¿Qué es la declaración de conformidad del ENS y cuándo basta con autoevaluarse? En el el ENS hay dos vías para acreditar que cumples: la declaración de conformidad y la certificación de conformidad. La declaración solo es válida para sistemas de categoría básica y se obtiene mediante una autoevaluación de la propia organización, sin auditor externo. En categoría media y alta, en cambio, la conformidad solo se acredita por certificación, con auditoría de una entidad acreditada por ENAC. Lo regula el Real Decreto 311/2022 en su artículo 38. En este artículo te explico la diferencia, cómo hacer tu autoevaluación en nivel básico y qué errores evitar.
¿Qué es la declaración de conformidad del ENS?
La declaración de conformidad es el documento por el que una organización declara formalmente que su sistema de información, clasificado en categoría básica, cumple con los requisitos del Esquema Nacional de Seguridad. Es una autodeclaración: la firma la propia entidad tras comprobar internamente que las medidas de seguridad exigidas están implantadas.
El RD 311/2022 establece que tanto la declaración como la certificación de conformidad son preceptivas para los sistemas dentro del ámbito del ENS, públicos o privados, y que deben evidenciarse mediante la publicación del distintivo oficial de conformidad correspondiente a la categoría del sistema, en la página web, portal o sede electrónica de la organización. Es decir, no basta con tener el documento en un cajón: hay que mostrarlo públicamente, de forma que cualquier tercero pueda comprobar que el sistema es conforme y en qué categoría.
Conviene tener clara una idea de fondo: la declaración no es una opinión ni una intención, es una afirmación con efectos. Cuando una organización declara su conformidad y publica el distintivo, está asumiendo formalmente que cumple el ENS, con las consecuencias que eso conlleva si se demuestra lo contrario. Por eso la autoevaluación previa tiene que hacerse en serio.
Declaración vs certificación: ¿en qué se diferencian?
La diferencia es la vía por la que se acredita la conformidad y depende directamente de la categoría del sistema:
- Declaración de conformidad: válida solo en categoría básica. Se basa en una autoevaluación interna. No requiere auditor externo ni entidad de certificación.
- Certificación de conformidad: válida para todas las categorías (básica, media y alta) y obligatoria en media y alta. Requiere una auditoría formal realizada por una entidad de certificación acreditada por ENAC.
Dicho de otro modo: en categoría básica puedes elegir entre declarar (autoevaluación) o certificar (auditoría), pero la declaración es la vía propia y suficiente; en media y alta no hay elección, la conformidad solo se logra por certificación. Para saber en qué categoría está tu sistema, te ayuda mi guía sobre el proceso, requisitos y costes de la certificación ENS.
Vía de conformidad según el nivel
¿Puedo autoevaluarme en nivel básico?
Sí. En categoría básica la organización puede determinar su conformidad mediante un procedimiento de autoevaluación. El propio RD 311/2022 indica que, con carácter ordinario, esa autoevaluación verifica el cumplimiento de los requisitos del ENS al menos cada dos años. No interviene un auditor externo, pero eso no significa que sea un trámite menor: la autoevaluación tiene que ser real, documentada y honesta, porque la responsabilidad recae enteramente en la entidad que firma.
La autoevaluación debe apoyarse en las medidas del ENS aplicables a la categoría básica (Anexo II del RD 311/2022) y, en la práctica, se realiza con el apoyo de las guías CCN-STIC del Centro Criptológico Nacional, que detallan cómo comprobar cada control. El CCN pone a disposición herramientas de cumplimiento que facilitan esta verificación.
¿Cómo hacer tu autoevaluación ENS paso a paso?
Una autoevaluación de nivel básico bien hecha sigue, a grandes rasgos, esta secuencia:
- Determina el alcance. Define qué sistema de información vas a evaluar: qué servicios, qué información y qué infraestructura quedan dentro.
- Categoriza el sistema. Confirma que el sistema es de categoría básica valorando las dimensiones de seguridad (confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad). Si alguna dimensión sube de nivel, el sistema puede dejar de ser básico.
- Realiza el análisis de riesgos. El ENS exige gestionar la seguridad en función del riesgo. En básico puede ser un análisis simplificado, pero tiene que existir y estar documentado.
- Comprueba las medidas del Anexo II. Repasa, una a una, las medidas aplicables a categoría básica y registra si están implantadas, parcialmente implantadas o pendientes.
- Documenta las evidencias. Cada medida marcada como implantada debe tener su evidencia: un procedimiento, una política, un registro, una configuración.
- Cierra las brechas. Implanta las medidas pendientes antes de declarar. Declarar conformidad con brechas abiertas es el error más grave.
- Emite y publica la declaración. Firma la declaración de conformidad y publica el distintivo oficial en tu web o sede electrónica.
Tabla: declaración vs certificación de conformidad ENS
Esta tabla de elaboración propia resume las diferencias clave entre ambas vías:
| Aspecto | Declaración de conformidad | Certificación de conformidad |
|---|---|---|
| Categorías válidas | Solo básica | Básica, media y alta |
| Quién la realiza | La propia organización (autoevaluación) | Entidad de certificación acreditada por ENAC |
| ¿Auditor externo? | No | Sí, obligatorio |
| Periodicidad ordinaria | Al menos cada 2 años | Al menos cada 2 años |
| Distintivo a publicar | Distintivo de declaración (categoría básica) | Distintivo de certificación (categoría del sistema) |
| Coste | Bajo (recursos internos) | Mayor (auditoría externa) |
¿Qué es el distintivo de conformidad del ENS?
El distintivo de conformidad es el sello oficial que acredita públicamente que un sistema cumple con el ENS. Existe un distintivo para la declaración y otro para la certificación, y cada uno refleja la categoría del sistema (básica, media o alta). El RD 311/2022 obliga a publicarlo en la web, portal o sede electrónica de la organización: es la forma de que terceros —ciudadanos, órganos de contratación, otras administraciones— puedan comprobar la conformidad. Mostrar el distintivo sin tener la conformidad real, o mantenerlo cuando ha caducado, es una irregularidad.
¿Cuándo conviene certificar aunque seas categoría básica?
Aunque en categoría básica la declaración por autoevaluación es suficiente, hay situaciones en las que merece la pena pasar voluntariamente a la certificación con auditor externo:
- Para licitar con la Administración. Algunos pliegos exigen certificación incluso para servicios que serían de categoría básica, o valoran con más puntos la certificación frente a la declaración. Si tu negocio depende de la contratación pública, certificar te da una posición más sólida.
- Para reforzar la confianza de clientes y socios. Una declaración la firma la propia empresa; una certificación la otorga un tercero independiente. Frente a un cliente exigente, la certificación transmite más garantías.
- Cuando prevés crecer de categoría. Si esperas que tu sistema pase pronto a categoría media —por aumento del volumen o sensibilidad de la información—, certificar desde el principio te evita rehacer el camino más adelante.
No es una decisión obligada, pero conviene valorarla antes de quedarse automáticamente con la vía más económica. La declaración ahorra coste hoy; la certificación puede ahorrarte oportunidades perdidas mañana.
¿Cuánto cuesta y cuánto tarda una autoevaluación?
La gran ventaja de la declaración por autoevaluación es el coste: al no requerir auditor externo, el gasto se limita a los recursos internos —o al consultor que te acompañe— dedicados a categorizar, analizar riesgos, comprobar medidas y documentar evidencias. No hay tarifa de entidad de certificación.
El tiempo depende sobre todo del punto de partida. Si la organización ya tiene políticas, procedimientos y controles razonablemente ordenados, la autoevaluación de un sistema básico puede completarse en pocas semanas. Si parte de cero, lo que más tarda no es la autoevaluación en sí, sino implantar las medidas pendientes que la autoevaluación saca a la luz: no puedes declarar conformidad hasta haber cerrado esas brechas. Por eso conviene no confundir "autoevaluarse" con "rellenar un formulario": el grueso del esfuerzo está en tener la seguridad realmente implantada.
¿Cada cuánto hay que renovar la declaración?
El RD 311/2022 fija que la verificación del cumplimiento se realiza, con carácter ordinario, al menos cada dos años. Es decir, la autoevaluación —igual que la auditoría de certificación— tiene una vigencia bienal: no es un sello que se obtiene una vez y vale para siempre. Cada dos años, como máximo, hay que volver a comprobar que las medidas siguen implantadas y que el sistema sigue siendo conforme, y renovar la declaración y su distintivo. Si en ese periodo el sistema sufre cambios sustanciales, la revisión debe adelantarse. Puedes ver el detalle del ciclo en mi guía sobre la preparación de la auditoría del ENS.
Errores frecuentes en la autoevaluación de nivel básico
Estos son los fallos que más veo cuando una organización se autoevalúa por primera vez:
- Categorizar mal el sistema. Asumir que es "básico" sin valorar correctamente las dimensiones de seguridad. Si una dimensión es media o alta, la declaración no es válida y necesitas certificación.
- Declarar sin análisis de riesgos. El análisis de riesgos no es opcional en el ENS, ni siquiera en básico.
- Marcar medidas como implantadas sin evidencia. Una autoevaluación sin pruebas documentales no se sostiene.
- No actualizar. La autoevaluación caduca a los dos años; mantener un distintivo viejo es incumplir.
- No publicar el distintivo. La conformidad debe evidenciarse públicamente, no basta con tener el documento internamente.
Si tu sistema crece o cambia de categoría, conviene revisar también cómo preparar la auditoría del ENS, porque pasarás de la autoevaluación a la certificación con auditor.
Declaración de conformidad y trabajo con la Administración
Para las empresas privadas que prestan servicios al sector público, la declaración de conformidad es muchas veces la puerta de entrada más accesible. Si el servicio que vas a prestar es de categoría básica y el pliego acepta la declaración, puedes acreditar tu conformidad sin pasar por una entidad de certificación, lo que reduce coste y plazos. Eso sí: cada pliego manda. Hay licitaciones que, aun para servicios básicos, exigen certificación o la valoran con más puntos, de modo que conviene leer con lupa qué pide exactamente el órgano de contratación antes de decidir la vía. Lo que nunca debes hacer es presentar una declaración donde el pliego pide certificación: es motivo de exclusión. Si quieres profundizar en la categorización previa, que determina si puedes declarar o debes certificar, lo abordo junto al resto del proceso en mi guía de certificación del ENS.
Conclusión
En nivel básico, el ENS te permite acreditar conformidad por declaración, mediante una autoevaluación interna sin auditor externo, que debes renovar al menos cada dos años y evidenciar con el distintivo oficial. En media y alta no hay atajo: la conformidad exige certificación con auditoría acreditada. La autoevaluación es accesible, pero no es un trámite simbólico: requiere categorizar bien, analizar riesgos, comprobar las medidas del Anexo II y guardar evidencias. Hecha con rigor, es una vía perfectamente válida para demostrar que tu organización cumple con el Esquema Nacional de Seguridad.
Preguntas frecuentes
¿Qué es la declaración de conformidad del ENS?
Es el documento por el que una organización declara formalmente que su sistema de categoría básica cumple los requisitos del ENS, tras una autoevaluación interna. Es válida solo en categoría básica y debe evidenciarse publicando el distintivo oficial de conformidad.
¿En qué se diferencia de la certificación?
La declaración se basa en una autoevaluación de la propia entidad y solo vale en categoría básica. La certificación requiere una auditoría formal de una entidad acreditada por ENAC y es válida para todas las categorías, siendo obligatoria en media y alta.
¿Puedo autoevaluarme en nivel básico?
Sí. En categoría básica el ENS admite un procedimiento de autoevaluación, que verifica el cumplimiento al menos cada dos años. No interviene auditor externo, pero la autoevaluación debe ser real, documentada y apoyada en las medidas del Anexo II del RD 311/2022.
¿Qué es el distintivo de conformidad del ENS?
Es el sello oficial que acredita públicamente la conformidad con el ENS. Hay distintivo de declaración y de certificación, y refleja la categoría del sistema. El RD 311/2022 obliga a publicarlo en la web o sede electrónica de la organización.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191) — art. 38, procedimientos de determinación de la conformidad.
- CCN-CERT — Preguntas frecuentes sobre el ENS (ens.ccn.cni.es).
- AEPD — Declaración de conformidad con el Esquema Nacional de Seguridad.