En breve: El ENS no es exclusivo de la Administración: desde el Real Decreto 311/2022 alcanza también al sector privado cuando una empresa presta servicios a una entidad pública y sus sistemas de información se apoyan en los del proveedor. En esos casos, el órgano de contratación exige la conformidad con el ENS, en la categoría correspondiente, como requisito del pliego. Fuera de esa cadena de suministro público, el ENS no obliga.

Existe la idea, muy extendida, de que el Esquema Nacional de Seguridad (ENS) es un asunto exclusivo de ayuntamientos, ministerios y diputaciones. Es una verdad a medias que cada vez deja fuera a más empresas. Desde la entrada en vigor del Real Decreto 311/2022, el ENS alcanza de lleno a buena parte del tejido empresarial privado, aunque no a cualquier empresa ni en cualquier circunstancia. Conviene saber con precisión dónde está la línea.

¿Aplica el ENS a una empresa privada? Sí, pero solo en supuestos concretos: cuando prestas servicios o provees soluciones al sector público mediante contrato (artículo 2.3 del RD 311/2022), cuando formas parte de la cadena de suministro de un contratista público, o cuando eres una entidad privada vinculada o dependiente de la Administración. Fuera de esos casos, el ENS no obliga directamente a una empresa privada.

El ENS no es solo de la Administración: dónde empieza el sector privado

El punto de partida es el artículo 2 del Real Decreto 311/2022, que regula el ámbito de aplicación del ENS. Su apartado 1 dice que el ENS se aplica «a todo el sector público, en los términos en que este se define por el artículo 2 de la Ley 40/2015». Hasta aquí, la lectura clásica: Administración General del Estado, comunidades autónomas, entidades locales, universidades públicas y el llamado sector público institucional.

La clave para el sector privado está en el apartado 3 del mismo artículo, que muchos pasan por alto. Su redacción es inequívoca: este real decreto «también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas».

Es decir: el ENS no nace para regular a la empresa privada por el hecho de serlo, sino que la atrae a su órbita cuando esa empresa se convierte en un eslabón de la cadena que sostiene un servicio público digital. La obligación no es genérica, es contextual. Por eso es tan importante distinguir los supuestos en los que aplica de verdad de aquellos en los que no, porque exigir conformidad ENS donde no toca es tan costoso como ignorarla donde sí. Si quieres el panorama completo del marco, parte de la guía completa del Esquema Nacional de Seguridad.

¿Cuándo está obligada una empresa privada al ENS?

ENS en el sector privado: ¿cuándo aplica a tu empresa?
Foto: jonathan mcintosh (CC BY 2.0)

La casuística práctica se reduce a tres grandes vías de entrada, más un cuarto supuesto de borde que conviene vigilar. Esta es la tabla que conviene tener delante antes de decidir si tu empresa necesita o no demostrar conformidad con el ENS.

¿Cuándo aplica el ENS a una empresa privada? Supuestos, base legal y qué exige
Supuesto Base legal ¿Aplica el ENS? Qué exige en la práctica
Proveedor que presta servicios o provee soluciones a una entidad del sector público (alojamiento, SaaS, desarrollo, soporte, tratamiento de datos administrativos…) Art. 2.3 RD 311/2022 Sí, de forma directa Política de seguridad (art. 12), adecuación al ENS y Declaración o Certificación de Conformidad según la categoría del sistema (básica, media o alta).
Subcontratista dentro de la cadena de suministro de un adjudicatario de contrato público Art. 2.3 RD 311/2022 (último párrafo) Sí, «en la medida que sea necesario» según análisis de riesgos El adjudicatario traslada requisitos del ENS a sus subcontratistas; conformidad proporcional al riesgo que aporta el eslabón.
Entidad privada vinculada o dependiente de una Administración (sociedad mercantil pública, fundación del sector público, consorcio) Art. 2.2 b) Ley 40/2015 + art. 2.1 RD 311/2022 Sí, como parte del sector público institucional cuando ejerce potestades administrativas Tratamiento equivalente al de la Administración matriz: política de seguridad, adecuación y conformidad.
Operador de sector regulado (servicios esenciales, financiero, telecomunicaciones) sin contrato público NIS2, DORA, normativa sectorial (reenvío) Indirecto: el ENS puede exigirse como marco de referencia o equivalente Marco de seguridad sectorial que, en algunos casos, toma el ENS como referente o lo exige por reenvío normativo.
Empresa privada sin vínculo con el sector público No, el ENS no obliga directamente Cumplimiento voluntario; lo natural es la ISO/IEC 27001 como sistema de gestión de seguridad reconocido.

