Sí, un ayuntamiento pequeño también está obligado al Esquema Nacional de Seguridad (ENS), igual que cualquier administración pública. La buena noticia es que un municipio con pocos recursos casi siempre cae en la categoría BÁSICA, y en esa categoría la conformidad se obtiene por autoevaluación, sin necesidad de una auditoría de tercero acreditado. El camino realista es: organizar la seguridad, categorizar los sistemas, hacer un análisis de riesgos sencillo, redactar la declaración de aplicabilidad con su plan de mejora y, después, presentar la declaración de conformidad y cargar el informe INES. El Centro Criptológico Nacional (CCN) ofrece guías y herramientas gratuitas pensadas precisamente para entidades locales con dificultades.
Llevo años acompañando a ayuntamientos y entidades locales pequeñas en su adecuación al ENS, y la conversación siempre empieza igual: «Ángel, esto está pensado para grandes administraciones con departamento de informática; nosotros somos cuatro personas y media jornada de un técnico que viene de la diputación». Lo entiendo perfectamente. Pero el marco normativo no distingue por tamaño a la hora de obligar, sino a la hora de exigir el nivel de esfuerzo. Y ahí es donde un municipio pequeño tiene margen para hacer las cosas bien sin arruinarse ni colapsar a su personal.
Este artículo es la versión «municipio pequeño, pocos recursos, autoevaluación e INES» de mi guía general. Si gestionas un ayuntamiento de más tamaño o quieres el panorama completo del cumplimiento en la administración local, te recomiendo leer primero mi artículo sobre el ENS en ayuntamientos y la administración local, que cubre el marco general. Aquí me centro en lo que de verdad necesita un secretario-interventor o un concejal de un municipio de menos de 5.000 habitantes para empezar mañana.
¿Están obligados los ayuntamientos al ENS?
Sí, sin excepciones por tamaño. El Real Decreto 311/2022, de 3 de mayo, que regula el ENS, define en su artículo 2 el ámbito subjetivo: todo el sector público está obligado, incluidas las entidades que integran la Administración Local. Eso abarca a cualquier ayuntamiento, sea de 200.000 o de 200 habitantes, y a las entidades locales menores, mancomunidades, consorcios y demás. No existe un umbral de población por debajo del cual quedes exento.
La obligación no nace del RD 311/2022, además: viene de mucho antes, del artículo 156.2 de la Ley 40/2015 de Régimen Jurídico del Sector Público, que ordena que la seguridad de los sistemas de información de las administraciones se rija por el ENS. El RD 311/2022 lo que hace es actualizar el detalle técnico (sustituyó al antiguo RD 3/2010). Por tanto, si tu ayuntamiento presta sede electrónica, registro electrónico, padrón, gestión tributaria o cualquier servicio digital al ciudadano —y hoy todos lo hacen, porque la Ley 39/2015 los obliga a relacionarse electrónicamente—, estás dentro del ENS.
Lo que cambia con el tamaño no es si cumples, sino cuánto esfuerzo te exige el sistema. Y ahí entra la categorización, que para la mayoría de municipios pequeños arroja categoría BÁSICA, el nivel más asumible.
El problema real del municipio pequeño: pocos recursos, misma norma

Trabajo a caballo entre Castilla y León y Canarias, dos territorios con muchísimos municipios pequeños. En Castilla y León hay cientos de ayuntamientos de menos de 1.000 habitantes; en buena parte de la geografía rural el «departamento de informática» es un técnico que comparte la diputación provincial entre varios municipios, o directamente una empresa externa que mantiene la web. En las islas pasa algo parecido en los municipios pequeños del interior y en los cabildos que dan soporte a entidades menores.
La paradoja es evidente: la norma es la misma para un ayuntamiento que tiene un CISO y un equipo de diez personas que para uno que tiene a la secretaria-interventora haciendo de todo. El legislador es consciente de esto, y por eso el propio CCN insiste en lograr «una adecuación al ENS lo más posibilista y pragmática posible en aquellas entidades con dificultades». No te pide imposibles: te pide que organices lo que tienes, lo documentes y lo mejores de forma sostenible.
