Los ayuntamientos tienen la obligación ENS clara sobre el papel — pero la adecuación real de la administración local tiene un recorrido muy desigual, y no todos los consistorios saben por dónde empezar ni qué categoría les corresponde.
De los más de 8.000 ayuntamientos que existen en España, menos de 200 han obtenido la certificación o declaración de conformidad con el Esquema Nacional de Seguridad. La cifra es alarmante considerando que la obligatoriedad del ENS para toda la Administración Pública no tiene excepciones por tamaño. Los ayuntamientos, diputaciones y entidades locales enfrentan retos específicos que esta guía aborda con soluciones prácticas y adaptadas a su realidad.
Si necesita un marco general del ENS, consulta mia guía definitiva del Esquema Nacional de Seguridad.
La realidad de los ayuntamientos españoles frente al ENS
La situación actual es preocupante. La mayoría de municipios pequeños y medianos no han iniciado siquiera el proceso de adecuación al ENS. Los motivos son recurrentes: desconocimiento de la obligación legal, ausencia de personal técnico especializado en ciberseguridad, presupuestos muy limitados para proyectos de seguridad, sistemas de información heredados y difíciles de securizar, y una percepción errónea de que el ENS solo afecta a grandes organismos.
Sin embargo, los ayuntamientos son especialmente vulnerables a los ciberataques. Manejan datos personales de todos sus ciudadanos (padrón, tributos, licencias, servicios sociales), gestionan infraestructuras críticas locales (agua, alumbrado, tráfico) y con frecuencia operan con sistemas obsoletos y sin actualizaciones de seguridad.
Categorización típica de los sistemas municipales
La mayoría de ayuntamientos pequeños y medianos categorizarán sus sistemas en BÁSICA o MEDIA. Un ayuntamiento de menos de 5.000 habitantes con servicios electrónicos básicos (sede electrónica, padrón, gestión tributaria) habitualmente se sitúa en categoría BÁSICA, lo que permite la declaración de conformidad sin certificación externa.
Los ayuntamientos medianos (5.000-50.000 habitantes) con servicios electrónicos más complejos (tramitación completa, servicios sociales, policía local) suelen requerir categoría MEDIA, con la consiguiente obligación de certificación formal.
Los grandes ayuntamientos y diputaciones provinciales, con sistemas de información más complejos e interconectados, pueden requerir categoría ALTA en algunos de sus sistemas.
Hoja de ruta para la adecuación de un ayuntamiento
Fase 1: diagnóstico y concienciación (1-2 meses)
El primer paso es que el equipo de gobierno municipal tome conciencia de la obligación y la importancia del ENS. Convoque una sesión informativa para alcaldía, concejalía responsable y personal técnico. Identifica un responsable interno del proyecto, aunque sea a tiempo parcial. Y realiza un inventario básico de los sistemas de información municipales y de los proveedores TIC que los gestionan.
Fase 2: categorización y análisis básico (2-3 meses)
Categorice los sistemas de información conforme al Anexo I del ENS. Realiza un análisis de riesgos simplificado con μPILAR (la versión reducida de la herramienta del CCN). Identifica las brechas más críticas respecto a los controles aplicables.
Fase 3: plan de adecuación priorizado (1 mes)
Elabore un plan de acción que priorice las medidas por nivel de riesgo. No intente hacerlo todo a la vez. Empiece por los controles que mayor impacto tienen en la reducción del riesgo: control de acceso, copias de seguridad, gestión de incidentes y concienciación del personal.
Fase 4: implantación progresiva (6-12 meses)
Implanta los controles de forma gradual, empezando por los más críticos. Documente la política de seguridad y los procedimientos esenciales. Forme al personal. Establece un acuerdo con sus proveedores TIC para que apliquen los controles que les corresponden.
Fase 5: declaración o certificación (1-2 meses)
Si la categoría es BÁSICA, emita la declaración de conformidad. Si es MEDIA o ALTA, contrate una auditoría de certificación con una entidad acreditada.
Herramientas gratuitas del CCN para municipios
El CCN ofrece un ecosistema de herramientas especialmente diseñado para administraciones con recursos limitados.
μPILAR es la versión simplificada de la herramienta de análisis de riesgos, más accesible que la versión completa y suficiente para la mayoría de municipios. CLARA es la herramienta de verificación automatizada del cumplimiento de configuraciones de seguridad en sistemas Windows. ANA es la herramienta de análisis de vulnerabilidades que permite escanear los sistemas del ayuntamiento en busca de debilidades conocidas. microCLOUD ofrece servicios cloud seguros (correo electrónico, almacenamiento, ofimática) para entidades que no tienen capacidad para gestionar sus propias infraestructuras. VANESA es el servicio de videoconferencia segura del CCN. E INES es la plataforma para reportar el estado de adecuación al ENS.
Todas estas herramientas son gratuitas para organismos del sector público. Aprovecharlas puede reducir significativamente los costes del proyecto de adecuación.