Como ves, la frontera no la marca el tamaño de la empresa ni su sector de actividad por sí mismos, sino la relación con el sector público: contractual, de control orgánico o de reenvío normativo. Profundizamos en la obligación general del proveedor en el artículo sobre cuándo es obligatorio el ENS para empresas y proveedores; aquí nos centramos en delimitar el alcance real de cada supuesto.

Supuesto 1: proveedores que prestan servicios al sector público

Es, con diferencia, la vía de entrada más frecuente. Si tu empresa firma un contrato con una entidad pública para prestar un servicio o suministrar una solución que da soporte a sus competencias y potestades administrativas, el ENS te aplica directamente. No hace falta que manejes información clasificada ni datos especialmente sensibles: basta con que el sistema de información que usas para prestar ese servicio sustente, total o parcialmente, la actividad administrativa del cliente público.

Los ejemplos abundan: una empresa que aloja en su nube el gestor de expedientes de un ayuntamiento; un desarrollador que mantiene la sede electrónica de una consejería; una compañía de soporte que administra el correo corporativo de un organismo; un proveedor SaaS de facturación, nóminas o expedientes sanitarios para una entidad pública. En todos ellos, los sistemas que sostienen el servicio entran en el ámbito del ENS.

El propio apartado 3 añade una obligación expresa y mínima incluso para el proveedor: contar con la política de seguridad del artículo 12, que en estas entidades «será aprobada por el órgano que ostente las máximas competencias ejecutivas». Es decir, la dirección de la empresa asume formalmente el compromiso de seguridad, igual que lo haría un órgano de gobierno público. A partir de ahí, la profundidad de la adecuación dependerá de la categoría del sistema.

¿Cómo llega el ENS a través de los pliegos de contratación?

El mecanismo concreto por el que el ENS aterriza en una empresa privada es la contratación pública. El último párrafo relevante del artículo 2.3 lo formula así: los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público «contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS».

Dicho de otro modo: la Administración está obligada a meter el ENS en sus pliegos. Esto conecta directamente con la Ley 9/2017, de Contratos del Sector Público, que es el cauce por el que esos requisitos de solvencia técnica y de seguridad llegan a los licitadores. Para muchas empresas, la consecuencia operativa es contundente: sin conformidad ENS no se puede ni licitar a determinados contratos, o se queda fuera en la fase de admisión. La conformidad deja de ser una mejora «nice to have» y pasa a ser un requisito de acceso al mercado público.

Esto cambia el momento de la planificación. Si tu empresa aspira a contratos públicos de servicios digitales, la adecuación al ENS hay que tenerla resuelta antes de que salga la licitación, no después de leer el pliego. Adecuarse lleva meses; un plazo de presentación de ofertas, días. Anticiparse es la diferencia entre presentarte o mirar cómo el contrato se lo lleva otro.

Supuesto 2: la cadena de suministro del contratista

El artículo 2.3 cierra con una cautela que amplía notablemente el alcance: «Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos». Aquí está la segunda vía de entrada, y la que pilla por sorpresa a más empresas.

Significa que no hace falta ser tú quien firma con la Administración. Si eres subcontratista, proveedor de un proveedor, o aportas un componente o servicio que el adjudicatario integra en lo que entrega al cliente público, puedes verte arrastrado a las exigencias del ENS. El adjudicatario, para poder garantizar su propia conformidad, trasladará requisitos hacia atrás en su cadena: a su proveedor de hosting, a su empresa de mantenimiento, a su desarrollador externo.

