Las empresas certificadas en el Esquema Nacional de Seguridad (ENS) se consultan en el registro público que mantiene el Centro Criptológico Nacional (CCN) en su plataforma de gobernanza, accesible desde la sede ens.ccn.cni.es. Ahí figuran tanto las entidades con declaración de conformidad (categoría básica, mediante autoevaluación) como las que han logrado la certificación de conformidad (categorías media y alta, mediante auditoría de una entidad acreditada por ENAC). Si una empresa exhibe el distintivo del ENS, debe poder verificarse en ese listado oficial; y si quieres que tu organización aparezca, el camino pasa por adecuarte y obtener el documento de conformidad que corresponda a la categoría de tu sistema.
Qué significa que una empresa esté certificada en el ENS
El Esquema Nacional de Seguridad es el marco de ciberseguridad que regula el Real Decreto 311/2022, de 3 de mayo. Nació para el sector público, pero su alcance llega de lleno al sector privado: cualquier empresa que preste servicios a una Administración o le suministre soluciones tecnológicas que traten información del ámbito de aplicación del ENS tiene que demostrar que cumple. Esa demostración no se hace de palabra. Se materializa en un documento oficial de conformidad y en un distintivo que la entidad publica y que cualquiera puede comprobar.
Cuando alguien afirma que «tiene el ENS», en realidad está diciendo una de dos cosas. O bien ha emitido una declaración de conformidad, válida solo para sistemas de categoría básica y basada en una autoevaluación bajo su propia responsabilidad; o bien ha obtenido una certificación de conformidad, que para las categorías media y alta es obligatoria y exige una auditoría realizada por una entidad de certificación acreditada. Son dos niveles de garantía muy distintos, y conviene saber cuál tiene delante el cliente, el ciudadano o el órgano de contratación que revisa a un proveedor.
En mi trabajo acompañando a empresas hacia el ENS, esta distinción es lo primero que aclaro. No es lo mismo «nos hemos autoevaluado y creemos que cumplimos» que «un auditor independiente, acreditado por el organismo nacional, ha verificado que cumplimos». Las dos figuras son legítimas y están previstas en la norma, pero responden a niveles de riesgo y de exigencia diferentes. Si quieres entender el marco completo, lo desarrollo en mi guía completa del Esquema Nacional de Seguridad.
¿Dónde puedo ver las empresas certificadas en el ENS?
El punto de referencia es la sede oficial del Centro Criptológico Nacional, ens.ccn.cni.es. Desde su sección de conformidad se accede al registro de entidades, que el CCN publica a través de su plataforma de gobernanza. Ese registro recopila las entidades que han comunicado al CCN su declaración o su certificación de conformidad, y permite filtrarlas y consultarlas.
El listado distingue por categoría del sistema (básica, media y alta) y por tipo de organización: Administración General del Estado, comunidades autónomas, entidades locales, universidades, sector público institucional y, lo que más interesa a quien busca proveedores privados, una categoría específica de empresas certificadas. Para cada entidad puede verse información como la fecha del primer certificado, la fecha de conformidad y, en su caso, las renovaciones. Es, en la práctica, la herramienta para contrastar si un proveedor que presume del ENS realmente figura como conforme.
Un matiz importante: no toda empresa que cumple el ENS está obligada a constar en un buscador con su nombre comercial visible para cualquiera del modo en que uno esperaría de un directorio comercial. La obligación legal nuclear es publicar el distintivo correspondiente en la web, portal o sede electrónica de la organización, y comunicar la certificación al CCN. Por eso, cuando quieras verificar a un tercero, conviene cruzar dos fuentes: la propia web del proveedor (donde debe lucir el distintivo) y el registro del CCN. Si solo aparece en una de ellas, pregunta.
¿Qué es el distintivo de conformidad del ENS y cómo se usa?
El distintivo de conformidad es el sello visual que acredita el estado de cumplimiento de un sistema concreto. La norma y las guías del CCN diferencian dos familias:
- Distintivo de declaración de conformidad. Lo genera y publica la propia entidad responsable del sistema, y solo es válido para sistemas de categoría básica. Refleja una autoevaluación, no una verificación externa.
- Distintivo de certificación de conformidad. Acompaña a la certificación obtenida tras una auditoría, obligatoria para categorías media y alta. Junto a él aparece la identificación de la entidad de certificación que ha emitido el certificado.
Existe además un distintivo que identifica a las entidades de certificación acreditadas por ENAC para evaluar y certificar en el ENS. Es decir, no cualquiera puede certificar: la entidad auditora tiene que estar acreditada, y ese respaldo es precisamente lo que da valor al sello. Cuando veas un distintivo de certificación, fíjate en quién lo respalda; ahí está la diferencia entre un sello con garantía y una etiqueta sin sustento.
El uso del distintivo no es decorativo. La organización lo publica para acreditar su estado de conformidad ante terceros, y ese estado debe ser real, vigente y comprobable. Un distintivo que no se puede contrastar en el registro del CCN, o que corresponde a un sistema cuyo certificado ha caducado, es una señal de alarma.