Financiación disponible para ayuntamientos
Existen varias fuentes de financiación que los municipios pueden aprovechar. Los fondos Next Generation EU, canalizados a través de planes de digitalización de las CC.AA. y las diputaciones provinciales, incluyen partidas específicas para ciberseguridad municipal. Las diputaciones provinciales en varias comunidades autónomas ofrecen programas de apoyo técnico y financiero a sus municipios. Y las Cámaras de Comercio locales pueden proporcionar orientación sobre ayudas disponibles.
Consulta mio artículo sobre subvenciones para certificación ISO y ENS en España para un análisis completo de las fuentes de financiación.
El papel de los proveedores TIC municipales
Muchos ayuntamientos tienen externalizada la gestión de sus sistemas de información. En estos casos, el proveedor TIC es corresponsable del cumplimiento del ENS. Es fundamental que los contratos con proveedores incluyan cláusulas de seguridad alineadas con el ENS, que los proveedores demuestren su propio cumplimiento (idealmente con certificación ENS), que se establezcan acuerdos de nivel de servicio (SLA) que incluyan requisitos de seguridad, y que se monitorice regularmente el cumplimiento por parte del proveedor.
Si su proveedor TIC no conoce el ENS o no está dispuesto a comprometerse con su cumplimiento, considera seriamente buscar un proveedor alternativo.
Casos de éxito en la administración local
A pesar de los retos, cada vez más ayuntamientos están completando con éxito su adecuación al ENS. Las claves comunes en los casos de éxito son el compromiso del equipo de gobierno, la asignación de un responsable interno, el uso intensivo de las herramientas del CCN, la colaboración con la diputación provincial y el asesoramiento externo especializado para las fases más complejas del proyecto.
¿Es tú responsable de un ayuntamiento o entidad local que necesita adecuarse al ENS? Hablamos. Tenemos experiencia en la administración local y le propondremos un plan de adecuación adaptado a sus recursos y plazos.
Preguntas frecuentes en profundidad
¿Qué ayuntamientos están obligados al ENS y desde cuándo?
Todas las entidades del sector público según la Ley 40/2015, incluyendo el 100 % de ayuntamientos españoles sin excepción de tamaño. El plazo de adecuación al RD 311/2022 venció el 5 de mayo de 2024. No estar adecuado actualmente supone incumplimiento normativo expreso.
Los proveedores que prestan servicios TIC a un ayuntamiento también deben cumplir ENS en la parte que les afecta y declararlo en su oferta a través del certificado correspondiente.
¿Qué categoría ENS aplica a un ayuntamiento?
La categoría mínima para un ayuntamiento es MEDIA. Los sistemas que tratan datos de salud, datos de menores, datos policiales, datos judiciales o servicios críticos (padrón, urbanismo crítico, identidades) suben a ALTA. Servicios puramente informativos pueden quedar en BÁSICA si están aislados.
Cada sistema de información se categoriza por separado en función de los activos de información que trata y las dimensiones afectadas (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad).
¿Cuánto cuesta adecuar un ayuntamiento al ENS?
Para un ayuntamiento de 5.000-20.000 habitantes, la implantación completa (consultoría + herramientas + auditoría) suele costar 18.000-45.000 € repartidos en 12-18 meses. Para ayuntamientos mayores la cifra crece con el número de sistemas y empleados.
Hay líneas de financiación específicas para administración local: fondos FEDER, convenios con Diputaciones Provinciales y la línea ENS de la Secretaría General de Administración Digital para corporaciones locales.
¿Qué pasa si un ayuntamiento no se adecua al ENS?
Tres consecuencias inmediatas: 1) imposibilidad de prestar servicios electrónicos conforme a la Ley 39/2015 y 40/2015 sin riesgo legal, 2) pérdida de elegibilidad para fondos europeos NextGen vinculados a digitalización que exigen ENS como condición, 3) exposición personal del Secretario y del responsable de informática ante una brecha.
Además, el ENS es exigible por los ciudadanos como derecho a una administración segura conforme al artículo 14 de la Ley 39/2015. Una sanción de la AEPD por brecha en un ayuntamiento no adecuado al ENS tiene agravante claro.
¿Quién debe liderar el proyecto ENS en un ayuntamiento?
El RD 311/2022 exige nombrar tres roles: el Responsable de la Información (típicamente el Secretario General), el Responsable del Servicio (alcaldía o concejalía del área) y el Responsable de la Seguridad de la Información (perfil técnico, interno o externalizado). Son roles separables y no acumulables sin justificación.
En ayuntamientos pequeños el Responsable de Seguridad se contrata externalizado a través de una empresa especializada, mientras que los otros dos roles los asume el equipo de gobierno y la Secretaría.
¿Cómo coordina el ENS con el RGPD en un ayuntamiento?
ENS y las obligaciones del RGPD para empresas son complementarios: ENS cubre la seguridad de la información (todos los datos que maneja la administración), RGPD cubre específicamente los datos personales. Un ayuntamiento debe cumplir ambos, con DPO obligatorio según el artículo 37 del RGPD para todo organismo público.
Las medidas técnicas del ENS (cifrado, control de acceso, registro de actividad, gestión de incidentes) cubren buena parte del artículo 32 del RGPD. Implantar ENS reduce significativamente el esfuerzo de cumplimiento RGPD posterior.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →