En breve: Para licitar o contratar con el sector público español lo que te exigen es el Esquema Nacional de Seguridad (ENS), no la ISO 27001. El ENS es obligatorio por ley (Real Decreto 311/2022) para los sistemas que tratan información del sector público, mientras que la ISO 27001 es voluntaria. Implantar antes la ISO 27001 ayuda (comparten controles), pero no sustituye a la conformidad con el ENS que piden los pliegos.
¿ENS o el estándar de seguridad de la información para trabajar con la Administración? Para licitar o contratar con el sector público español lo que te exigen es el Esquema Nacional de Seguridad (ENS), no la ISO 27001. El ENS es obligatorio por ley (Real Decreto 311/2022) para los sistemas que tratan información del sector público; la ISO 27001 es voluntaria. Ahora bien, implantar la ISO 27001 antes del ENS suele salir más barato, porque buena parte de los controles se reaprovechan. En este artículo me centro en el ángulo que casi nadie te explica: qué te piden en una licitación, en qué orden conviene implantar cada marco y cómo evitar pagar dos veces lo mismo.
Si lo que buscas es la comparativa técnica completa (origen, alcance, mapeo de controles, análisis de riesgos), la tienes desarrollada en mi guía de diferencias entre ENS e ISO 27001. Aquí no la repito: voy directo a la decisión práctica de una empresa que quiere vender a la Administración.
¿Qué te exige realmente la Administración: ENS o ISO 27001?
La respuesta corta es el ENS. El Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad, amplió expresamente su ámbito a los operadores del sector privado que prestan servicios o proveen soluciones a entidades públicas cuando esos sistemas tratan información del sector público. Es decir: si tu empresa va a manejar datos o sistemas de un organismo público, entras en el ámbito del ENS aunque seas una empresa privada.
La ISO 27001, en cambio, es una norma internacional voluntaria. Nadie te obliga a tenerla. Lo que ocurre es que muchos pliegos la valoran o la dan por equivalente a ciertos efectos, pero no sustituye al ENS cuando el ENS es obligatorio. Confundir ambas cosas es el error que más caro sale en una mesa de contratación.
¿Qué dicen los pliegos de licitación sobre el ENS?
En la práctica, en una licitación pública el ENS aparece de tres formas distintas, y conviene saber distinguirlas porque las consecuencias son muy diferentes:
- Como requisito de solvencia técnica (obligatorio): el pliego exige que el licitador acredite conformidad con el ENS en la categoría que corresponda al servicio. Si no lo tienes, quedas excluido.
- Como criterio de adjudicación valorable (puntos): el ENS no es obligatorio para presentarse, pero sumar la conformidad —o un nivel superior— te da puntos frente a competidores.
- Como obligación de ejecución (durante el contrato): no te lo piden al licitar, pero el contrato te obliga a alcanzar la conformidad en un plazo desde la adjudicación. Si no lo cumples, incurres en penalización o resolución.
La ISO 27001 suele aparecer en los pliegos en la zona "valorable" o como acreditación de buenas prácticas, casi nunca como requisito excluyente para contratos del sector público. Por eso, si solo tienes ISO 27001 y el pliego exige ENS como solvencia, no puedes licitar. Para entender cómo se traslada esto a la práctica contractual, te interesa mi guía sobre el proceso, requisitos y costes de la certificación ENS.
¿Puedo usar la ISO 27001 para cumplir el ENS?
No directamente, pero sí para acelerar y abaratar. La ISO 27001 y el ENS comparten una parte importante de su lógica: ambos parten de un análisis de riesgos, exigen una política de seguridad aprobada por la dirección, documentación de controles, gestión de incidentes y mejora continua. Eso significa que si ya tienes un SGSI certificado en ISO 27001, gran parte del trabajo del ENS ya está hecho: políticas, procedimientos, inventario de activos, análisis de riesgos y registros pueden reaprovecharse.
Lo que no hace la ISO 27001 es darte automáticamente la conformidad ENS. El ENS tiene su propio marco de medidas (Anexo II del RD 311/2022), su categorización por niveles y su procedimiento de conformidad. Hay que mapear lo que ya tienes contra las medidas del ENS, cubrir las que falten y pasar por la vía de conformidad correspondiente. Pero partir de la ISO 27001 reduce el esfuerzo de forma sustancial: no se empieza de cero.
