de preparar empresas para real public tenders. No sustituye al pliego (que siempre manda), pero te ayuda a estimar por dónde van los tiros antes de leerlo a fondo: qué categoría es probable según el servicio, por qué vía se acredita la conformidad y cuánto tiempo realista necesitas.

Qué categoría del ENS te exigen según el servicio y cómo acreditarla a tiempo

Tipo de servicio / dato que manejas	Categoría probable	Vía de conformidad	Plazo orientativo desde cero
Web informativa, suministro puntual o servicio que no trata información del organismo	Básica	Declaration of Conformity (autoevaluación, sin auditoría externa)	2 a 4 meses
SaaS, alojamiento o aplicación de gestión con datos del organismo de impacto moderado	Media	Certificate of Conformity por entidad acreditada ENAC (con auditoría)	4 a 8 meses
Servicio crítico, infraestructura esencial o información muy sensible / especialmente protegida	Alta	Certificate of Conformity auditada con requisitos máximos	6 a 12 meses
Servicio en el que subcontratas hosting o partes a terceros	La que fije el organismo (supply chain, art. 2.3)	Tu conformidad + acreditar la del subcontratista en lo necesario	Suma el plazo del eslabón más lento

Los plazos no son caprichosos: una certificación de Medium category implica un risk assessment, la implantación del Annex II measures, un periodo de funcionamiento del sistema con las medidas operando y, después, la auditoría por la entidad acreditada. Cada fase tiene su tiempo, y comprimirlas suele salir caro en calidad. Por eso insisto a mis clientes en lo mismo: la conformidad con el ENS se empieza antes de que salga the tender document que te interesa, no cuando ya está publicado con un mes de plazo de presentación.

¿Qué pasos sigo para preparar la conformidad?

La hoja de ruta para llegar a a public tender con el ENS en orden tiene una secuencia bastante estable, la ajustes para Básica o para Media/Alta:

• 1. Determina el alcance y la categoría. Identifica qué sistema concreto soporta el servicio que vas a ofrecer a the Administration y categoriza según el impacto en las cinco dimensiones. Si ya tienes a tender document sobre la mesa, la categoría viene dada.
• 2. Redacta la security policy. El artículo 12 del RD 311/2022 exige a las entidades in the private sector en el ámbito del ENS disponer de la information security policy. Es el documento fundacional del que cuelga todo lo demás.
• 3. Haz el risk assessment. Con una metodología reconocida (MAGERIT es la de referencia en el sector público español). De aquí salen las medidas que de verdad necesitas.
• 4. Implanta las Annex II measures. Las que correspondan a tu categoría. No es solo tecnología: hay medidas de marco organizativo, operacional y de protección.
• 5. Declara o certifica. Para Básica, una Declaration of Conformity por autoevaluación. Para Media o Alta, contratas la auditoría con una entidad acreditada por ENAC y obtienes la Certificación.
• 6. Mantente conforme. El ENS no es una foto fija: las certificaciones se renuevan y el sistema se audita periódicamente. La conformidad es un estado que se mantiene, no un sello que se cuelga y se olvida.

Si ya tienes una ISO 27001 implantada, parte de este camino está recorrido: el information security management system y buena parte de los controles se reaprovechan. La relación entre ambos marcos la explico en la guía de ISO 27001 para la information security; no son lo mismo, pero se solapan lo suficiente como para que tener una facilite la otra.

¿Qué pasa si no tengo el ENS y quiero licitar?

Depende de cómo figure en the tender document. Si el ENS es requisito de solvencia y no lo acreditas en el momento exigido, tu oferta se excluye: no entras a valoración. Si es condición especial de ejecución, puedes licitar y comprometerte a obtenerlo en plazo, pero ese compromiso es vinculante; incumplirlo abre la puerta a penalidades e incluso a la contract termination con sus consecuencias. Y si es criterio de contract award, no quedas fuera por no tenerlo, pero partes en desventaja frente a quien sí lo presenta.

En ningún escenario "no tener el ENS" es neutral cuando the tender document lo menciona. La buena noticia es que la mayoría de empresas que pierden a public tender por esto no es porque el ENS sea inalcanzable, sino porque llegaron tarde a enterarse de que lo necesitaban. Si trabajas con the Administration o aspiras a hacerlo, lo razonable es anticiparse: revisar tu cartera de target tenders, ver qué categoría es previsible y arrancar la conformidad con margen. Para eso está la consultoría de ENS implementation, que precisamente ordena este trabajo para que el sello llegue antes que la fecha de presentación.

ENS, ISO 27001 y GDPR: el pack to bid

En muchas licitaciones el ENS no viaja solo. Es habitual que el mismo pliego pida también certificación ISO 27001 y garantías de cumplimiento del GDPR, porque casi cualquier servicio a un organismo implica tratar datos personales. Abordarlos por separado es ineficiente: comparten risk assessment, comparten controles y comparten documentación. Tiene mucho más sentido planificarlos juntos.

