En breve: El Esquema Nacional de Seguridad (ENS) no tiene un régimen sancionador propio con multas directas como el RGPD. Pero incumplirlo cuesta caro de otra forma: quedas excluido de las licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad patrimonial para la Administración, puedes infringir la Ley 40/2015 y normativa sectorial, y te expones a un grave riesgo reputacional y operativo.
El Esquema Nacional de Seguridad (ENS) no tiene un régimen sancionador propio: no existen multas directas «del ENS» como sí ocurre con el el régimen sancionador del RGPD. Pero incumplirlo cuesta caro de otra forma. Quedas fuera de licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad para la Administración, infringes la Ley 40/2015 y normativa sectorial, y te expones a brechas y a sanciones de otras normas (RGPD, las obligaciones de NIS2) que sí multan.
Esta es una de las preguntas que más me llega como consultor de cumplimiento: «si el ENS no tiene multas, ¿de verdad pasa algo por no cumplirlo?». La respuesta honesta —y conviene decirla con rigor, porque hay mucha desinformación interesada— es que el ENS funciona de un modo distinto al RGPD. No castiga con una sanción económica tasada; condiciona tu capacidad de operar con el sector público y traslada el riesgo a terrenos donde el coste real puede ser muy superior al de una multa. Vamos a desmontar el mito y a poner cifras y consecuencias verificables sobre la mesa.
¿El ENS tiene multas? La verdad incómoda
No. El Real Decreto 311/2022, de 3 de mayo, que regula el ENS, se estructura en cuarenta y un artículos, tres disposiciones adicionales, una transitoria, una derogatoria, tres finales y cuatro anexos. Si lo lees completo comprobarás algo revelador: no hay ningún capítulo, artículo ni anexo que tipifique infracciones ni establezca un cuadro de sanciones. El capítulo V (artículos 35 a 38) regula la determinación de la conformidad; el capítulo VII, la categorización de los sistemas. En ningún punto aparece un «régimen sancionador» al estilo del Título VIII del RGPD.
Esto es deliberado. El ENS nace como una norma de naturaleza distinta: no es una ley de protección de un derecho fundamental con potestad punitiva, sino un marco técnico-organizativo que desarrolla la Ley 40/2015, de Régimen Jurídico del Sector Público. Su artículo 156 obliga a las entidades del sector público a adoptar y adaptarse al ENS, pero la consecuencia del incumplimiento no se canaliza por una multa: se canaliza por la vía del Derecho administrativo común y por las consecuencias prácticas que veremos. Quien te diga que «el ENS te puede multar con X euros» o no ha leído la norma o te está vendiendo miedo.
Si quieres entender el marco completo antes de seguir, te recomiendo mi guía completa del Esquema Nacional de Seguridad, donde explico principios, dimensiones, niveles y medidas de los anexos.
ENS frente a RGPD: ¿qué normativa sí impone multas?
Para ver el contraste, conviene poner los dos marcos uno al lado del otro. El artículo 83 del RGPD sí dispone de un aparato sancionador potente y bien tasado: infracciones de hasta 10 millones de € o el 2 % del volumen de negocio anual mundial para el primer nivel, y hasta 20 millones de € o el 4 % para el segundo, eligiéndose siempre la cuantía mayor. El ENS no tiene nada equivalente. Esta diferencia estructural es la clave de todo el artículo.
| Aspecto | ENS (RD 311/2022) | RGPD (Reglamento UE 2016/679) |
|---|---|---|
| ¿Régimen sancionador propio? | No. La norma no tipifica infracciones ni multas. | Sí. Título VIII y artículo 83. |
| Multa máxima directa | Ninguna prevista en la norma. | Hasta 20 millones de € o el 4 % de la facturación mundial. |
| Órgano que controla | CCN, órganos de auditoría del sector público y entidades de certificación acreditadas por ENAC. | AEPD (autoridad de control con potestad sancionadora). |
| Naturaleza | Marco técnico-organizativo de obligado cumplimiento. | Regulación de un derecho fundamental. |
| Consecuencia típica del incumplimiento | Exclusión de licitaciones, responsabilidad administrativa, riesgo operativo. | Multa administrativa, apercibimiento, limitación del tratamiento. |
La conclusión es importante: el ENS no sanciona, pero a menudo convive con normas que sí lo hacen. Si tu sistema procesa datos personales —y casi todos lo hacen— una mala implantación del ENS suele coincidir con un incumplimiento del RGPD que la AEPD sí puede sancionar. El ENS y el RGPD comparten terreno en la seguridad del tratamiento (artículo 32 del RGPD), de modo que el agujero de seguridad que el ENS te obligaba a tapar es, a la vez, el incumplimiento que el RGPD castiga.
¿Me pueden excluir de una licitación por no tener el ENS?
Sí, y esta es la consecuencia más tangible e inmediata. La Ley 9/2017, de Contratos del Sector Público (LCSP), permite al órgano de contratación exigir requisitos de solvencia técnica y condiciones de ejecución en los pliegos. Cuando un contrato implica tratar información de la Administración o prestar servicios que se integran en sus sistemas, es cada vez más habitual que el pliego de cláusulas administrativas exija al adjudicatario disponer de la conformidad con el ENS —declaración o certificación según la categoría— como requisito de solvencia o como condición de ejecución.
¿Qué significa esto en la práctica? Que si no acreditas la conformidad cuando el pliego la pide, tu oferta queda excluida, por buena y barata que sea. No es una multa: es algo peor para una empresa que vive del sector público, porque te deja fuera del mercado. Y no es un riesgo teórico: la conformidad ENS se ha convertido en un filtro de entrada en muchísimas licitaciones de servicios TIC, alojamiento, desarrollo de software o tratamiento de datos para administraciones. Lo desarrollo con casos concretos en mi análisis sobre cuándo el ENS es obligatorio para empresas y proveedores.
Responsabilidad patrimonial y obligaciones de la Administración
Para las entidades públicas, el incumplimiento del ENS tiene una dimensión propia que las empresas a veces pasan por alto. La Ley 40/2015 impone la adopción del ENS como obligación legal; no cumplirla es una infracción del ordenamiento que el sistema de control interno y los órganos de fiscalización pueden detectar y reprochar. Pero hay más: si un sistema mal protegido —porque no se aplicaron las medidas del ENS— sufre una brecha que causa un daño a un ciudadano o a un tercero, se abre la puerta a la responsabilidad patrimonial de la Administración.
Es decir, la Administración (y, por extensión, sus contratistas según el reparto de responsabilidades) puede tener que indemnizar el daño causado por el funcionamiento anormal del servicio. El ENS, al definir el estándar de diligencia exigible en seguridad, se convierte en la vara de medir: si no aplicaste las medidas que el ENS obligaba para la categoría de tu sistema, demostrar que actuaste con la diligencia debida se vuelve muy difícil. El incumplimiento del ENS deja de ser una cuestión formal para convertirse en la prueba de tu negligencia.
Riesgo reputacional y de confianza institucional
Hay un coste que no aparece en ninguna ley pero que pesa enormemente: la reputación. La conformidad con el ENS se materializa en distintivos públicos —sellos de declaración o certificación— que las organizaciones muestran en su sede electrónica. Su ausencia, cuando deberías tenerla, es visible. Y al revés: una brecha de seguridad en un servicio público o en un proveedor que debía cumplir el ENS y no lo hacía genera titulares, abre expedientes y erosiona la confianza de ciudadanos y administraciones.
Para una empresa proveedora, perder la confianza de un cliente público es perder un mercado entero, porque las administraciones se comunican entre sí y comparten experiencias de contratistas. La reputación en este sector no se recupera con una campaña de marketing; se recupera demostrando conformidad real y sostenida en el tiempo. Por eso muchas organizaciones afrontan la implantación del ENS no como un trámite, sino como una inversión defensiva en su propia continuidad comercial.
¿Quién controla el cumplimiento del ENS?
Aquí está otra clave que desmonta el mito de la multa. El ENS no se vigila mediante inspecciones sancionadoras como las de la AEPD, sino mediante un sistema de auditoría y conformidad articulado por el Centro Criptológico Nacional (CCN) a través de su serie de guías CCN-STIC. La guía CCN-STIC-808 establece el itinerario de verificación del cumplimiento, y la CCN-STIC-809 regula la declaración y la certificación de conformidad.
El mecanismo depende de la categoría del sistema:
- Categoría básica: basta una autoevaluación que da lugar a una declaración de conformidad.
- Categorías media y alta: exigen una auditoría de certificación realizada por entidades de certificación acreditadas por ENAC u órganos de auditoría técnica del sector público.
Quien «controla», por tanto, no es un inspector que viene a multarte: es el auditor que verifica si cumples y, si no cumples, no te otorga la conformidad. Y sin conformidad vuelves al primer problema: no puedes acreditar la solvencia que el pliego exige. El círculo se cierra. Si te estás preparando para una de estas auditorías, en mi servicio de preparación de auditoría ENS reviso el itinerario CCN-STIC-808 contigo antes de que venga la entidad certificadora.
Solapamientos sancionables: cuando otra norma sí multa
Este es el matiz que separa el análisis riguroso del titular fácil. Aunque el ENS no sancione, el mismo incumplimiento técnico puede activar el régimen sancionador de otras normas que comparten objetivo. Conviene tenerlos todos en el radar:
| Norma | ¿Multa directa? | Cuando se solapa con el ENS |
|---|---|---|
| RGPD (art. 83) | Sí, hasta 20 M€ o 4 % | Si el sistema mal protegido trata datos personales (art. 32 RGPD). |
| NIS2 / Directiva (UE) 2022/2555 | Sí, hasta 10 M€ o 2 % (entidades esenciales) | Si eres entidad esencial o importante de un sector estratégico. |
| LCSP (Ley 9/2017) | No multa, pero excluye y resuelve contratos | Si el pliego exigía conformidad ENS como solvencia o condición. |
| Ley 40/2015 | No multa, base de responsabilidad administrativa | Siempre, para el sector público: el ENS es obligación legal directa. |
La NIS2 merece atención especial. Esta directiva europea, en vigor a nivel UE desde 2023 y pendiente de transposición completa en España a fecha de 2026, impone multas de hasta 10 millones de € o el 2 % de la facturación mundial a las entidades esenciales, además de sanciones no monetarias como la inhabilitación de directivos. Para muchas organizaciones, ENS y NIS2 se solaparán: el mismo fallo de seguridad que el ENS te obligaba a evitar será, bajo NIS2, una infracción sancionable. Profundizo en cómo encajan ENS, RGPD, NIS2 y DORA en mi panorama de normativa de ciberseguridad en España.
El coste real de no cumplir, en cifras prácticas
Resumamos el verdadero coste del incumplimiento, que rara vez es una multa pero casi siempre es dinero perdido:
- Contratos perdidos: cada licitación de la que quedas excluido es facturación que no entra. Para un proveedor TIC del sector público, esto puede representar la mayor parte de su negocio.
- Coste de la brecha: un incidente en un sistema mal protegido implica respuesta de emergencia, posible indemnización por responsabilidad patrimonial y notificación obligatoria.
- Sanción cruzada: si hay datos personales, la AEPD puede multar bajo el RGPD; si eres sector estratégico, NIS2 entra en juego.
- Coste reputacional: la pérdida de confianza institucional cierra puertas durante años.
- Coste de la prisa: implantar el ENS a contrarreloj cuando ya has perdido un contrato sale mucho más caro que hacerlo con planificación.
La implantación ordenada del ENS es, en realidad, la opción más barata. Por eso recomiendo abordarla como un proyecto y no como una urgencia; en mi servicio de consultoría e implantación del ENS trabajo sobre el análisis de riesgos, la categorización y la declaración de aplicabilidad para que llegues a las licitaciones con la conformidad ya acreditada.
Preguntas frecuentes sobre el incumplimiento del ENS
¿El ENS tiene multas?
No. El el RD 311/2022 que regula el ENS no contiene un régimen sancionador propio: no tipifica infracciones ni establece multas, a diferencia del artículo 83 del RGPD. Las consecuencias del incumplimiento llegan por otras vías —exclusión de licitaciones, responsabilidad administrativa, sanciones de otras normas— pero no existe una «multa del ENS».
¿Qué pasa si no cumplo el ENS?
Si eres una empresa proveedora, quedas excluido de las licitaciones públicas cuyos pliegos exijan la conformidad ENS, pierdes contratos y te expones a sanciones cruzadas del RGPD o la NIS2 si tu sistema falla. Si eres una entidad pública, incumples una obligación legal directa de la Ley 40/2015 y abres la puerta a la responsabilidad patrimonial de la Administración ante una brecha.
¿Me pueden excluir de una licitación por no tener el ENS?
Sí. La Ley 9/2017 de Contratos del Sector Público permite a los órganos de contratación exigir la conformidad ENS como requisito de solvencia técnica o condición de ejecución en los pliegos. Si el pliego lo pide y no lo acreditas, tu oferta se excluye automáticamente, con independencia de su precio o calidad.
¿Quién controla el cumplimiento del ENS?
El Centro Criptológico Nacional (CCN) define el marco de verificación a través de las guías CCN-STIC (808 y 809). El control efectivo se realiza mediante autoevaluación en categoría básica y mediante auditoría de certificación —por entidades acreditadas por ENAC u órganos de auditoría del sector público— en las categorías media y alta. No es un inspector sancionador, sino un auditor que otorga o deniega la conformidad.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE) — texto consolidado; sin régimen sancionador propio.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (BOE) — artículo 156, base legal del ENS.
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (BOE) — solvencia técnica y pliegos.
- Reglamento (UE) 2016/679 (RGPD), artículo 83 — régimen sancionador para contraste.
- CCN-CERT — Guía CCN-STIC-808, verificación del cumplimiento del ENS.
- Portal ENS del CCN — Distintivos de conformidad.