¿Cada cuánto se audita el ENS y quién la realiza? El Esquema Nacional de Seguridad obliga a una auditoría regular ordinaria al menos cada dos años (auditoría bienal), según el artículo 31 del Real Decreto 311/2022. Además, hay que hacer una auditoría extraordinaria siempre que se produzcan modificaciones sustanciales en el sistema que afecten a la seguridad, y esa auditoría extraordinaria reinicia el plazo de dos años. Quién la realiza depende de la categoría: en básico basta una autoevaluación; en medio y alto la audita una entidad de certificación acreditada por ENAC. En este artículo te explico el ciclo completo: periodicidad, quién audita, qué revisa y cómo encaja con la conformidad.
¿Cada cuánto se audita el ENS?
El artículo 31.1 del RD 311/2022 es claro: los sistemas dentro del ámbito del ENS serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad. Esa es la periodicidad bienal que define el ciclo de auditoría del ENS.
El "al menos" es importante: dos años es el plazo máximo entre auditorías ordinarias, no un mínimo. Una organización puede auditarse con más frecuencia si lo considera oportuno, pero nunca puede dejar pasar más de dos años sin una auditoría regular.
¿Qué es la auditoría extraordinaria del ENS?
Además de la ordinaria bienal, el mismo artículo 31 obliga a una auditoría extraordinaria siempre que se produzcan modificaciones sustanciales en el sistema de información que puedan repercutir en las medidas de seguridad requeridas. ¿Qué cuenta como modificación sustancial? Cambios relevantes en la arquitectura, en los servicios prestados, en el tratamiento de la información o en el alcance del sistema; no un parche rutinario.
Un detalle que se pasa por alto a menudo: la realización de la auditoría extraordinaria reinicia el cómputo de los dos años para la siguiente auditoría ordinaria. Es decir, si haces una extraordinaria, el reloj del plazo bienal vuelve a empezar desde esa fecha.
Ciclo de auditoría del ENS
¿Quién puede auditar el ENS?
Depende de la categoría del sistema, porque la vía de conformidad cambia:
- Categoría básica: la conformidad puede determinarse por autoevaluación. No se exige auditor externo; la propia organización verifica el cumplimiento. Aun así, esa verificación debe repetirse al menos cada dos años.
- Categorías media y alta: la conformidad se acredita por certificación, mediante una auditoría formal realizada por una entidad de certificación acreditada por ENAC (la Entidad Nacional de Acreditación). En el sector público, ciertos organismos pueden emplear órganos de auditoría técnica habilitados.
La diferencia es sustancial: una autoevaluación la firma la propia entidad, mientras que una certificación la otorga un tercero independiente y acreditado. Si tu sistema es de categoría media o alta, vas a necesitar un auditor externo sí o sí. Para no llegar mal preparado, revisa cómo preparar la auditoría del ENS.
¿La auditoría del ENS es bienal o anual?
Es bienal: la auditoría regular ordinaria se realiza al menos cada dos años, no cada año. Esta es una confusión habitual, sobre todo entre quienes vienen de marcos con ciclos anuales. En el ENS, el plazo ordinario es de dos años. Lo que sí puede ocurrir antes de ese plazo es una auditoría extraordinaria, pero solo si hay modificaciones sustanciales en el sistema.
Conviene no confundir el ciclo del ENS con el de la ISO 27001, que tiene auditorías de seguimiento anuales y recertificación cada tres años. Son marcos distintos con calendarios distintos; si gestionas ambos, tendrás dos ciclos de auditoría que coordinar.
¿Qué diferencia hay entre autoevaluación y auditoría de certificación?
Ambas verifican el cumplimiento del ENS, pero no son lo mismo:
- Autoevaluación: la realiza la propia organización. Sirve para categoría básica y desemboca en una declaración de conformidad. Es más ágil y económica, pero toda la responsabilidad recae en quien la firma.
- Auditoría de certificación: la realiza una entidad acreditada por ENAC. Es obligatoria en categorías media y alta y desemboca en un certificado de conformidad. Aporta independencia y reconocimiento externo.
Si quieres profundizar en la primera vía, lo desarrollo en mi guía sobre la declaración de conformidad ENS en nivel básico y cómo autoevaluarte.