Para empresas que quieren posicionarse de forma estable como proveedoras de the Spanish Public Administration he articulado una vía combinada que cubre los tres frentes a la vez; la detallo en el pack ISO 27001 + ENS + GDPR para tenders with the Spanish Public Administration. La idea es sencilla: si vas a invertir en cumplimiento para vender a lo público, que la inversión sirva para el máximo de pliegos posibles y no haya que rehacer el trabajo en cada tender.

Trabajo este tipo de proyectos desde consultor de digitalización en Castilla y León y Canarias, con empresas que licitan con ayuntamientos, diputaciones, consejerías y organismos autónomos. El patrón se repite: la conformidad bien planificada deja de ser un obstáculo y pasa a ser una llave que abre tenders a los que antes ni te podías presentar.

Preguntas frecuentes

¿El ENS es obligatorio para empresas privadas?

No con carácter general. Una empresa privada que no trabaja con el sector público no tiene obligación de cumplir el ENS. El artículo 2.3 del RD 311/2022 lo extiende al sector privado solo cuando, en virtud de una relación contractual, presta servicios o provee soluciones a entidades in the public sector. La obligación práctica nace de la cláusula dthe tender document del contrato concreto.

¿Por qué me piden el ENS en a public tender?

Porque el RD 311/2022 obliga al contracting authority a incluir en sus pliegos los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas en que se apoyan los servicios contratados, incluida la presentación de declarations or certificates of conformity. No es exceso de celo del organismo: es el cumplimiento de su propia obligación legal.

¿Qué categoría del ENS me exigen como proveedor?

La fija el contracting authority en the tender document, según el risk assessment sobre la información que vas a manejar. Como orientación: Básica para servicios de impacto limitado (se acredita por Declaración), Media para SaaS y tratamiento de datos de impacto moderado (Audited certification por entidad ENAC) y Alta para servicios críticos o información muy sensible. No la eliges tú.

¿Necesito certificación o basta una declaración?

Depende de la categoría. Según el artículo 38.1 del RD 311/2022, los sistemas de Basic category pueden acreditar su conformidad mediante autoevaluación (Declaration of Conformity), mientras que los de Medium category o Alta necesitan una Certificate of Conformity emitida por una entidad acreditada por ENAC tras auditoría.

¿Qué pasa si no tengo el ENS y quiero licitar?

Depende de cómo figure en the tender document. Si es requisito de solvencia, quedas excluido si no lo acreditas. Si es condición especial de ejecución, puedes licitar comprometiéndote a obtenerlo en plazo, con penalidades si incumples. Si es criterio de contract award, no quedas fuera pero pierdes puntos. En todos los casos conviene anticiparse y empezar la conformidad antes de que salga the tender document.

¿Mis subcontractors también tienen que cumplir el ENS?

Pueden tener que hacerlo. El artículo 2.3 del RD 311/2022 extiende la cautela a la supply chain del contratista, en la medida necesaria y según el risk assessment. Si subcontratas, por ejemplo, el alojamiento del servicio, ese tercero entra en el foco y debes poder responder por su conformidad en lo que afecte al contrato.

¿Cuánto tiempo tardo en estar conforme con el ENS to bid?

Orientativamente, de cero: 2 a 4 meses para una Declaración de Basic category y 4 a 8 meses para una Certificación de Medium category, porque esta última incluye risk assessment, implementation of measures, periodo de operación y auditoría. La High category puede llegar a 12 meses. Por eso conviene arrancar antes de que se publique the tender document objetivo, no después.

Fuentes

• Real Decreto 311/2022, de 3 de mayo, por el que se regula the ENS (Spanish National Security Framework) (BOE, texto consolidado) — art. 2.3 (ámbito sector privado y pliegos), art. 12 (security policy), art. 38 (conformidad por categorías).
• Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP) — PCAP y PPT, solvencia técnica y condiciones especiales de ejecución.
• Law 40/2015 of 1 October on Public Sector Legal Regime — base legal dthe ENS (Spanish National Security Framework).
• Portal ENS del Centro Criptológico Nacional (CCN) — Distintivos de conformidad — declaración vs. certificación y categorías.
• Guía CCN-STIC-809: Declaración y Certificate of Conformity con el ENS — procedimientos y distintivos.
• ENAC — Acreditación de entidades de certificación del ENS — quién puede emitir certificaciones de conformidad Media y Alta.

Contenido elaborado por Summum Marketing para angelortegacastro.com. Información divulgativa verificada contra fuentes primarias; no sustituye el asesoramiento sobre a tender document concreto. ¿Tienes a public tender con cláusula ENS sobre la mesa? Hablemos y vemos si llegas a tiempo.