La extensión no es automática ni ilimitada. El propio texto la modula con dos condiciones: que sea «necesario» y que resulte «de acuerdo con los resultados del correspondiente análisis de riesgos». Es decir, se aplica de forma proporcional al riesgo que cada eslabón aporta. Un proveedor de papelería no entra; un proveedor de infraestructura cloud crítica, casi con seguridad sí. El criterio es técnico, no formal, y lo fija el análisis de riesgos del contrato. Las guías de la serie 800 del CCN-STIC (en particular las de cumplimiento y verificación de la conformidad) dan el detalle metodológico para trasladar esos requisitos a la cadena de suministro.

¿Qué son las entidades vinculadas o dependientes?

El tercer supuesto no nace de un contrato, sino del control orgánico. La remisión del artículo 2.1 del RD 311/2022 a la Ley 40/2015 trae consigo una categoría que tiene apariencia privada pero naturaleza pública a estos efectos: las entidades del sector público institucional.

El artículo 2 de la Ley 40/2015 incluye en el sector público no solo a las Administraciones territoriales, sino a los organismos y entidades vinculados o dependientes de ellas. Entre ellos hay entidades de derecho privado —sociedades mercantiles estatales, autonómicas o locales, fundaciones del sector público, consorcios— que, pese a su forma jurídica privada, están controladas por la Administración. La propia Ley 40/2015 precisa que estas entidades privadas vinculadas o dependientes se rigen por las normas que les sean específicamente aplicables y, «en todo caso, cuando ejerzan potestades administrativas», por el derecho administrativo.

La consecuencia para el ENS es clara: una sociedad mercantil pública de agua, transporte o vivienda, o una fundación dependiente de una consejería, está dentro del ámbito del ENS como cualquier organismo público, aunque su CIF y su forma societaria parezcan los de una empresa al uso. No es proveedor de la Administración: es sector público a efectos de seguridad de la información. Conviene revisar la naturaleza jurídica exacta de la entidad antes de concluir nada, porque la línea entre «sociedad pública» y «empresa privada con cliente público» tiene efectos muy distintos.

¿El ENS afecta a los sectores regulados?

El cuarto supuesto es más difuso y conviene tratarlo con cautela para no exagerar. Hay empresas privadas que, sin prestar servicios a la Administración y sin ser entidades vinculadas, acaban en la órbita de marcos de seguridad equiparables o que toman el ENS como referente. Es el caso de operadores de servicios esenciales y entidades de sectores regulados, donde normas como la Directiva NIS2 (ciberseguridad de servicios esenciales y digitales) o el Reglamento DORA (resiliencia operativa digital del sector financiero) imponen obligaciones de seguridad propias.

En estos casos, el ENS no aplica como obligación directa, pero entra en escena de dos maneras. Por un lado, como marco de referencia: una empresa que ya tiene su sistema adecuado al ENS parte con buena parte del trabajo hecho para NIS2 o para otras exigencias sectoriales, porque las medidas se solapan. Por otro lado, por reenvío normativo: ciertas normas sectoriales o ciertos pliegos remiten al ENS o a sus medidas como estándar de control. Conviene mapear cómo encajan ENS, el cumplimiento del RGPD, NIS2 y DORA antes de decidir qué marco te exige cada cliente o cada norma.

La regla práctica: si operas en un sector regulado, no asumas automáticamente que el ENS te obliga, pero tampoco lo descartes sin analizarlo. El detonante real será siempre una norma concreta o una cláusula contractual, no el ENS por sí solo.

ENS o ISO 27001: ¿qué necesita realmente tu empresa privada?

Una confusión habitual es plantear ENS e ISO/IEC 27001 como alternativas excluyentes. No lo son. El ENS es un marco obligatorio y de origen legal cuando concurren los supuestos vistos; la ISO 27001 es un estándar voluntario e internacional que cualquier empresa puede adoptar para gestionar su seguridad, tenga o no relación con el sector público.

Para una empresa privada sin vínculo público, la ISO 27001 es el camino lógico: aporta un sistema de gestión reconocido, mejora la posición frente a clientes y aseguradoras y no impone una obligación legal que no existe. Para una empresa que sí entra en el ámbito del ENS, la buena noticia es que ambos marcos comparten una parte importante de controles, de modo que tener una ISO 27001 madura reduce el esfuerzo de adecuación al ENS. Hemos desarrollado esta comparación en la guía completa de la ISO 27001, que ayuda a decidir el orden de prioridades según el perfil de cada empresa.