¿Cómo se verifica la conformidad con el ENS?
Verificar es un proceso de tres pasos que cualquiera puede seguir sin ser técnico:
- Localiza el distintivo. En la web, portal o sede electrónica de la empresa debe figurar el sello del ENS con la categoría del sistema (básica, media o alta) y, si es certificación, la entidad certificadora.
- Identifica qué se certifica. El ENS se aplica a sistemas de información, no a la empresa entera de forma genérica. Comprueba que el alcance del certificado cubre el servicio que te interesa, no otro sistema distinto de la misma organización.
- Contrasta en el registro del CCN. Acude a ens.ccn.cni.es y a su registro de entidades para confirmar que la organización figura con conformidad declarada o certificada, en la categoría que dice, y que las fechas son coherentes y están vigentes.
Este cruce evita el riesgo más habitual: dar por bueno un sello que aparece en una web pero que no tiene respaldo registral, está caducado o corresponde a un alcance que no es el del servicio contratado. En una licitación o en la diligencia debida de un contrato, este chequeo de cinco minutos puede ahorrar problemas serios más adelante.
Declaración frente a certificación: la diferencia que más confunde
Esta es la tabla que uso para explicarlo de un vistazo. Resume las dos vías de conformidad del ENS y por qué no son intercambiables.
| Criterio | Declaración de conformidad | Certificación de conformidad |
|---|---|---|
| Categoría aplicable | Solo categoría BÁSICA | Categorías MEDIA y ALTA (obligatoria); también posible en BÁSICA de forma voluntaria |
| Quién la valida | La propia entidad, mediante autoevaluación bajo su responsabilidad | Una entidad de certificación acreditada por ENAC, mediante auditoría |
| Periodicidad | Autoevaluación ordinaria al menos cada 2 años | Auditoría de certificación ordinaria al menos cada 2 años |
| Distintivo | Distintivo de declaración de conformidad | Distintivo de certificación de conformidad, con la certificadora identificada |
| Dónde figura | Web/sede de la entidad y comunicación al CCN; consultable en el registro del CCN | Web/sede de la entidad y comunicación al CCN; consultable en el registro del CCN |
| Esfuerzo y garantía | Menor esfuerzo, garantía basada en la propia organización | Mayor esfuerzo, garantía reforzada por auditoría independiente acreditada |
La clave práctica: la categoría del sistema determina la vía. Si tu sistema es de categoría media o alta, la autoevaluación no basta, necesitas certificación auditada. Y si un proveedor te muestra una declaración de conformidad para un servicio que, por su naturaleza, debería estar en categoría media o alta, ahí hay una incoherencia que merece preguntas.
¿Cada cuánto caduca el certificado y qué pasa con las auditorías?
El Real Decreto 311/2022 establece que los sistemas dentro del ámbito del ENS se someten a una auditoría regular ordinaria al menos cada dos años. Para las categorías media y alta, esa auditoría es la que sostiene la certificación de conformidad; para la básica, la autoevaluación se revisa con esa misma cadencia bienal. En la práctica, esto significa que un certificado no es eterno: tiene una vigencia ligada a ese ciclo de dos años y debe renovarse mediante una nueva auditoría que confirme que el sistema sigue cumpliendo.
Por eso, cuando verificas a un tercero, las fechas importan tanto como el propio sello. Un distintivo de hace cuatro años sin rastro de renovación no acredita conformidad actual. El registro del CCN refleja las fechas de conformidad y de renovación precisamente para que ese seguimiento sea posible. La conformidad con el ENS no es una foto fija, es un compromiso que se mantiene vivo con auditorías periódicas, gestión continua del riesgo y actualización de las medidas de seguridad.
¿Cómo aparece mi empresa en el listado de certificadas?
Si tu objetivo es figurar como entidad conforme, ya sea por obligación contractual con el sector público o por estrategia comercial, el recorrido es claro en su lógica aunque exija trabajo:
- Categoriza tus sistemas. Identifica qué sistemas de información están afectados y determina su categoría (básica, media o alta) en función del impacto sobre las dimensiones de seguridad. Esto decide si tu camino es declaración o certificación.
- Adecúate al ENS. Implanta las medidas de seguridad que exige el marco para tu categoría: política de seguridad, análisis de riesgos, medidas organizativas, operacionales y de protección. Es la fase más larga y la que más valor tiene.
- Declara o certifícate. Para básica, realiza la autoevaluación y emite tu declaración de conformidad. Para media o alta, contrata a una entidad de certificación acreditada por ENAC que audite tu sistema y emita el certificado.
- Publica el distintivo y comunica al CCN. Coloca el sello de conformidad en tu web o sede electrónica y comunica la certificación al CCN, que es lo que permite que tu entidad figure en el registro consultable.
- Mantén la vigencia. Renueva mediante auditoría al menos cada dos años y gestiona la seguridad de forma continua para no perder la conformidad.