¿Es más barato implantar la ISO 27001 antes que el ENS?
En la mayoría de empresas privadas que quieren vender a la Administración, sí, y por dos motivos. Primero, porque la ISO 27001 te da un Sistema de Gestión de Seguridad de la Información reconocido internacionalmente que vale también para clientes privados, no solo para el sector público. Segundo, porque, una vez montado el SGSI, la implantación del ENS se apoya en él en lugar de duplicarse.
El orden inverso —ENS primero, ISO 27001 después— también es válido, pero suele ser menos eficiente para una empresa privada: el ENS está pensado desde la óptica de la Administración y su documentación no siempre encaja tan bien con lo que pide la ISO. Si tu objetivo principal es licitar y además quieres una certificación vendible a clientes privados, la secuencia ISO 27001 → ENS es la que mejor amortiza el gasto.
Orden de implantación recomendado para licitar
Tabla: qué necesitas según tu situación
Esta tabla resume la decisión según dónde esté tu empresa y qué busca. Es una guía orientativa de elaboración propia, no sustituye la lectura del pliego concreto:
| Tu situación | ¿Necesitas ENS? | ¿Necesitas ISO 27001? | Recomendación de orden |
|---|---|---|---|
| Vendes solo a clientes privados | No (salvo que traten info pública) | Opcional, da confianza comercial | ISO 27001 si la piden tus clientes |
| Quieres empezar a licitar con la Administración | Sí, si el pliego lo exige | Recomendable como base | ISO 27001 → ENS |
| El pliego exige ENS como solvencia | Sí, obligatorio para licitar | No obligatorio | ENS prioritario; ISO acelera |
| El pliego valora ISO 27001 con puntos | Según el contrato | Te suma puntos | Ambas si compites por adjudicación |
| Ya tienes ISO 27001 y quieres licitar | Sí, si el pliego lo pide | Ya la tienes | Mapear ISO sobre ENS |
Errores frecuentes en la mesa de contratación
Cuando reviso ofertas con empresas que llevan poco tiempo licitando, los tropiezos se repiten. Estos son los que más excluyen o restan puntos:
- Presentar la ISO 27001 cuando el pliego pide ENS. Son marcos distintos. Adjuntar el certificado ISO no acredita conformidad con el ENS y la mesa puede inadmitir la oferta por falta de solvencia técnica.
- Acreditar una categoría ENS inferior a la del servicio. El ENS se categoriza por niveles (básico, medio, alto). Si el contrato trata información de categoría media y tú aportas conformidad básica, no cumples el requisito.
- Confundir declaración con certificación. En nivel básico el ENS se acredita por declaración de conformidad (autoevaluación); en medio y alto, por certificación con auditoría de una entidad acreditada. Aportar una declaración donde el pliego exige certificación es motivo de exclusión.
- No publicar el distintivo de conformidad. El RD 311/2022 obliga a evidenciar la conformidad mediante el distintivo oficial en la web o sede electrónica. Algunos pliegos lo comprueban.
- Dejar la conformidad para "cuando ganemos". Si el pliego la exige como solvencia, hay que tenerla antes de presentar la oferta, no después de la adjudicación.
Plazos y penalizaciones: el ENS como obligación de ejecución
Hay contratos en los que el ENS no se exige al licitar, sino que se impone como obligación durante la ejecución. En esos casos el pliego suele fijar un plazo desde la formalización del contrato para alcanzar la conformidad —habitualmente unos meses— y vincular su incumplimiento a penalizaciones económicas o, en los casos más graves, a la resolución del contrato.
Aquí es donde tener la ISO 27001 previa marca la diferencia: si ya partes de un SGSI maduro, llegar a la conformidad ENS dentro del plazo contractual es factible; si empiezas de cero con el reloj corriendo, el riesgo de incumplir el hito es real. Por eso, cuando una empresa me dice que quiere "entrar en la Administración", lo primero que miramos no es el primer pliego, sino si conviene construir antes la base ISO 27001 para no jugársela en cada plazo de ejecución.