Mi consejo de partida para un municipio pequeño es no obsesionarse con la perfección el primer año. El ENS no es un examen que se aprueba o se suspende: es un ciclo de mejora continua. Lo importante es arrancar el Plan de Adecuación, dejar constancia de las decisiones y avanzar paso a paso. Un ayuntamiento que ha redactado su política de seguridad, ha categorizado sus sistemas y tiene un plan de mejora con fechas está infinitamente mejor que uno paralizado por la sensación de que «esto es enorme».
Categorización: por qué casi siempre saldrá BÁSICA
El ENS clasifica cada sistema de información en una de tres categorías —BÁSICA, MEDIA o ALTA— en función de cómo afecte a cinco dimensiones de seguridad: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. La categoría del sistema es la más alta de las valoraciones de sus dimensiones.
Para un ayuntamiento pequeño que presta servicios administrativos ordinarios —padrón, registro, sede electrónica, tributos locales, expedientes— y que no maneja sistemas clasificados ni infraestructuras críticas, la valoración suele quedarse en nivel BAJO en las cinco dimensiones, lo que arroja categoría BÁSICA. Hay matices: si tratas datos especialmente sensibles (por ejemplo, servicios sociales con información de salud) alguna dimensión podría subir a MEDIA, pero eso se acota por sistemas, no obliga a categorizar todo el ayuntamiento en MEDIA.
Esta distinción es la que más dinero y trabajo te ahorra, así que conviene hacerla con criterio. La categoría determina dos cosas: el conjunto de medidas de seguridad del Anexo II del RD 311/2022 que tienes que aplicar (en BÁSICA son menos y menos exigentes) y, sobre todo, cómo acreditas la conformidad. Si quieres profundizar en el proceso, los requisitos y los costes de acreditación, lo desarrollo en mi guía sobre la certificación del ENS, su proceso y costes.
¿Un ayuntamiento pequeño puede autoevaluarse?
Sí, y aquí está la mejor noticia para un municipio con pocos recursos. En categoría BÁSICA, la conformidad con el ENS se acredita mediante declaración de conformidad obtenida por autoevaluación. No necesitas contratar a una entidad de certificación acreditada ni pasar una auditoría formal de un tercero independiente.
La diferencia es la siguiente:
- Categoría BÁSICA: declaración de conformidad por autoevaluación. La propia entidad verifica que cumple los requisitos del ENS, al menos cada dos años (o de forma extraordinaria si hay cambios significativos en el sistema). Esto no impide que, si quieres, te sometas voluntariamente a una auditoría formal, pero no es obligatorio.
- Categorías MEDIA y ALTA: certificación de conformidad mediante auditoría formal realizada por entidades de certificación acreditadas u órganos de auditoría técnica, también con periodicidad mínima de dos años.
Esto significa que un ayuntamiento de categoría BÁSICA puede acreditar su conformidad con recursos propios o con un apoyo externo puntual, sin el coste recurrente de las auditorías de certificación. Es un alivio presupuestario enorme para un municipio pequeño. Eso sí —y lo subrayo por experiencia—, autoevaluación no significa autoengaño: hay que hacer el trabajo de verdad, documentarlo y guardar las evidencias, porque el CCN puede revisarlo y porque el día que sufras un incidente esa documentación es tu mejor defensa.
¿Qué es el informe INES?
El INES es el Informe Nacional del Estado de Seguridad. Es la recogida de datos, coordinada por el Centro Criptológico Nacional, con la que se construye una foto agregada del estado de la seguridad en todo el sector público español. No lo confundas con la declaración de conformidad: son cosas distintas y complementarias.
La base legal está en el artículo 32 del RD 311/2022, que establece la obligación de informar periódicamente del estado de seguridad de los sistemas. El cómo se concreta en la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad (publicada en el BOE) y en la guía CCN-STIC 824, que define el cuestionario de indicadores. La herramienta para cargar los datos es la plataforma INES del CCN, cuyo manual de usuario es la guía CCN-STIC 844.
En la práctica, tu ayuntamiento responde anualmente un cuestionario en la plataforma INES: identificación de la entidad, organización de la seguridad, procesos críticos, formación y concienciación, gestión de incidentes, recursos y presupuesto, estado de las medidas, etc. A cambio, obtienes un índice de madurez y puedes compararte con la media nacional y con entidades similares. Para un municipio pequeño el INES es, además de una obligación, una herramienta útil: te da un termómetro objetivo de por dónde flojeas y dónde priorizar el siguiente año.
La recogida del INES es anual y tiene un plazo de carga que el CCN abre cada año (habitualmente en el primer cuatrimestre, referido al ejercicio anterior). Conviene tener el cuestionario preparado con antelación, porque rellenarlo a última hora y mal solo perjudica a tu propio diagnóstico.
¿Por dónde empieza un ayuntamiento a cumplir el ENS?
El punto de arranque es el Plan de Adecuación. No es un documento enorme ni hace falta empezar por la parte técnica: se empieza por organizarse. Estos son los pasos del proceso de adecuación, tal y como los plantea el propio portal del ENS, ordenados de forma que un municipio pequeño pueda seguirlos:
- Organizar la seguridad y aprobar la política de seguridad. Designar al responsable de seguridad y constituir un comité (aunque sea reducido), y aprobar por el órgano competente la política de seguridad de la información. Es el cimiento: sin roles ni política, lo demás se sostiene en el aire.
- Identificar el alcance y categorizar los sistemas. Definir qué sistemas entran (sede electrónica, padrón, registro, tributos...) y valorar sus dimensiones de seguridad para obtener la categoría. Para la mayoría: BÁSICA.
- Realizar el análisis de riesgos. Inventariar los activos, identificar amenazas y valorar el riesgo. No tiene que ser una obra de arte: el CCN ofrece la herramienta PILAR (basada en la metodología el método MAGERIT de análisis de riesgos) para hacerlo de forma estructurada.
- Elaborar la declaración de aplicabilidad y el plan de mejora. Listar qué medidas del Anexo II aplican según la categoría, su estado actual y las acciones priorizadas para cerrar las brechas, con responsables y fechas.
- Declarar la conformidad y cargar el INES. En BÁSICA, autoevaluación y declaración de conformidad; obtención del distintivo de conformidad; y carga anual del informe INES.
Mi recomendación práctica: no intentes hacer los cinco pasos en una semana. Un calendario realista para un municipio pequeño es repartir el Plan de Adecuación a lo largo de unos meses, apoyándote en las guías del CCN para entidades locales y, si puedes, en el soporte de tu diputación provincial o cabildo, que muchas veces ofrecen servicios compartidos de seguridad precisamente para los municipios más pequeños.
Herramientas y guías gratuitas del CCN para entidades locales
Uno de los motivos por los que un ayuntamiento pequeño no debería tener miedo al ENS es que el Centro Criptológico Nacional pone a su disposición un conjunto de recursos gratuitos pensados específicamente para entidades locales:
- Guía CCN-STIC 883 — Implantación del ENS para Entidades Locales. Es la guía de referencia. Sus anexos incluyen Perfiles de Cumplimiento Específicos y ejemplos de Planes de Adecuación diferenciados por rangos de población: municipios de menos de 5.000 habitantes, de menos de 20.000, de entre 20.000 y 75.000, y diputaciones o cabildos. Eso significa que puedes partir de una plantilla calibrada para tu tamaño, no de una hoja en blanco.
- PILAR. Herramienta de análisis y gestión de riesgos del CCN, basada en MAGERIT, para inventariar activos y valorar el riesgo de forma trazable.
- INES (CCN-STIC 824 y 844). La plataforma y guías para el Informe Nacional del Estado de Seguridad.
- CLARA / herramientas de cumplimiento. Utilidades del CCN para comprobar el estado de configuración de los sistemas frente a las plantillas del ENS.
- Formación gratuita. El CCN ofrece cursos específicos para entidades locales en su plataforma Ángeles, lo que reduce la dependencia de consultoría externa para la base.
Estos recursos no sustituyen el criterio de alguien que conozca el ENS, pero sí reducen drásticamente el coste de entrada. Un municipio pequeño bien orientado puede cubrir buena parte del Plan de Adecuación con guías oficiales y un apoyo externo puntual para las decisiones clave (categorización, análisis de riesgos y validación de la autoevaluación).
Hoja de ruta mínima de adecuación al ENS para un ayuntamiento pequeño
Esta es la tabla que entrego como punto de partida a las entidades locales pequeñas con las que trabajo. Es una hoja de ruta priorizada: cada fase indica qué hacer, qué recurso del CCN te apoya y quién debería liderarla dentro del ayuntamiento.
| Fase | Qué hacer | Herramienta / recurso del CCN | Quién lidera |
|---|---|---|---|
| 1. Organizar la seguridad | Designar responsable de seguridad y comité; redactar y aprobar la política de seguridad de la información. | Guía CCN-STIC 883 (plantillas EELL) | Secretaría-Intervención + Alcaldía (aprobación en Pleno o Junta) |
| 2. Categorizar los sistemas | Identificar el alcance (sede, padrón, registro, tributos) y valorar las cinco dimensiones. Resultado habitual: categoría BÁSICA. | Perfil de cumplimiento EELL <5.000 hab. (anexos 883) | Responsable de seguridad + apoyo técnico (diputación/cabildo o externo) |
| 3. Analizar riesgos | Inventario de activos, amenazas y valoración del riesgo de forma trazable y proporcionada al tamaño. | PILAR (metodología MAGERIT) | Apoyo técnico + responsable de seguridad |
| 4. Declaración de aplicabilidad y plan de mejora | Listar las medidas del Anexo II que aplican en BÁSICA, su estado y un plan priorizado con responsables y fechas. | Anexo II del RD 311/2022 + guía 883 | Responsable de seguridad |
| 5. Declarar conformidad e informar (INES) | Autoevaluación y declaración de conformidad; obtener el distintivo; cargar el informe INES anual. | INES (CCN-STIC 824 y 844) | Responsable de seguridad + Secretaría |
Es un marco mínimo, no un sustituto del juicio profesional. Pero si un ayuntamiento pequeño recorre estas cinco fases con honestidad y deja constancia documental de cada una, estará en conformidad real con el ENS y, lo más importante, tendrá sus sistemas razonablemente protegidos, que al final es de lo que se trata.
Errores frecuentes que veo en municipios pequeños
Después de muchos proyectos, hay tropiezos que se repiten y que conviene anticipar:
- Creer que «como somos pequeños no nos aplica». Aplica, sin excepción. Lo que cambia es el nivel de esfuerzo, no la obligación.
- Empezar por la técnica y olvidar la organización. Comprar un cortafuegos no es adecuarse al ENS. Sin política de seguridad, roles y análisis de riesgos, las inversiones técnicas van sin rumbo.
- Confundir conformidad con INES. Son dos obligaciones distintas: la declaración de conformidad (por autoevaluación en BÁSICA) y la carga anual del INES. Hay que hacer las dos.
- Externalizar todo y desentenderse. Puedes apoyarte en un proveedor o en la diputación, pero la responsabilidad de la seguridad es del ayuntamiento. Si tu web la lleva una empresa, ese servicio también entra en el alcance del ENS.
- Hacer el Plan de Adecuación y guardarlo en un cajón. El ENS es mejora continua. La autoevaluación se revisa al menos cada dos años, y el INES es anual. Es un ciclo vivo.
Si quieres delegar parte de este recorrido o que alguien valide tu autoevaluación antes de declarar la conformidad, en mi servicio de consultoría e implantación del ENS acompaño a entidades locales pequeñas precisamente en este punto: organizar la seguridad, categorizar bien, hacer el análisis de riesgos proporcionado y dejar la documentación lista para la autoevaluación y el INES.
