En breve: Si prestas servicios o provees soluciones a la Administración, el Esquema Nacional de Seguridad (ENS) puede aparecer en el pliego como requisito de solvencia o condición de ejecución. No es una obligación universal del sector privado: te obliga cuando el órgano de contratación lo exige porque sus sistemas se apoyan en los tuyos. El Real Decreto 311/2022 fija esa exigencia para la cadena de suministro pública.
Si tu empresa presta servicios o provee soluciones a la Administración, el Esquema Nacional de Seguridad (ENS) puede aparecer en el pliego como requisito de solvencia o condición de ejecución. No es una obligación universal del sector privado: te obliga cuando el órgano de contratación lo exige porque sus sistemas de información se apoyan en los tuyos. El propio RD 311/2022 ordena a las Administraciones incluir esa exigencia en sus contratos. La categoría (Básica, Media o Alta) la fija quien licita, según la información que vas a manejar.
Llega mucha consulta a mi mesa que empieza igual: "Nos hemos presentado a una licitación y en el pliego pone que hay que acreditar la conformidad con el ENS. No tenemos nada. ¿Estamos fuera?". La respuesta corta es que probablemente sigues dentro si actúas a tiempo, pero el ENS no se improvisa la semana antes de presentar la oferta. En este artículo me centro en el ángulo que más le importa a una empresa que quiere vender a las AAPP: cómo entra el ENS en los pliegos de contratación pública, qué categoría te van a exigir y cómo organizar el trabajo para llegar a la fecha límite. Si lo que buscas es el panorama general de la obligación, lo tienes desarrollado en el artículo sobre el ENS obligatorio para empresas y proveedores; aquí bajo al terreno concreto de las licitaciones.
¿El ENS obliga a las empresas privadas?
El ENS nació para las Administraciones Públicas, no para el sector privado. Su base legal está en la Ley 40/2015 de Régimen Jurídico del Sector Público, y su desarrollo vigente es el Real Decreto 311/2022, de 3 de mayo. Una empresa privada que no trabaja con ninguna entidad pública no tiene, por este motivo, ninguna obligación de cumplir el ENS.
El matiz que lo cambia todo está en el artículo 2.3 del RD 311/2022. Ese apartado extiende la aplicación del ENS a los sistemas de información de las entidades del sector privado cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas. Dicho de otro modo: el ENS no te alcanza por ser privado, te alcanza por ser proveedor de lo público. Cuando tu sistema se convierte en una pieza del sistema de información de un organismo, tu seguridad pasa a ser parte de la suya.
Conviene tener clara la diferencia entre dos preguntas que se confunden a menudo. Una es "¿estoy dentro del ámbito del ENS?", que responde el artículo 2.3. La otra es "¿me lo van a exigir en este contrato concreto?", que responde el pliego de la licitación. Puedes estar potencialmente dentro del ámbito y no necesitar acreditar nada porque el servicio que prestas no toca información del organismo; o estar claramente dentro y tener que presentar una certificación auditada. El detonante práctico, casi siempre, es la cláusula del pliego.
¿Por qué me piden el ENS en una licitación?
Porque la propia norma se lo ordena al órgano de contratación. El artículo 2.3 del RD 311/2022 no se limita a definir el ámbito: también establece que los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se apoyen los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.
Esto significa que la Administración no está siendo exigente "de más" cuando te pide el ENS: está cumpliendo su propia obligación legal. Por eso ves cada vez con más frecuencia cláusulas de ENS en contratos de desarrollo de software, alojamiento, mantenimiento de aplicaciones, plataformas SaaS, servicios cloud, gestión documental, atención al ciudadano o cualquier servicio que toque datos del organismo. Y por eso ignorarlo no es una opción: si el pliego lo pide y tú no lo acreditas, tu oferta se excluye, por buena que sea técnica o económicamente.
El artículo 2.3 añade una cautela que muchas pymes pasan por alto: esa exigencia se extiende también a la cadena de suministro del contratista, en la medida en que sea necesario y de acuerdo con los resultados del análisis de riesgos. Si tú subcontratas parte del servicio (por ejemplo, el hosting a un tercero), ese tercero también queda dentro del foco. No te basta con estar tú conforme: tienes que poder responder por los eslabones de los que dependes.
¿Cómo aparece el ENS en el pliego: PCAP o PPT?