Tabla: ciclo y responsables de la auditoría del ENS
Esta tabla de elaboración propia resume el ciclo y quién audita según el tipo de revisión:
| Tipo de revisión | Cuándo se hace | Quién la realiza | Resultado |
|---|---|---|---|
| Ordinaria (bienal) | Al menos cada 2 años | Autoevaluación (básico) / entidad ENAC (medio-alto) | Mantiene la conformidad |
| Extraordinaria | Ante cambios sustanciales en el sistema | La misma vía que la ordinaria según categoría | Reinicia el plazo de 2 años |
| Autoevaluación (básico) | Al menos cada 2 años | La propia organización | Declaración de conformidad |
| Certificación (medio/alto) | Al menos cada 2 años | Entidad de certificación acreditada por ENAC | Certificado de conformidad |
¿Qué revisa la auditoría del ENS?
La auditoría comprueba que las medidas de seguridad exigidas por el ENS están implantadas y operando, no solo documentadas sobre el papel. A grandes rasgos, revisa:
- El marco organizativo: política de seguridad aprobada, normativa, procedimientos y asignación de roles y responsabilidades.
- El marco operacional: gestión de la operación, control de accesos, monitorización, gestión de incidentes y continuidad.
- Las medidas de protección: protección de instalaciones, equipos, comunicaciones, soportes de información, aplicaciones y servicios.
- El análisis de riesgos: que exista, esté actualizado y oriente las decisiones de seguridad.
El auditor contrasta cada medida del Anexo II del RD 311/2022 aplicable a la categoría del sistema contra las evidencias reales. Una auditoría que solo revisa documentos sin comprobar que las medidas funcionan no cumple su función.
¿Cómo se desarrolla una auditoría del ENS?
Una auditoría de certificación del ENS no es un examen sorpresa: sigue un proceso ordenado que conviene conocer para llegar preparado. A grandes rasgos, atraviesa estas fases:
- Planificación y alcance. Se define qué sistema se audita, su categoría y el conjunto de medidas aplicables. La entidad de certificación acuerda con la organización el calendario y la documentación previa.
- Revisión documental. El auditor examina la política de seguridad, el análisis de riesgos, la declaración de aplicabilidad de medidas, los procedimientos y los registros. Comprueba que el marco documental existe y es coherente.
- Trabajo de campo. El auditor verifica sobre el terreno que las medidas funcionan: revisa configuraciones, entrevista a responsables, comprueba evidencias de controles operando (logs, registros de incidentes, control de accesos).
- Informe y no conformidades. El auditor emite un informe con las conclusiones y, si las hay, las no conformidades clasificadas por gravedad.
- Subsanación y decisión. La organización corrige las no conformidades en los plazos marcados y la entidad decide sobre la emisión o renovación del certificado.
Llegar a este proceso con la documentación ordenada y las medidas realmente implantadas es lo que marca la diferencia entre una auditoría tranquila y una llena de hallazgos. Por eso conviene preparar la auditoría con antelación, no improvisarla.
Auditoría del ENS frente a la de la ISO 27001
Si tu organización gestiona a la vez el ENS y la ISO 27001, vas a convivir con dos ciclos de auditoría distintos, y es importante no mezclarlos:
- ENS: auditoría regular ordinaria al menos cada dos años, más extraordinarias por cambios sustanciales. La vía depende de la categoría (autoevaluación o certificación ENAC).
- ISO 27001: auditoría de certificación inicial, auditorías de seguimiento anuales y auditoría de recertificación cada tres años, siempre por una entidad de certificación acreditada.
La buena noticia es que, si integras ambos sistemas, puedes coordinar las auditorías para que el trabajo de campo se solape y reducir la carga sobre la organización. Una sola política de seguridad, un único análisis de riesgos y un cuerpo documental común permiten que el auditor revise una vez lo que sirve para los dos marcos. Lo desarrollo en mi comparativa entre ENS e ISO 27001.
¿Cómo prepararse para la auditoría bienal?
Que el plazo sea de dos años no significa que la seguridad se revise solo cada dos años. Las organizaciones que llegan bien a la auditoría son las que mantienen la conformidad de forma continua:
- Mantén vivo el análisis de riesgos. Actualízalo cuando cambien los activos, las amenazas o las salvaguardas, no solo antes de la auditoría.