Para entender el ENS en su conjunto
Este artículo se ha centrado en el caso del municipio pequeño con pocos recursos. Si necesitas el panorama completo —qué es el ENS, su estructura, los principios y las medidas del Anexo II— te será útil mi guía completa del Esquema Nacional de Seguridad. Y si tu duda es específicamente cómo encaja el ENS en el día a día de la administración local de cualquier tamaño, vuelve a mi artículo hermano sobre el ENS en ayuntamientos y administración local. Entre los tres tienes cubierto el recorrido, desde el marco general hasta la hoja de ruta concreta para el municipio que apenas tiene recursos.
Preguntas frecuentes
¿Están obligados los ayuntamientos al ENS aunque sean muy pequeños?
Sí. El artículo 2 del Real Decreto 311/2022 incluye a toda la Administración Local en el ámbito subjetivo del ENS, sin umbral de población. La obligación arranca además del artículo 156.2 de la Ley 40/2015. Lo que varía con el tamaño es la categoría del sistema (normalmente BÁSICA en municipios pequeños) y, por tanto, el nivel de esfuerzo exigido, pero no el hecho de estar obligado.
¿Qué es el informe INES?
El INES es el Informe Nacional del Estado de Seguridad: una recogida de datos anual, coordinada por el Centro Criptológico Nacional, que construye una foto agregada de la seguridad del sector público. Tiene su base en el artículo 32 del RD 311/2022 y su cuestionario se define en la guía CCN-STIC 824; la plataforma de carga se documenta en la CCN-STIC 844. Tu ayuntamiento responde un cuestionario anual y obtiene un índice de madurez comparable con la media nacional.
¿Un ayuntamiento pequeño puede autoevaluarse sin auditoría externa?
Sí, si sus sistemas son de categoría BÁSICA. En esa categoría la conformidad se acredita mediante declaración de conformidad obtenida por autoevaluación, al menos cada dos años, sin necesidad de una entidad de certificación acreditada. Solo las categorías MEDIA y ALTA exigen certificación mediante auditoría formal de un tercero.
¿Por dónde empieza un ayuntamiento a cumplir el ENS?
Por el Plan de Adecuación, y dentro de él, por organizar la seguridad: designar al responsable de seguridad, constituir un comité y aprobar la política de seguridad. Después se categorizan los sistemas, se hace el análisis de riesgos, se redacta la declaración de aplicabilidad con su plan de mejora y, por último, se declara la conformidad y se carga el INES. La guía CCN-STIC 883 ofrece plantillas adaptadas al tamaño del municipio.
¿Cuánto cuesta adecuar al ENS un ayuntamiento pequeño?
Depende del estado de partida, pero en categoría BÁSICA el coste es mucho menor de lo que se teme, porque no hay auditoría de certificación obligatoria y porque el CCN ofrece guías, herramientas (PILAR, INES) y formación gratuitas. El gasto principal suele ser el apoyo externo puntual para categorizar, hacer el análisis de riesgos y validar la autoevaluación. Muchas diputaciones y cabildos ofrecen además servicios compartidos de seguridad a sus municipios.
¿Cada cuánto hay que revisar la conformidad y el INES?
La autoevaluación para la declaración de conformidad en categoría BÁSICA se realiza al menos cada dos años, o de forma extraordinaria si se producen cambios significativos en el sistema. El informe INES, en cambio, es de carácter anual: el CCN abre un plazo de carga cada año referido al ejercicio anterior. Son dos ciclos distintos que conviene tener calendarizados.
¿Qué pasa si mi web o mi sede electrónica las gestiona una empresa externa?
Ese servicio también entra en el alcance del ENS. Externalizar la gestión no traslada la responsabilidad: el ayuntamiento sigue siendo el responsable de que esos sistemas cumplan el Esquema Nacional de Seguridad. Conviene exigir contractualmente al proveedor que sus servicios cumplan el ENS y recabar las evidencias correspondientes para tu autoevaluación.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE)
- ENS · Entidades Locales — Portal oficial del ENS (CCN-CNI)
- ENS · Proceso de adecuación — Portal oficial del ENS (CCN-CNI)
- Guía CCN-STIC 824 — Informe del Estado de Seguridad (INES)
- Guía CCN-STIC 883 — Implantación del ENS para Entidades Locales
- ENS · Preguntas frecuentes (FAQ) — Portal oficial del ENS (CCN-CNI)