Caso práctico: una pyme tecnológica que quiere licitar
Imagina una pyme de desarrollo de software con diez personas que hasta ahora solo ha trabajado con clientes privados y quiere optar a contratos de una consejería autonómica. El servicio implicará alojar y tratar datos de la Administración, por lo que entra en el ámbito del ENS. ¿Por dónde empezar?
La ruta que tiene sentido es: (1) implantar un SGSI conforme a ISO 27001, que le sirve también para ganar confianza con sus clientes privados; (2) categorizar el servicio público que va a prestar para saber qué nivel de ENS necesita; (3) mapear los controles ISO ya implantados contra las medidas del ENS y cubrir las que falten; y (4) pasar por la vía de conformidad —declaración o certificación según el nivel—. Con esta secuencia, la pyme no duplica documentación, obtiene una certificación vendible y llega a las licitaciones con la conformidad ENS en regla.
¿Y si necesito las dos? Cómo no pagar dos veces lo mismo
Muchas empresas que trabajan a la vez con clientes privados y con la Administración acaban necesitando ambos marcos. La clave para no duplicar coste es implantar un único sistema de gestión que cubra los dos a la vez: una sola política de seguridad, un solo análisis de riesgos, un inventario de activos compartido y un cuerpo documental común, con los anexos específicos que cada marco exige.
Esa convergencia es justo la que ofrezco en mi pack ISO 27001 + ENS + RGPD para licitaciones con las AAPP en Castilla y León: en lugar de tres proyectos separados, un único sistema que cumple los tres marcos y se audita de forma coordinada. Si operas desde nuestros servicios en Castilla y León o desde Canarias, trabajo el acompañamiento completo, desde el diagnóstico inicial hasta la conformidad.
Conclusión: ENS para entrar, ISO 27001 para construir
Si tu meta es trabajar con la Administración, el ENS es la puerta: sin él, en muchos casos ni siquiera puedes presentarte. La ISO 27001 es el cimiento sobre el que conviene construir, porque te ahorra trabajo en el ENS y te sirve también fuera del sector público. La secuencia más rentable para una empresa privada suele ser ISO 27001 primero, ENS después, y, cuando hagan falta los dos, integrarlos en un solo sistema de gestión para no pagar dos veces el mismo esfuerzo.
El error que veo una y otra vez es tratar la conformidad como un trámite de última hora, justo antes de una licitación concreta. No funciona así: ni el ENS ni la ISO 27001 se improvisan en dos semanas, porque ambos exigen evidencias —políticas aprobadas, riesgos analizados, controles operando— que necesitan tiempo de funcionamiento real para auditarse. Anticiparse, decidir el orden correcto y construir un sistema único que sirva para varios pliegos es lo que convierte el cumplimiento en una ventaja competitiva en lugar de en una carrera contra el reloj.
Preguntas frecuentes
¿Necesito el ENS o la ISO 27001?
Depende de para quién trabajes. Para licitar o contratar con el sector público español, lo obligatorio es el ENS (Real Decreto 311/2022). La ISO 27001 es voluntaria, internacional y útil para clientes privados; no sustituye al ENS cuando este es obligatorio.
¿Puedo usar la ISO 27001 para cumplir el ENS?
No de forma automática, pero sí como base: ambas comparten política de seguridad, análisis de riesgos y gestión de incidentes. Si ya tienes ISO 27001, reaprovechas gran parte de la documentación y reduces el esfuerzo del ENS, aunque hay que mapear y cubrir las medidas propias del Anexo II del ENS.
¿Qué me exigen para trabajar con la Administración?
Habitualmente la conformidad con el ENS en la categoría que corresponda al servicio. Puede aparecer como requisito de solvencia (obligatorio para licitar), como criterio valorable (puntos) o como obligación de ejecución del contrato. Hay que leer cada pliego.
¿Es más barato implantar ISO 27001 antes que el ENS?
Para la mayoría de empresas privadas, sí. El SGSI de la ISO 27001 sirve dentro y fuera del sector público y, una vez montado, la implantación del ENS se apoya en él en lugar de duplicarse. La secuencia ISO 27001 → ENS suele amortizar mejor el gasto.