Una licitación pública se gobierna por dos documentos, ambos regulados por la Ley 9/2017 de Contratos del Sector Público (LCSP). El Pliego de Cláusulas Administrativas Particulares (PCAP) fija las reglas del procedimiento y de la ejecución del contrato. El Pliego de Prescripciones Técnicas (PPT) describe el objeto y los requisitos técnicos. El ENS puede aparecer en cualquiera de los dos, y dónde aparezca cambia su naturaleza jurídica.
En la práctica verás la exigencia del ENS materializada de tres formas distintas, que no son lo mismo a efectos de oferta:
- Como requisito de solvencia técnica. El pliego pide acreditar la conformidad con el ENS para poder presentarse. Si no la tienes en el momento de licitar (o de adjudicar, según el pliego), quedas excluido. Es la versión más dura: la conformidad es una condición de entrada.
- Como condición especial de ejecución. El pliego permite licitar sin tener el ENS, pero obliga a obtenerlo en un plazo determinado tras la adjudicación (por ejemplo, antes del inicio del servicio o en los primeros meses). Da margen, pero el compromiso es vinculante y su incumplimiento puede acarrear penalidades o incluso resolución del contrato.
- Como criterio de adjudicación o mejora. Tener el ENS suma puntos frente a competidores que no lo tienen, aunque no sea estrictamente obligatorio. Aquí el ENS deja de ser un trámite y se convierte en ventaja competitiva.
Mi consejo cuando reviso un pliego con un cliente es leer con lupa el apartado de solvencia y el de condiciones de ejecución antes de decidir si nos presentamos. Si el ENS figura como solvencia y no lo tenemos, hay que valorar si llegamos a tiempo o si esa licitación concreta no es para esta vuelta. Confundir "condición de ejecución" con "requisito de solvencia" puede costar una exclusión o un compromiso imposible de cumplir.
¿Qué categoría del ENS me exigen como proveedor?
Esta es la pregunta del millón, y la respuesta honesta es: la que decida el órgano de contratación. No la eliges tú. El ENS define tres categorías de seguridad (Básica, Media y Alta) en función del impacto que tendría un incidente sobre las cinco dimensiones de la seguridad (confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad). El organismo valora esa información mediante su análisis de riesgos y fija en el pliego la categoría que te va a exigir.
Como orientación, y siempre sujeta a lo que diga el pliego concreto, esta es la lógica habitual:
- Categoría Básica. Servicios cuyo compromiso tendría un impacto limitado para el organismo. La conformidad se acredita mediante una Declaración de Conformidad, basada en una autoevaluación. No exige auditoría externa.
- Categoría Media. La más frecuente en contratos de cierto peso (SaaS, alojamiento de datos, aplicaciones de gestión). Exige Certificación de Conformidad, que solo puede emitir una entidad de certificación acreditada por ENAC tras una auditoría.
- Categoría Alta. Servicios críticos o que manejan información muy sensible. También exige certificación auditada, con los requisitos técnicos y organizativos más estrictos.
La frontera entre declaración y certificación la marca el artículo 38.1 del RD 311/2022: los sistemas de categoría Básica pueden acreditar su conformidad mediante una autoevaluación (Declaración), mientras que los de categoría Media o Alta necesitan obligatoriamente una auditoría para la Certificación. La guía CCN-STIC-809 del Centro Criptológico Nacional detalla los modelos de declaración, los procedimientos de certificación y los distintivos de cumplimiento. Conviene leerla antes de prometer plazos: una certificación Media no se obtiene en dos semanas. Si necesitas afinar la categoría, lo trato con detalle en mi guía sobre los niveles y categorías del Esquema Nacional de Seguridad.
Hoja de ruta: qué categoría te exigen y cómo llegar a tiempo
La tabla siguiente es una guía de criterio propia, construida a partir del articulado del RD 311/2022 y de la experiencia de preparar empresas para licitaciones reales. No sustituye al pliego (que siempre manda), pero te ayuda a estimar por dónde van los tiros antes de leerlo a fondo: qué categoría es probable según el servicio, por qué vía se acredita la conformidad y cuánto tiempo realista necesitas.
