Saltar al contenido principal →
Buscar Acceso clientes
Agendar sesión
Cumplimiento · ENS

ENS con criterio jurídico-técnico.

Consultoria independiente de marketing, cumplimiento normativo (ISO, ENS, RGPD), digitalizacion y ventas B2B desde Aranda de Duero (Castilla y Leon) para toda Espana.

RGPD, NIS2, DORA, análisis de riesgos MAGERIT, plan director de seguridad, gestión de incidentes y delegado de protección de datos. Para empresas privadas, AAPP y proveedores de servicios esenciales.

Cumplimiento normativo sin papeleo inútil.

La normativa española y europea en ciberseguridad ha crecido enormemente: RGPD (2018), LOPDGDD (2018), Esquema Nacional de Seguridad (2010 + actualización 2022), NIS2 (transposición 2024-25), DORA (2025). Cada una con su ámbito subjetivo y sus exigencias específicas.

Mi trabajo: ayudarte a saber qué te aplica realmente, en qué orden afrontar el cumplimiento, qué controles son críticos y cuáles son cosméticos, y cómo demostrarlo cuando toque auditoría.

Artículos publicados sobre ciberseguridad.

Pillar

Esquema Nacional de Seguridad · Guía completa
MAGERIT

Análisis riesgos MAGERIT · ENS
Auditoría

Auditoría ENS · Preparación
Certificación

Certificación ENS · Proceso, requisitos, costes
CPSTIC

Catálogo CPSTIC del CCN · Productos cualificados
Formación

Concienciación ciberseguridad ENS
Consultoría

Consultoría ENS · Implantación
Controles

73 controles del ENS · Tres marcos
Ayuntamientos

ENS para ayuntamientos
Categorías

ENS categorías · Básica, media, alta
Obligatorio

¿Quién debe cumplir el ENS?
vs ISO 27001

ENS vs ISO 27001 · Diferencias
Incidentes

Gestión incidentes · Protocolo CCN-CERT
BCP

Plan continuidad negocio · BCP en ENS
Política

Política seguridad · ISO 27001 y ENS

Resumen ejecutivo · TL;DR

El Esquema Nacional de Seguridad (ENS), regulado por el RD 311/2022, es obligatorio desde mayo 2024 para todo organismo público español y para todo proveedor de servicios al sector público. Tres categorías según impacto del servicio: Básica, Media, Alta. Para una pyme proveedora TIC, ENS Bajo es la categoría más habitual y cuesta 6.000-15.000 € de consultoría + 2.500-4.500 € de certificación por entidad acreditada CCN-CERT. ISO 27001 implantada cubre ~75 % de los requisitos ENS, por lo que combinarlas ahorra horas y dinero.

Preguntas frecuentes en profundidad

¿Qué empresas están obligadas a cumplir el ENS?

Todo organismo público español (administraciones, organismos autónomos, entidades del sector público). También, todo proveedor de servicios TIC al sector público: empresas que prestan servicios de gestión documental, alojamiento de datos, desarrollo de software, mantenimiento, plataformas, ciberseguridad, etc. Desde mayo 2024 sin certificación ENS no se puede firmar contrato con AAPP que trate información del sector público.

¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?

Se determina según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: impacto bajo en todas (la mayoría de servicios TIC genéricos para AAPP). Medio: impacto medio en al menos una dimensión (servicios sanitarios, tributarios, judiciales). Alto: defensa, infraestructuras críticas. El 80 % de pymes proveedoras AAPP cumple con ENS Bajo.

¿Cuánto cuesta certificarse en ENS Bajo?

Para pyme 10-30 empleados con ISO 27001 ya implantada: 4.000-7.000 € consultoría adicional + 2.500-4.000 € certificación por entidad acreditada CCN-CERT + 1.500-3.000 €/año mantenimiento. Para pyme sin ISO 27001 previa: 8.000-15.000 € consultoría completa. Las entidades CCN-CERT acreditadas en 2026 incluyen AENOR, Eqa Certificación, IT-Security, entre otras.

¿Cómo es el proceso de certificación ENS paso a paso?

Cinco fases. (1) Análisis de riesgos MAGERIT identificando activos, amenazas y vulnerabilidades. (2) Definición de la categoría aplicable y mapeo de controles obligatorios según Anexo II del RD 311/2022. (3) Implantación de controles técnicos y organizativos (políticas, procedimientos, registros, formación). (4) Auditoría interna y declaración de aplicabilidad. (5) Auditoría externa de tercera parte por entidad acreditada CCN-CERT y emisión del certificado.

¿Qué pasa si pierdo la certificación ENS durante un contrato?

Suspensión inmediata del contrato y posible reclamación de daños por la Administración. Las entidades certificadoras avisan con 60 días de antelación antes de la caducidad; en pyme conviene programar la renovación 90 días antes. El certificado ENS Bajo se reevalúa cada 2 años; ENS Medio y Alto cada año.

FAQ rápidas

Lo que más nos preguntan

¿Qué empresas están obligadas a cumplir el ENS?

Todo organismo público español (administraciones, organismos autónomos, entidades del sector público). También, todo proveedor de servicios TIC al sector público: empresas que prestan servicios de gestión documental, alojamiento de datos, desarrollo de software, mantenimiento, pl

¿Cuál es la diferencia entre ENS Bajo, Medio y Alto?

Se determina según el impacto del servicio o información tratada en cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad). Bajo: impacto bajo en todas (la mayoría de servicios TIC genéricos para AAPP). Medio: impacto medio en al menos una di

¿Cuánto cuesta certificarse en ENS Bajo?

Para pyme 10-30 empleados con ISO 27001 ya implantada: 4.000-7.000 € consultoría adicional + 2.500-4.000 € certificación por entidad acreditada CCN-CERT + 1.500-3.000 €/año mantenimiento. Para pyme sin ISO 27001 previa: 8.000-15.000 € consultoría completa. Las entidades CCN-CERT

¿Cómo es el proceso de certificación ENS paso a paso?

Cinco fases. (1) Análisis de riesgos MAGERIT identificando activos, amenazas y vulnerabilidades. (2) Definición de la categoría aplicable y mapeo de controles obligatorios según Anexo II del RD 311/2022. (3) Implantación de controles técnicos y organizativos (políticas, procedimi

¿Qué pasa si pierdo la certificación ENS durante un contrato?

Suspensión inmediata del contrato y posible reclamación de daños por la Administración. Las entidades certificadoras avisan con 60 días de antelación antes de la caducidad; en pyme conviene programar la renovación 90 días antes. El certificado ENS Bajo se reevalúa cada 2 años; EN

Fuentes oficiales

Continúa leyendo

Artículos sobre ENS

ENS

Catálogo CPSTIC del CCN: Productos Cualificados ENS

El CPSTIC es el catálogo del CCN que recoge productos y servicios de seguridad cualificados para sistemas afectados por el ENS en…

15 May 2026ENS

Concienciación Ciberseguridad ENS: Formación del Equipo

La concienciación en ciberseguridad ENS forma al personal en phishing, contraseñas e información sensible. Es obligatoria con registro anual. El 95% de…

14 May 2026ENS

Gestión de Incidentes Ciberseguridad ENS: Protocolo

El ENS obliga a notificar incidentes al CCN-CERT vía LUCIA en un plazo máximo de 24 horas para categoría ALTA y 48…

13 May 2026ENS

Plan de Continuidad de Negocio según ENS: Guía Práctica

El Plan de Continuidad de Negocio (BCP) garantiza la operativa tras un incidente grave. El ENS lo exige en categoría MEDIA y…

12 May 2026ENS

ENS para Ayuntamientos: Guía de Adecuación Práctica

Los ayuntamientos están obligados a adecuarse al ENS desde el RD 311/2022, con categorización mínima BÁSICA y auditoría bienal por entidad ENAC.…

11 May 2026ENS

Política de Seguridad según ISO 27001 y ENS

La política de seguridad de la información es el documento aprobado por dirección que fija objetivos, roles y responsabilidades del SGSI. La…

10 May 2026ENS

Análisis de Riesgos MAGERIT para ENS: Guía Práctica

MAGERIT es la metodología oficial española de análisis y gestión de riesgos de sistemas de información, requerida por el ENS y soportada…

9 May 2026ENS

73 Controles del ENS Explicados con Aplicabilidad

El ENS define 73 controles en tres marcos: organizativo (4), operacional (31) y medidas de protección (38), aplicables según categoría del sistema.…

8 May 2026ENS

Auditoría ENS: Preparación y Claves para Superarla

La auditoría ENS se realiza cada 2 años por entidad acreditada ENAC. Verifica medidas del Anexo II, declaración de aplicabilidad y riesgos.…

7 May 2026ENS

ENS vs ISO 27001: Diferencias y Cuándo Necesitas Ambas

El ENS es obligatorio para el sector público español; ISO 27001 es voluntaria e internacional. Comparten el 70% de controles y pueden…

6 May 2026ENS

Categorías ENS: BÁSICA, MEDIA y ALTA Explicadas

El ENS clasifica los sistemas en tres categorías (BÁSICA, MEDIA, ALTA) según impacto en disponibilidad, integridad, confidencialidad y trazabilidad. La categorización es…

5 May 2026ENS

Certificación ENS: Proceso, Requisitos y Costes 2026

La certificación ENS exige análisis de riesgos, declaración de aplicabilidad y auditoría por entidad ENAC. Coste: 8.000-35.000€ según categoría. Obtener la certificación…

4 May 2026

¿Tu empresa necesita ayuda con cumplimiento?

Agendar sesión sin coste →