No existe un número mágico de meses idéntico para todos. La adecuación al Esquema Nacional de Seguridad (ENS) es un proyecto con fases bien definidas: en un sistema de categoría básica suele completarse en 3 a 6 meses; en categoría media o alta, lo realista es 6 a 12 meses (a veces más) hasta lograr la conformidad. El plazo legal del régimen transitorio del el texto del RD 311/2022 ya venció: los sistemas preexistentes tenían 24 meses desde el 5 de mayo de 2022, es decir, hasta el 5 de mayo de 2024.
La pregunta que más me llega cuando una organización descubre que está obligada al ENS no es «¿qué tengo que hacer?», sino «¿cuánto voy a tardar?». Y es lógica: detrás de esa duda hay un calendario de licitación que cumplir, un pliego que exige conformidad o una inspección que aprieta. En esta guía te explico, con honestidad, cuánto tiempo lleva adecuarse al ENS, qué fases tiene el Plan de Adecuación y cómo construir un cronograma realista que no te deje vendido a mitad de proyecto.
Soy consultor de cumplimiento y trabajo la adecuación al ENS con organizaciones de Castilla y León y de Canarias. Lo que vas a leer aquí está contrastado con la fuente primaria (el RD 311/2022 y las guías CCN-STIC de la serie 800) y con la experiencia de los proyectos reales, donde el plazo casi nunca es el que figura en el folleto.
¿Hay un plazo legal para adecuarse al ENS?
Sí, hubo uno, y conviene entenderlo bien porque genera mucha confusión. El Real Decreto 311/2022, de 3 de mayo, que regula el ENS, entró en vigor el 5 de mayo de 2022. Su disposición transitoria única concedió un plazo de veinticuatro meses para que los sistemas de información preexistentes alcanzaran su plena adecuación. La cuenta es directa: 5 de mayo de 2022 + 24 meses = 5 de mayo de 2024.
Es decir, ese plazo transitorio ya está vencido. Quien todavía no se ha adecuado no está «dentro de plazo», está incumpliendo una obligación cuya fecha límite pasó. Y aquí viene el matiz importante que no debes pasar por alto: el ENS no es una norma con «fecha de caducidad» de la obligación. Si tu organización está dentro del ámbito de aplicación, la obligación de cumplir es permanente, exista o no un periodo transitorio. Lo que venció fue el plazo de gracia para los sistemas que ya existían en 2022; cualquier sistema nuevo debe nacer ya adecuado.
Para sistemas que entran en el ámbito del ENS por una causa sobrevenida —por ejemplo, una empresa privada que firma un contrato con una Administración y, por el pliego, queda obligada— el «reloj» práctico lo marca el propio contrato o la licitación, no una disposición transitoria. De ahí que el plazo que de verdad importa, en la mayoría de proyectos privados, sea el que fija el cliente público. Si quieres profundizar en cuándo y por qué obliga el ENS a las empresas, lo desarrollo en la guía sobre cuándo es obligatorio el ENS para empresas y proveedores.
¿Qué es el Plan de Adecuación al ENS?
El Plan de Adecuación es el documento que ordena todo el proyecto. Lo describe la guía CCN-STIC-806, que es la referencia oficial del Centro Criptológico Nacional para esta tarea. No es un trámite burocrático más: es la hoja de ruta que convierte «tengo que cumplir el ENS» en una secuencia de acciones con responsables y plazos.
Según la CCN-STIC-806, el Plan de Adecuación recoge, como mínimo, estos elementos:
- Política de seguridad de la organización, acorde con el Anexo II del ENS (o la planificación para crearla o modificarla si no existe).
- Información tratada y su valoración.
- Servicios prestados y su valoración.
- Datos de carácter personal que se manejen, por su conexión con el RGPD.
- Categoría del sistema (básica, media o alta) resultante de la valoración.
- Declaración de aplicabilidad de las medidas del Anexo II.
- Análisis de riesgos y mapa de riesgo actual.
- Insuficiencias del sistema respecto a lo exigido.
- Plan de mejora de la seguridad, con su calendario de ejecución.
Fíjate en lo último: el Plan de Adecuación incluye su propio cronograma. Cuando lo redactas bien, el Plan ya contiene las fechas de implantación de cada medida. Por eso la mejor respuesta a «¿cuánto tardaré?» es: «hasta que no tengas categorizado el sistema y hecho el análisis de riesgos, cualquier plazo es una estimación; el Plan de Adecuación es lo que lo convierte en un compromiso con fechas».
¿Cuáles son las fases de adecuación al ENS?
El proceso completo, desde la decisión de la dirección hasta la conformidad, se puede ordenar en ocho fases. No todas tienen el mismo peso: las primeras son rápidas y documentales; la implantación de medidas es la que se come el calendario.
- Decisión y arranque. La dirección aprueba el proyecto y designa los roles del ENS: responsable de la información, del servicio, de la seguridad y del sistema. Sin este paso, el proyecto no tiene quién responda. Lo desarrollo en la guía de consultoría e implantación del ENS.
- Categorización del sistema. Se valoran información y servicios en las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) y se obtiene la categoría: básica, media o alta. Esta decisión condiciona todo el resto del calendario.
- Análisis de riesgos. Se identifican activos, amenazas y salvaguardas existentes para obtener el mapa de riesgo actual. Se suele apoyar en MAGERIT o en una metodología equivalente.
- Declaración de aplicabilidad. Se seleccionan las medidas del Anexo II que aplican según la categoría, los datos personales tratados y el resultado del análisis de riesgos.
- Redacción del Plan de Adecuación. Se consolida todo lo anterior en el documento CCN-STIC-806, con el plan de mejora y su calendario.
- Implantación de medidas. Se ejecuta el plan de mejora. Es la fase más larga y más variable, porque depende de cuántas medidas falten y de su dificultad técnica y organizativa.
- Verificación. Autoevaluación en categoría básica; auditoría formal en media y alta.
- Declaración o certificación de conformidad. El cierre formal que acredita el cumplimiento.
Para no perder de vista el conjunto, te dejo el cronograma orientativo en una sola tabla. Son estimaciones, no garantías: el rango real depende del tamaño de la organización, de su madurez de partida y de la categoría.
| Fase | Qué se hace | Duración estimada | Responsable principal |
|---|---|---|---|
| 1. Decisión y arranque | Aprobación de dirección y designación de roles | 1-3 semanas | Dirección |
| 2. Categorización | Valoración en las 5 dimensiones y categoría | 2-3 semanas | Resp. seguridad + resp. información/servicio |
| 3. Análisis de riesgos | Mapa de riesgo actual (MAGERIT o equivalente) | 3-6 semanas | Resp. seguridad |
| 4. Declaración de aplicabilidad | Selección de medidas del Anexo II | 2-4 semanas | Resp. seguridad |
| 5. Plan de Adecuación | Documento CCN-STIC-806 y plan de mejora | 2-4 semanas | Resp. seguridad + consultor |
| 6. Implantación de medidas | Ejecución del plan de mejora | 3-9 meses | Resp. sistema + TI |
| 7. Verificación | Autoevaluación (básica) o auditoría (media/alta) | 4-8 semanas | Auditor / equipo interno |
| 8. Conformidad | Declaración o certificación y distintivo | 2-4 semanas | Resp. seguridad + entidad certificadora |
Si sumas los rangos verás por qué hablo de 3-6 meses en básica y de 6-12 meses (o más) en media y alta: las fases documentales se solapan y avanzan rápido, pero la implantación —la fase 6— es la que marca el ritmo. Y esa fase no depende del consultor, depende de la capacidad real de tu organización para ejecutar cambios.
¿Cuánto tiempo se tarda en cumplir el ENS según la categoría?
La categoría del sistema es, con diferencia, el factor que más altera el calendario. No es lo mismo una categoría básica, donde el cierre se hace por autoevaluación, que una categoría alta, donde hay auditoría formal y certificación por una entidad acreditada.
- Categoría básica. Menos medidas del Anexo II, verificación por autoevaluación y cierre mediante declaración de conformidad. Es la vía más ágil: con una organización de partida razonable, 3-6 meses es alcanzable.
- Categoría media. Más medidas exigibles y auditoría obligatoria por entidad de certificación acreditada. El plazo realista sube a 6-12 meses.
- Categoría alta. El conjunto completo de medidas reforzadas y auditoría formal. Aquí 9-12 meses es lo normal, y proyectos complejos se van más allá.
Si todavía no sabes qué categoría te corresponde, esa es la primera pieza que debes resolver, porque dimensiona el resto del proyecto. Para elegir bien, te ayuda entender el funcionamiento del esquema en su conjunto, que detallo en la guía completa del Esquema Nacional de Seguridad.
¿Qué diferencia hay entre declaración y certificación de conformidad?
Es una confusión habitual y afecta directamente al plazo, porque cada vía tiene su propio cierre. Lo regula la guía CCN-STIC-809:
- Declaración de conformidad. Aplica a sistemas de categoría básica. La emite la propia entidad responsable del sistema tras la autoevaluación. Es más rápida porque no requiere intervención de un tercero acreditado.
- Certificación de conformidad. Es obligatoria para categorías media y alta (y voluntaria para básica). La emite una entidad de certificación acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. El certificado tiene una validez de dos años, transcurridos los cuales se requiere una auditoría de renovación.
Esto tiene una consecuencia de calendario que conviene anticipar: si vas a media o alta, no basta con «estar listo»; hay que reservar la auditoría con la entidad certificadora y dejar margen para subsanar lo que detecte. Por eso recomiendo planificar la preparación de la auditoría del ENS desde el principio del proyecto, no como un trámite final.
¿Qué guías CCN-STIC marcan el proceso y los plazos?
El ENS no te deja solo: el CCN publica una serie de guías (la serie 800) que son el mapa práctico de todo el proceso. Las tres que más afectan a la adecuación y a su calendario son:
- CCN-STIC-806 — Plan de Adecuación. Cómo construir el Plan, qué debe contener y cómo planificar la mejora. Es la guía que estructura el cronograma.
- CCN-STIC-808 — Verificación del cumplimiento. Sirve de itinerario de auditoría para evaluar la conformidad de un sistema de cualquier categoría (básica, media o alta).
- CCN-STIC-809 — Declaración y certificación de conformidad. Criterios y procedimientos para declarar o certificar la conformidad, junto con los distintivos de cumplimiento.
Conviene recordar que estas guías se actualizan. El CCN ha publicado revisiones recientes tanto de la 808 como de la 809, así que antes de cerrar tu Plan de Adecuación conviene verificar que estás trabajando con la versión vigente. La obligación de fondo no cambia, pero los detalles de procedimiento sí pueden afinarse.
¿Cómo planificar un cronograma realista (sin engañarte)?
El error más común que veo es tratar el ENS como un proyecto puramente documental que se despacha en unas semanas. Las fases 1 a 5 sí son rápidas; el problema es la fase 6, la implantación. Estos son los factores que de verdad mueven tu plazo:
- Madurez de partida. Si ya tienes una ISO 27001 o controles de seguridad bien establecidos, muchas medidas del Anexo II ya están cubiertas y el proyecto se acelera notablemente.
- Disponibilidad real del equipo. Un análisis de riesgos no se hace «entre reuniones». Si las personas clave están a otras cosas, el calendario se estira.
- Dependencia de terceros. Migraciones, contratación de proveedores o cambios de infraestructura introducen plazos que no controlas tú.
- Categoría y vía de cierre. Como hemos visto, media/alta añade la auditoría y la reserva de la entidad certificadora.
- Contratos y subcontratación. Si tu obligación viene de servir a una Administración, la cadena de proveedores también puede tener que adecuarse, y eso suma.
Mi recomendación práctica: define la fecha objetivo (la del pliego o la del cliente público) y planifica hacia atrás desde ahí, reservando un colchón para la verificación y la subsanación. Y arranca por la categorización cuanto antes, porque hasta que no la tengas, cualquier promesa de plazo es humo.
FAQ — Preguntas frecuentes sobre los plazos del ENS
¿Cuánto tiempo se tarda en cumplir el ENS?
Depende sobre todo de la categoría y de la madurez de partida. Como orientación de proyecto: 3-6 meses en categoría básica y 6-12 meses (o más) en media y alta. La fase más larga es la implantación de medidas; las fases documentales avanzan en pocas semanas.
¿Qué es el Plan de Adecuación?
Es el documento, descrito en la guía CCN-STIC-806, que ordena todo el proyecto: política de seguridad, valoración de información y servicios, categoría, declaración de aplicabilidad, análisis de riesgos, insuficiencias y plan de mejora con su calendario. Es la hoja de ruta con fechas.
¿Cuáles son las fases de adecuación al ENS?
De forma ordenada: decisión y arranque, categorización del sistema, análisis de riesgos, declaración de aplicabilidad, redacción del Plan de Adecuación, implantación de medidas, verificación (autoevaluación o auditoría) y, por último, declaración o certificación de conformidad.
¿Hay un plazo legal para adecuarse?
El régimen transitorio del RD 311/2022 dio 24 meses a los sistemas preexistentes, desde su entrada en vigor el 5 de mayo de 2022, es decir, hasta el 5 de mayo de 2024. Ese plazo ya venció. La obligación de cumplir, en cambio, es permanente mientras se esté dentro del ámbito de aplicación; los sistemas nuevos deben nacer ya adecuados.
¿La certificación caduca?
La certificación de conformidad (obligatoria en media y alta) tiene una validez de dos años, tras los cuales se requiere una auditoría de renovación. Conviene incluir esa renovación en tu planificación recurrente, no tratarla como un hito aislado.
Conclusión y siguiente paso
La adecuación al ENS no se mide en una cifra única, sino en un calendario de fases en el que la categoría del sistema y tu madurez de partida lo deciden casi todo. El plazo legal del régimen transitorio ya pasó, así que hoy la urgencia la marca tu propia situación: un pliego, un contrato o una inspección. La buena noticia es que el proceso está perfectamente pautado por las guías CCN-STIC, y un Plan de Adecuación bien hecho te da fechas concretas en lugar de incertidumbre.
Si necesitas estimar tu calendario real, trabajo la implantación del ENS con organizaciones en Castilla y León y en Las Palmas. Y si quieres situar el ENS dentro del mapa normativo más amplio (RGPD, las obligaciones de NIS2, DORA), te será útil la guía de normativa de ciberseguridad en España.
Fuentes
- BOE — Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (texto consolidado, disposición transitoria única).
- BOE — Ley 40/2015, de Régimen Jurídico del Sector Público (base legal del ENS).
- CCN-CERT — Guía CCN-STIC-806: Plan de Adecuación al ENS.
- CCN-CERT — Guía CCN-STIC-808: Verificación del cumplimiento del ENS.
- CCN-CERT — Guía CCN-STIC-809: Declaración y certificación de conformidad con el ENS.
- Portal ENS del CCN — Distintivos de conformidad (declaración y certificación).
- ENAC — Acreditación de entidades de certificación del ENS (UNE-EN ISO/IEC 17065).
Contenido elaborado por Summum Marketing con fines informativos. No constituye asesoramiento jurídico. Verifica siempre la versión vigente de las guías CCN-STIC antes de cerrar tu Plan de Adecuación.