| Tipo de servicio / dato que manejas | Categoría probable | Vía de conformidad | Plazo orientativo desde cero |
|---|---|---|---|
| Web informativa, suministro puntual o servicio que no trata información del organismo | Básica | Declaración de Conformidad (autoevaluación, sin auditoría externa) | 2 a 4 meses |
| SaaS, alojamiento o aplicación de gestión con datos del organismo de impacto moderado | Media | Certificación de Conformidad por entidad acreditada ENAC (con auditoría) | 4 a 8 meses |
| Servicio crítico, infraestructura esencial o información muy sensible / especialmente protegida | Alta | Certificación de Conformidad auditada con requisitos máximos | 6 a 12 meses |
| Servicio en el que subcontratas hosting o partes a terceros | La que fije el organismo (cadena de suministro, art. 2.3) | Tu conformidad + acreditar la del subcontratista en lo necesario | Suma el plazo del eslabón más lento |
Los plazos no son caprichosos: una certificación de categoría Media implica un análisis de riesgos, la implantación del Anexo II de medidas, un periodo de funcionamiento del sistema con las medidas operando y, después, la auditoría por la entidad acreditada. Cada fase tiene su tiempo, y comprimirlas suele salir caro en calidad. Por eso insisto a mis clientes en lo mismo: la conformidad con el ENS se empieza antes de que salga el pliego que te interesa, no cuando ya está publicado con un mes de plazo de presentación.
¿Qué pasos sigo para preparar la conformidad?
La hoja de ruta para llegar a una licitación con el ENS en orden tiene una secuencia bastante estable, la ajustes para Básica o para Media/Alta:
- 1. Determina el alcance y la categoría. Identifica qué sistema concreto soporta el servicio que vas a ofrecer a la Administración y categoriza según el impacto en las cinco dimensiones. Si ya tienes un pliego sobre la mesa, la categoría viene dada.
- 2. Redacta la política de seguridad. El artículo 12 del RD 311/2022 exige a las entidades del sector privado en el ámbito del ENS disponer de la política de seguridad de la información. Es el documento fundacional del que cuelga todo lo demás.
- 3. Haz el análisis de riesgos. Con una metodología reconocida (MAGERIT es la de referencia en el sector público español). De aquí salen las medidas que de verdad necesitas.
- 4. Implanta las medidas del Anexo II. Las que correspondan a tu categoría. No es solo tecnología: hay medidas de marco organizativo, operacional y de protección.
- 5. Declara o certifica. Para Básica, una Declaración de Conformidad por autoevaluación. Para Media o Alta, contratas la auditoría con una entidad acreditada por ENAC y obtienes la Certificación.
- 6. Mantente conforme. El ENS no es una foto fija: las certificaciones se renuevan y el sistema se audita periódicamente. La conformidad es un estado que se mantiene, no un sello que se cuelga y se olvida.
Si ya tienes una ISO 27001 implantada, parte de este camino está recorrido: el sistema de gestión de la seguridad y buena parte de los controles se reaprovechan. La relación entre ambos marcos la explico en la guía de ISO 27001 para la seguridad de la información; no son lo mismo, pero se solapan lo suficiente como para que tener una facilite la otra.
¿Qué pasa si no tengo el ENS y quiero licitar?
Depende de cómo figure en el pliego. Si el ENS es requisito de solvencia y no lo acreditas en el momento exigido, tu oferta se excluye: no entras a valoración. Si es condición especial de ejecución, puedes licitar y comprometerte a obtenerlo en plazo, pero ese compromiso es vinculante; incumplirlo abre la puerta a penalidades e incluso a la resolución del contrato con sus consecuencias. Y si es criterio de adjudicación, no quedas fuera por no tenerlo, pero partes en desventaja frente a quien sí lo presenta.
En ningún escenario "no tener el ENS" es neutral cuando el pliego lo menciona. La buena noticia es que la mayoría de empresas que pierden una licitación por esto no es porque el ENS sea inalcanzable, sino porque llegaron tarde a enterarse de que lo necesitaban. Si trabajas con la Administración o aspiras a hacerlo, lo razonable es anticiparse: revisar tu cartera de licitaciones objetivo, ver qué categoría es previsible y arrancar la conformidad con margen. Para eso está la consultoría de implantación del ENS, que precisamente ordena este trabajo para que el sello llegue antes que la fecha de presentación.
ENS, ISO 27001 y RGPD: el pack para licitar
En muchas licitaciones el ENS no viaja solo. Es habitual que el mismo pliego pida también certificación ISO 27001 y garantías de cumplimiento del RGPD, porque casi cualquier servicio a un organismo implica tratar datos personales. Abordarlos por separado es ineficiente: comparten análisis de riesgos, comparten controles y comparten documentación. Tiene mucho más sentido planificarlos juntos.
Para empresas que quieren posicionarse de forma estable como proveedoras de las AAPP he articulado una vía combinada que cubre los tres frentes a la vez; la detallo en el pack ISO 27001 + ENS + RGPD para licitaciones con las AAPP. La idea es sencilla: si vas a invertir en cumplimiento para vender a lo público, que la inversión sirva para el máximo de pliegos posibles y no haya que rehacer el trabajo en cada concurso.
Trabajo este tipo de proyectos desde consultor de digitalización en Castilla y León y Canarias, con empresas que licitan con ayuntamientos, diputaciones, consejerías y organismos autónomos. El patrón se repite: la conformidad bien planificada deja de ser un obstáculo y pasa a ser una llave que abre concursos a los que antes ni te podías presentar.
Preguntas frecuentes
¿El ENS es obligatorio para empresas privadas?
No con carácter general. Una empresa privada que no trabaja con el sector público no tiene obligación de cumplir el ENS. El artículo 2.3 del RD 311/2022 lo extiende al sector privado solo cuando, en virtud de una relación contractual, presta servicios o provee soluciones a entidades del sector público. La obligación práctica nace de la cláusula del pliego del contrato concreto.
¿Por qué me piden el ENS en una licitación?
Porque el RD 311/2022 obliga al órgano de contratación a incluir en sus pliegos los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas en que se apoyan los servicios contratados, incluida la presentación de declaraciones o certificaciones de conformidad. No es exceso de celo del organismo: es el cumplimiento de su propia obligación legal.
¿Qué categoría del ENS me exigen como proveedor?
La fija el órgano de contratación en el pliego, según el análisis de riesgos sobre la información que vas a manejar. Como orientación: Básica para servicios de impacto limitado (se acredita por Declaración), Media para SaaS y tratamiento de datos de impacto moderado (Certificación auditada por entidad ENAC) y Alta para servicios críticos o información muy sensible. No la eliges tú.
¿Necesito certificación o basta una declaración?
Depende de la categoría. Según el artículo 38.1 del RD 311/2022, los sistemas de categoría Básica pueden acreditar su conformidad mediante autoevaluación (Declaración de Conformidad), mientras que los de categoría Media o Alta necesitan una Certificación de Conformidad emitida por una entidad acreditada por ENAC tras auditoría.
¿Qué pasa si no tengo el ENS y quiero licitar?
Depende de cómo figure en el pliego. Si es requisito de solvencia, quedas excluido si no lo acreditas. Si es condición especial de ejecución, puedes licitar comprometiéndote a obtenerlo en plazo, con penalidades si incumples. Si es criterio de adjudicación, no quedas fuera pero pierdes puntos. En todos los casos conviene anticiparse y empezar la conformidad antes de que salga el pliego.
¿Mis subcontratistas también tienen que cumplir el ENS?
Pueden tener que hacerlo. El artículo 2.3 del RD 311/2022 extiende la cautela a la cadena de suministro del contratista, en la medida necesaria y según el análisis de riesgos. Si subcontratas, por ejemplo, el alojamiento del servicio, ese tercero entra en el foco y debes poder responder por su conformidad en lo que afecte al contrato.
¿Cuánto tiempo tardo en estar conforme con el ENS para licitar?
Orientativamente, de cero: 2 a 4 meses para una Declaración de categoría Básica y 4 a 8 meses para una Certificación de categoría Media, porque esta última incluye análisis de riesgos, implantación de medidas, periodo de operación y auditoría. La categoría Alta puede llegar a 12 meses. Por eso conviene arrancar antes de que se publique el pliego objetivo, no después.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE, texto consolidado) — art. 2.3 (ámbito sector privado y pliegos), art. 12 (política de seguridad), art. 38 (conformidad por categorías).
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP) — PCAP y PPT, solvencia técnica y condiciones especiales de ejecución.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público — base legal del Esquema Nacional de Seguridad.
- Portal ENS del Centro Criptológico Nacional (CCN) — Distintivos de conformidad — declaración vs. certificación y categorías.
- Guía CCN-STIC-809: Declaración y Certificación de Conformidad con el ENS — procedimientos y distintivos.
- ENAC — Acreditación de entidades de certificación del ENS — quién puede emitir certificaciones de conformidad Media y Alta.
Contenido elaborado por Summum Marketing para angelortegacastro.com. Información divulgativa verificada contra fuentes primarias; no sustituye el asesoramiento sobre un pliego concreto. ¿Tienes una licitación con cláusula ENS sobre la mesa? Hablemos y vemos si llegas a tiempo.