Una de las preguntas más frecuentes que recibimos es directa: ¿mi empresa tiene que cumplir el Esquema Nacional de Seguridad? La respuesta depende de su relación con el sector público y del tipo de servicios que presta. En esta guía analizamos con detalle quién está obligado, quién debería estarlo aunque no lo sepa, y qué consecuencias tiene el incumplimiento.
🔗 ENLACE INTERNO: Si necesita un contexto general sobre el ENS, consulte primero nuestra guía definitiva del Esquema Nacional de Seguridad.
Obligación directa: el sector público
El artículo 2 del Real Decreto 311/2022 establece que el ENS es de aplicación a todo el sector público, entendido en los términos de la Ley 40/2015. Esto incluye la Administración General del Estado (ministerios, organismos autónomos, agencias estatales), las Comunidades Autónomas y sus organismos dependientes, las Entidades Locales (ayuntamientos, diputaciones, cabildos, consejos insulares), las Universidades públicas y cualquier entidad de derecho público vinculada o dependiente de las anteriores.
No hay excepciones por tamaño. Un ayuntamiento de 500 habitantes tiene la misma obligación legal de cumplir el ENS que un ministerio, aunque la categoría de sus sistemas será probablemente diferente y, por tanto, los controles aplicables serán menos exigentes.
Obligación indirecta: el sector privado
Aquí es donde muchas empresas descubren que tienen una obligación que desconocían. El mismo artículo 2 del Real Decreto 311/2022 extiende la aplicación del ENS a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público.
Empresas obligadas de facto
Están obligadas a cumplir el ENS todas las empresas que desarrollan, mantienen o evolucionan software utilizado por administraciones públicas. También las que prestan servicios de hosting, cloud computing o infraestructura TI al sector público. Las que gestionan, procesan o almacenan información clasificada por la Administración. Las empresas de outsourcing de servicios TIC para organismos públicos. Los integradores de sistemas que despliegan soluciones en entornos de la Administración. Y las empresas de telecomunicaciones que proveen servicios de comunicaciones al sector público.
La cadena de suministro digital
La obligatoriedad se extiende a toda la cadena de suministro. Si su empresa es subcontratista de un proveedor directo de la Administración y en esa cadena se maneja información del sector público, el ENS le aplica. Esto es algo que muchas empresas de segundo y tercer nivel desconocen hasta que el contratista principal les exige evidencias de cumplimiento.
¿Qué pasa con las empresas que no trabajan con la Administración?
Si su empresa opera exclusivamente en el sector privado y no tiene ninguna relación contractual directa o indirecta con el sector público, el ENS no le obliga legalmente. Sin embargo, cada vez más empresas privadas están adoptando el ENS voluntariamente por varias razones.
La primera es estratégica: muchas empresas prevén trabajar con la Administración en el futuro y quieren estar preparadas. La segunda es competitiva: el ENS demuestra un nivel de seguridad reconocido que aporta confianza a cualquier cliente. La tercera es operativa: el ENS proporciona un marco de seguridad sólido que complementa o sustituye a otros estándares.
El ENS en las licitaciones públicas: cada vez más exigente
La tendencia en la contratación pública es inequívoca. Cada vez más pliegos de licitación incluyen la certificación ENS como requisito de solvencia técnica, esto es, como condición imprescindible para poder presentar oferta, o como criterio de valoración que puntúa a las empresas certificadas frente a las que no lo están.
En sectores como las TIC, la ciberseguridad, la consultoría tecnológica y los servicios digitales, la certificación ENS se está convirtiendo en un requisito de facto para acceder al mercado público. Las empresas que no se anticipen a esta tendencia se encontrarán excluidas de oportunidades de negocio significativas.
🔗 ENLACE INTERNO: Consulte nuestro artículo sobre la ISO 9001 para licitaciones públicas para entender cómo la certificación ENS e ISO multiplican sus opciones en contratación pública.
Checklist de autodiagnóstico: ¿necesito el ENS?
Responda a las siguientes preguntas para determinar si su organización está obligada a cumplir el ENS.
¿Es su organización un organismo del sector público? Si la respuesta es sí, está obligado. ¿Desarrolla o mantiene software para administraciones públicas? Si es así, está obligado. ¿Presta servicios de hosting, cloud o infraestructura TI a organismos públicos? Obligado. ¿Procesa, almacena o transmite información clasificada por la Administración? Obligado. ¿Es subcontratista de un proveedor directo de la Administración en servicios TIC? Probablemente obligado. ¿Licita o planea licitar en contratos públicos del ámbito TIC? Altamente recomendable.
Si ha respondido afirmativamente a cualquiera de estas preguntas, debería evaluar seriamente su adecuación al ENS.
¿Qué consecuencias tiene incumplimiento?
El incumplimiento del ENS puede acarrear varias consecuencias. La exclusión de licitaciones públicas que exijan la certificación ENS como requisito es la consecuencia más inmediata y tangible. La resolución de contratos vigentes con la Administración es posible si se demuestra que el proveedor no cumple los niveles de seguridad exigidos. Las responsabilidades administrativas pueden derivarse si un incidente de seguridad afecta a datos o servicios públicos por carencias atribuibles al proveedor. Y el daño reputacional de un incidente de seguridad en un servicio público puede ser devastador para la empresa responsable.
El plazo para adecuarse es ahora
El Real Decreto 311/2022 no establece un periodo de gracia. La obligación es inmediata para todas las organizaciones incluidas en su ámbito de aplicación. Si su empresa trabaja con la Administración y aún no ha iniciado el proceso de adecuación, está asumiendo un riesgo legal y operativo que se incrementa con cada día que pasa.
La buena noticia es que existen subvenciones como el Kit Consulting que pueden financiar hasta 24.000 euros del proyecto de adecuación, y que un consultor especializado puede acelerar significativamente el proceso.
🔗 ENLACE INTERNO: Si ha determinado que necesita adecuarse al ENS, consulte nuestra guía sobre consultoría ENS para elegir al mejor partner.
📩 CTA: ¿No está seguro de si su empresa necesita el ENS? Contacte con nosotros y evaluaremos su situación sin compromiso. Un diagnóstico de 30 minutos puede ahorrarle meses de incertidumbre.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →