Todas las entidades locales —ayuntamientos, diputaciones, cabildos, consejos insulares y mancomunidades— tienen la obligación ENS clara sobre el papel; pero la adecuación real de la administración local tiene un recorrido muy desigual, y no todas las corporaciones saben por dónde empezar ni qué categoría les corresponde.

De los más de 8.000 ayuntamientos que existen en España, menos de 200 han obtenido la certificación o declaración de conformidad con el Esquema Nacional de Seguridad. La cifra es alarmante considerando que la obligatoriedad del ENS para toda la Administración Pública no tiene excepciones por tamaño. Los ayuntamientos, diputaciones y entidades locales enfrentan retos específicos que esta guía aborda con soluciones prácticas y adaptadas a su realidad.

Si necesitas un marco general del ENS, consulta mi guía definitiva del Esquema Nacional de Seguridad.

La realidad de las entidades locales españolas frente al ENS

La situación actual es preocupante. La mayoría de municipios pequeños y medianos no han iniciado siquiera el proceso de adecuación al ENS. Los motivos son recurrentes: desconocimiento de la obligación legal, ausencia de personal técnico especializado en ciberseguridad, presupuestos muy limitados para proyectos de seguridad, sistemas de información heredados y difíciles de securizar, y una percepción errónea de que el ENS solo afecta a grandes organismos.

Sin embargo, los ayuntamientos son especialmente vulnerables a los ciberataques. Manejan datos personales de todos sus ciudadanos (padrón, tributos, licencias, servicios sociales), gestionan infraestructuras críticas locales (agua, alumbrado, tráfico) y con frecuencia operan con sistemas obsoletos y sin actualizaciones de seguridad.

Categorización típica de los sistemas municipales

La mayoría de ayuntamientos pequeños y medianos categorizarán sus sistemas en BÁSICA o MEDIA. Un ayuntamiento de menos de 5.000 habitantes con servicios electrónicos básicos (sede electrónica, padrón, gestión tributaria) habitualmente se sitúa en categoría BÁSICA, lo que permite la declaración de conformidad sin certificación externa.

Los ayuntamientos medianos (5.000-50.000 habitantes) con servicios electrónicos más complejos (tramitación completa, servicios sociales, policía local) suelen requerir categoría MEDIA, con la consiguiente obligación de certificación formal.

Los grandes ayuntamientos y diputaciones provinciales, con sistemas de información más complejos e interconectados, pueden requerir categoría ALTA en algunos de sus sistemas.

Diputaciones, cabildos y mancomunidades: también son entidades locales obligadas

En el ámbito de las entidades locales, el ENS no distingue por tipo ni por tamaño. El artículo 3 de la Ley 7/1985 reconoce como entidades locales al municipio, la provincia y la isla, y también a las comarcas, las áreas metropolitanas y las mancomunidades de municipios. Todas prestan servicios públicos apoyándose en sistemas de información y todas entran, por tanto, en el ámbito de aplicación del RD 311/2022.

Las diputaciones provinciales, los cabildos canarios y los consejos insulares baleares juegan además un doble papel: deben adecuar sus propios sistemas, habitualmente más complejos que los de un ayuntamiento medio, y al mismo tiempo son la pieza clave para extender el ENS al territorio, porque la asistencia técnica a los municipios de menor capacidad forma parte de sus competencias propias (artículo 36 de la Ley 7/1985).

Las mancomunidades y los consorcios que prestan servicios electrónicos —gestión tributaria delegada, servicios sociales comarcales, recogida de residuos con tramitación en línea— tratan datos de los vecinos de todos los municipios agrupados, por lo que deben categorizar sus sistemas y adecuarse igual que cualquier ayuntamiento.

El perfil de cumplimiento específico para entidades locales (CCN-STIC 883)

El artículo 30 del RD 311/2022 introduce los perfiles de cumplimiento específicos: conjuntos de medidas de seguridad que el CCN valida y publica para entidades o sectores concretos aplicando el principio de proporcionalidad. Para la administración local, la guía CCN-STIC 883 (guía de implantación del ENS para entidades locales) los concreta por tramo de población:

Adecuarse mediante el perfil correspondiente reduce el esfuerzo frente al Anexo II completo sin renunciar a la conformidad: es la vía pensada precisamente para que una entidad local llegue al ENS con medidas proporcionadas a sus riesgos y a sus recursos. El punto de partida sigue siendo el mismo: categorizar los sistemas y analizar los riesgos.