No te saltes la categorización inicial: he visto proyectos encarecerse y retrasarse por dimensionar mal el alcance al principio. Si quieres ver el detalle de fases, requisitos y orden de magnitud de la inversión, lo desgloso en mi artículo sobre el proceso de certificación del ENS, requisitos y costes. Y si necesitas saber si tu empresa está realmente obligada por su relación con el sector público, lo aclaro en cuándo el ENS es obligatorio para empresas y proveedores.
ENS e ISO 27001: por qué te preguntarán por ambos
Es frecuente que un mismo pliego o un mismo cliente exija a la vez el ENS y la certificación ISO/IEC 27001. Son marcos compatibles pero distintos: el ENS es un esquema nacional, de cumplimiento obligado para quien trabaja con la Administración española, con categorías y medidas tasadas por ley; ISO 27001 es un estándar internacional, voluntario, basado en un sistema de gestión de la seguridad de la información. Buena parte del trabajo de control se solapa, de modo que una organización con un SGSI maduro parte con ventaja para abordar el ENS, y viceversa. En proyectos reales suelo planificarlos de forma conjunta para aprovechar evidencias y auditorías comunes y reducir esfuerzo.
Cómo te ayudo a llegar al registro del ENS
Acompaño a empresas en todo el recorrido: desde la categorización de sistemas y el análisis de riesgos hasta la adecuación, la preparación de la auditoría y la publicación del distintivo. Trabajo presencialmente y en remoto desde la zona de Castilla y León y Canarias, y de forma deslocalizada para el resto de España. Si tu empresa quiere figurar como conforme con el ENS, o necesitas verificar a tus propios proveedores antes de contratarlos, puedo ayudarte a hacerlo bien y a la primera. Lo desarrollo en mi servicio de consultoría e implantación del ENS, y puedes escribirme desde la página de contacto.
Preguntas frecuentes
¿Dónde puedo ver las empresas certificadas en el ENS?
En el registro de entidades que publica el Centro Criptológico Nacional desde su sede oficial, ens.ccn.cni.es, a través de su plataforma de gobernanza. Permite consultar entidades con conformidad declarada o certificada, filtrar por categoría (básica, media, alta) y por tipo de organización, incluida una categoría específica de empresas certificadas, con sus fechas de certificación y renovación.
¿Qué significa que una empresa tenga el ENS?
Significa que un sistema de información de esa empresa cumple con las medidas del Esquema Nacional de Seguridad y que ese cumplimiento se ha formalizado en un documento de conformidad. Si es categoría básica, mediante una declaración basada en autoevaluación; si es media o alta, mediante una certificación obtenida tras una auditoría de una entidad acreditada por ENAC. No equivale a que «toda la empresa» sea segura: lo que se acredita es el sistema concreto incluido en el alcance.
¿Cómo se verifica la conformidad con el ENS?
Localiza el distintivo de conformidad en la web o sede de la empresa, comprueba qué sistema y categoría cubre, y contrasta esa información en el registro del CCN en ens.ccn.cni.es. Revisa también las fechas, porque la conformidad tiene una vigencia ligada al ciclo de auditoría bienal y debe renovarse al menos cada dos años.
¿Cuál es la diferencia entre declaración y certificación de conformidad?
La declaración de conformidad solo vale para categoría básica y se basa en una autoevaluación de la propia entidad. La certificación de conformidad es obligatoria para categorías media y alta, exige una auditoría realizada por una entidad de certificación acreditada por ENAC y ofrece una garantía reforzada por esa verificación independiente.
¿Cada cuánto hay que renovar el certificado del ENS?
El Real Decreto 311/2022 establece una auditoría regular ordinaria al menos cada dos años. Para categorías media y alta esa auditoría sostiene la certificación, y para básica la autoevaluación se revisa con la misma cadencia bienal. En la práctica, el certificado debe renovarse cada dos años para mantener la conformidad vigente.
¿Cómo aparece mi empresa en el listado de certificadas?
Categoriza tus sistemas, adecúate a las medidas del ENS, obtén la declaración (básica) o la certificación auditada (media/alta), publica el distintivo en tu web o sede electrónica y comunica la certificación al CCN. Esa comunicación es lo que permite que tu entidad figure en el registro consultable. Después, mantén la vigencia renovando al menos cada dos años.
¿El ENS es obligatorio para mi empresa si trabajo con la Administración?
En general, sí: las empresas privadas que prestan servicios o suministran soluciones a entidades del sector público sujetas al ENS deben acreditar conformidad en los sistemas implicados. La categoría exigida (y por tanto si necesitas declaración o certificación) depende del servicio y de la información tratada. Conviene revisar el pliego o el contrato y categorizar bien desde el inicio.
Fuentes
- BOE. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
- CCN. ENS — Conformidad (sede oficial ens.ccn.cni.es)
- CCN. ENS — Distintivos de conformidad
- CCN. ENS — Certificación y entidades de certificación
- CCN. Registro público de entidades con conformidad ENS
- CCN-CERT. Guía CCN-STIC 809: Declaración y certificación de conformidad con el ENS