- Conserva las evidencias durante todo el ciclo. Los registros de incidentes, accesos, copias y revisiones deben estar disponibles, no reconstruirse a última hora.
- Haz revisiones internas intermedias. Una revisión a mitad de ciclo detecta brechas con tiempo para corregirlas antes de la auditoría oficial.
- Vigila las modificaciones sustanciales. Si haces un cambio relevante en el sistema, recuerda que puede disparar una auditoría extraordinaria y reiniciar el plazo.
¿Qué pasa si no superas la auditoría?
Si la auditoría detecta no conformidades, la organización debe corregirlas dentro de los plazos que marque la entidad de certificación antes de obtener o renovar el certificado. Mantener un distintivo de conformidad sin tener la conformidad real —por ejemplo, dejar pasar el plazo bienal o no subsanar las no conformidades— es una irregularidad. Para las empresas privadas que trabajan con la Administración, además, perder la conformidad puede significar incumplir requisitos del contrato.
El papel de ENAC y de las entidades de certificación
Cuando tu sistema es de categoría media o alta, no vale que te audite cualquiera: la auditoría de conformidad la realiza una entidad de certificación acreditada por ENAC, la Entidad Nacional de Acreditación. La acreditación de ENAC es la garantía de que esa entidad cumple los criterios técnicos para certificar el ENS, igual que ocurre en otros esquemas de certificación. Esto aporta independencia: el certificado no lo emite la propia organización auditada ni un proveedor cualquiera, sino un tercero acreditado y supervisado.
En el ámbito del sector público, además, el RD 311/2022 contempla que ciertos organismos puedan recurrir a sus propios órganos de auditoría técnica habilitados. Para una empresa privada que quiere certificarse, sin embargo, la vía habitual es contratar a una entidad de certificación acreditada por ENAC, que llevará a cabo la auditoría y, si procede, emitirá el certificado de conformidad con su correspondiente distintivo. Elegir una entidad acreditada no es un detalle menor: un certificado emitido por quien no está acreditado no tiene validez a efectos del ENS.
Conclusión
El ENS marca un ciclo de auditoría bienal: auditoría regular ordinaria al menos cada dos años, más auditorías extraordinarias cuando hay cambios sustanciales —que reinician el plazo—. Quién audita depende de la categoría: autoevaluación en básico, certificación con entidad acreditada por ENAC en medio y alto. La auditoría no es un trámite formal: comprueba que las medidas de seguridad funcionan de verdad. Conocer bien este calendario es lo que evita sorpresas y permite llegar a cada revisión con la conformidad en regla.
Preguntas frecuentes
¿Cada cuánto se audita el ENS?
Al menos cada dos años. El artículo 31 del RD 311/2022 establece una auditoría regular ordinaria con periodicidad bienal. Además, hay que realizar una auditoría extraordinaria cuando se producen modificaciones sustanciales en el sistema, y esa extraordinaria reinicia el plazo de dos años.
¿Quién puede auditar el ENS?
Depende de la categoría. En básico, la conformidad puede determinarse por autoevaluación de la propia organización. En media y alta, la audita una entidad de certificación acreditada por ENAC; en parte del sector público pueden actuar órganos de auditoría técnica habilitados.
¿La auditoría del ENS es bienal o anual?
Es bienal: la auditoría regular ordinaria se realiza al menos cada dos años, no anualmente. No conviene confundirla con la ISO 27001, que tiene seguimientos anuales y recertificación a los tres años.
¿Qué diferencia hay entre autoevaluación y auditoría de certificación?
La autoevaluación la realiza la propia organización, sirve para categoría básica y deriva en una declaración de conformidad. La auditoría de certificación la realiza una entidad acreditada por ENAC, es obligatoria en media y alta y deriva en un certificado de conformidad.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191) — art. 31, auditoría de la seguridad; art. 38, conformidad.
- CCN-CERT — Preguntas frecuentes sobre el ENS (ens.ccn.cni.es).
- CCN-CERT IC-01/19 — Criterios Generales de Auditorías y Certificación del ENS.