Hoja de ruta de adecuación al ENS para entidades locales

Fase 1: diagnóstico y concienciación (1-2 meses)

El primer paso es que el equipo de gobierno municipal tome conciencia de la obligación y la importancia del ENS. Convoque una sesión informativa para alcaldía, concejalía responsable y personal técnico. Identifica un responsable interno del proyecto, aunque sea a tiempo parcial. Y realiza un inventario básico de los sistemas de información municipales y de los proveedores TIC que los gestionan.

Fase 2: categorización y análisis básico (2-3 meses)

Categorice los sistemas de información conforme al Anexo I del ENS. Realiza un análisis de riesgos simplificado con μPILAR (la versión reducida de la herramienta del CCN). Identifica las brechas más críticas respecto a los controles aplicables.

Fase 3: plan de adecuación priorizado (1 mes)

Elabore un plan de acción que priorice las medidas por nivel de riesgo. No intente hacerlo todo a la vez. Empiece por los controles que mayor impacto tienen en la reducción del riesgo: control de acceso, copias de seguridad, gestión de incidentes y concienciación del personal.

Fase 4: implantación progresiva (6-12 meses)

Implanta los controles de forma gradual, empezando por los más críticos. Documente la política de seguridad y los procedimientos esenciales. Forme al personal. Establece un acuerdo con sus proveedores TIC para que apliquen los controles que les corresponden.

Fase 5: declaración o certificación (1-2 meses)

Si la categoría es BÁSICA, emita la declaración de conformidad. Si es MEDIA o ALTA, contrate una auditoría de certificación con una entidad acreditada.

Herramientas gratuitas del CCN para municipios

El CCN ofrece un ecosistema de herramientas especialmente diseñado para administraciones con recursos limitados.

μPILAR es la versión simplificada de la herramienta de análisis de riesgos, más accesible que la versión completa y suficiente para la mayoría de municipios. CLARA es la herramienta de verificación automatizada del cumplimiento de configuraciones de seguridad en sistemas Windows. ANA es la herramienta de análisis de vulnerabilidades que permite escanear los sistemas del ayuntamiento en busca de debilidades conocidas. microCLOUD ofrece servicios cloud seguros (correo electrónico, almacenamiento, ofimática) para entidades que no tienen capacidad para gestionar sus propias infraestructuras. VANESA es el servicio de videoconferencia segura del CCN. E INES es la plataforma para reportar el estado de adecuación al ENS.

Todas estas herramientas son gratuitas para organismos del sector público. Aprovecharlas puede reducir significativamente los costes del proyecto de adecuación.

El informe INES: la cita anual con el estado de la seguridad

El artículo 32 del RD 311/2022 regula el Informe del Estado de la Seguridad: un perfil general de la seguridad de los sistemas del sector público que la Comisión Sectorial de Administración Electrónica elabora con los datos que aportan las propias entidades. La recogida se articula a través de INES, la plataforma del CCN-CERT que acabo de mencionar entre las herramientas gratuitas, y la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad (Resolución de 7 de octubre de 2016) obliga a comunicar esos datos al menos una vez al año.

Para una entidad local, cumplir con INES supone cargar anualmente los datos básicos de sus sistemas: identificación de la entidad, organización de la seguridad, gestión de incidentes, recursos y medidas implantadas. A cambio, la plataforma devuelve índices de madurez y de cumplimiento que permiten a la corporación compararse con entidades similares y priorizar las siguientes mejoras con datos, no con intuiciones.

Además, es la evidencia más asequible de que la entidad se toma en serio el ENS: la carga es gratuita y en la mayoría de los casos puede completarse con medios propios.