El error que más cuesta dinero es el inverso al que abre este artículo: empresas que se certifican en ISO 27001 creyendo que con eso cubren la exigencia de un pliego público y descubren tarde que el cliente pedía conformidad ENS, que es otra cosa. Identificar qué marco necesitas —y cuándo— es la primera decisión, y la más rentable.

Cómo anticiparse: pasos para una empresa privada

Si sospechas que tu empresa puede entrar en el ámbito del ENS, conviene no esperar a leerlo en un pliego. Una hoja de ruta razonable:

  1. Determina tu supuesto. Revisa con la tabla de arriba si eres proveedor directo, eslabón de una cadena de suministro, entidad vinculada o dependiente, u operador de sector regulado. De ahí depende todo lo demás.
  2. Identifica los sistemas afectados. No todo tu parque tecnológico entra: solo los sistemas de información que sustentan el servicio prestado al sector público. Acotar el alcance evita sobredimensionar el proyecto.
  3. Categoriza el sistema. Básica, media o alta, en función del impacto sobre las dimensiones de seguridad. La categoría decide si basta una autoevaluación (Declaración de Conformidad) o hace falta una auditoría de certificación.
  4. Aprueba tu política de seguridad. Es obligación expresa del artículo 12 incluso para el proveedor privado, y debe aprobarla la dirección.
  5. Adecúate y demuestra conformidad. Implanta las medidas del Anexo II proporcionales a tu categoría y obtén la Declaración o Certificación de Conformidad que te pedirá el pliego.

Este recorrido tiene plazos que se miden en meses, no en semanas, y un acompañamiento experto evita callejones sin salida. Para la parte de implantación contamos con un servicio específico de consultoría de implantación del ENS, y para verificar que llegas en condiciones a la certificación, con la preparación de la auditoría ENS. Trabajamos con empresas de toda España; si estás en Canarias, puedes ver nuestro enfoque desde la consultoría de cumplimiento en Las Palmas.

Preguntas frecuentes

¿El ENS aplica a empresas privadas?

Sí, pero no a cualquier empresa privada ni en cualquier circunstancia. El artículo 2.3 del RD 311/2022 lo aplica a las entidades del sector privado cuando, en virtud de una relación contractual, prestan servicios o proveen soluciones al sector público para el ejercicio de sus competencias y potestades administrativas. También alcanza a su cadena de suministro y a las entidades privadas vinculadas o dependientes de la Administración. Una empresa privada sin ningún vínculo con el sector público no está obligada directamente por el ENS.

¿Cuándo está obligada una empresa privada al ENS?

En tres supuestos principales: cuando es proveedor que presta servicios o suministra soluciones a una entidad pública (art. 2.3); cuando forma parte de la cadena de suministro de un contratista público, en la medida que resulte del análisis de riesgos; y cuando es una entidad privada vinculada o dependiente de la Administración, que entra como sector público institucional vía artículo 2 de la Ley 40/2015. La exigencia concreta se materializa habitualmente en los pliegos de contratación.

¿Qué son las entidades vinculadas o dependientes?

Son organismos y entidades —incluidas algunas de forma jurídica privada, como sociedades mercantiles públicas, fundaciones del sector público o consorcios— controladas por una Administración y, por ello, integradas en el sector público institucional según el artículo 2 de la Ley 40/2015. Aunque tengan apariencia de empresa privada, a efectos del ENS se tratan como parte del sector público, especialmente cuando ejercen potestades administrativas.

¿El ENS afecta a los sectores regulados?

No de forma directa por el solo hecho de operar en un sector regulado. Sin embargo, normas como NIS2 o DORA imponen obligaciones de seguridad propias que se solapan con el ENS, y algunas exigencias sectoriales o pliegos toman el ENS como marco de referencia o lo exigen por reenvío normativo. Por eso una empresa de un sector regulado debe analizar caso por caso si alguna norma o contrato le acaba exigiendo conformidad ENS o un marco equivalente.

Fuentes