Financiación disponible para ayuntamientos

Existen varias fuentes de financiación que los municipios pueden aprovechar. Los fondos Next Generation EU, canalizados a través de planes de digitalización de las CC.AA. y las diputaciones provinciales, incluyen partidas específicas para ciberseguridad municipal. Las diputaciones provinciales en varias comunidades autónomas ofrecen programas de apoyo técnico y financiero a sus municipios. Y las Cámaras de Comercio locales pueden proporcionar orientación sobre ayudas disponibles.

Consulta mi artículo sobre subvenciones para certificación ISO y ENS en España para un análisis completo de las fuentes de financiación.

Soluciones mancomunadas: cómo abordan el ENS los municipios pequeños

Para un municipio de unos pocos miles de habitantes, montar un proyecto ENS en solitario rara vez es realista: no hay personal técnico especializado ni presupuesto para asumirlo. La vía práctica es compartir la adecuación, con tres fórmulas habituales:

Este enfoque multiorganización es justo el que plantea la guía CCN-STIC 883 para grupos homogéneos de entidades: adecuar una sola vez y reutilizar el esfuerzo en muchas corporaciones. Si tu caso es el de un consistorio con recursos muy limitados, tengo publicada una guía específica de ENS para ayuntamientos pequeños centrada en la autoevaluación INES.

El papel de los proveedores TIC municipales

Muchos ayuntamientos tienen externalizada la gestión de sus sistemas de información. En estos casos, el proveedor TIC es corresponsable del cumplimiento del ENS. Es fundamental que los contratos con proveedores incluyan cláusulas de seguridad alineadas con el ENS, que los proveedores demuestren su propio cumplimiento (idealmente con certificación ENS), que se establezcan acuerdos de nivel de servicio (SLA) que incluyan requisitos de seguridad, y que se monitorice regularmente el cumplimiento por parte del proveedor.

Si su proveedor TIC no conoce el ENS o no está dispuesto a comprometerse con su cumplimiento, considera seriamente buscar un proveedor alternativo.

Casos de éxito en la administración local

A pesar de los retos, cada vez más ayuntamientos están completando con éxito su adecuación al ENS. Las claves comunes en los casos de éxito son el compromiso del equipo de gobierno, la asignación de un responsable interno, el uso intensivo de las herramientas del CCN, la colaboración con la diputación provincial y el asesoramiento externo especializado para las fases más complejas del proyecto.

¿Eres responsable de un ayuntamiento, una diputación o cualquier otra entidad local que necesita adecuarse al ENS? Hablemos: tengo experiencia en la administración local y te propondré un plan de adecuación adaptado a tus recursos y plazos. Tienes el detalle del servicio en mi página de consultoría ENS.


Preguntas frecuentes en profundidad

¿Qué ayuntamientos están obligados al ENS y desde cuándo?

Todas las entidades del sector público según la Ley 40/2015, incluyendo el 100 % de ayuntamientos españoles sin excepción de tamaño. El plazo de adecuación al RD 311/2022 venció el 5 de mayo de 2024. No estar adecuado actualmente supone incumplimiento normativo expreso.

Los proveedores que prestan servicios TIC a un ayuntamiento también deben cumplir ENS en la parte que les afecta y declararlo en su oferta a través del certificado correspondiente.

¿Qué categoría ENS aplica a un ayuntamiento?

La categoría mínima para un ayuntamiento es MEDIA. Los sistemas que tratan datos de salud, datos de menores, datos policiales, datos judiciales o servicios críticos (padrón, urbanismo crítico, identidades) suben a ALTA. Servicios puramente informativos pueden quedar en BÁSICA si están aislados.

Cada sistema de información se categoriza por separado en función de los activos de información que trata y las dimensiones afectadas (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad).

¿Cuánto cuesta adecuar un ayuntamiento al ENS?

Para un ayuntamiento de 5.000-20.000 habitantes, la implantación completa (consultoría + herramientas + auditoría) suele costar 18.000-45.000 € repartidos en 12-18 meses. Para ayuntamientos mayores la cifra crece con el número de sistemas y empleados.

Hay líneas de financiación específicas para administración local: fondos FEDER, convenios con Diputaciones Provinciales y la línea ENS de la Secretaría General de Administración Digital para corporaciones locales.

¿Qué pasa si un ayuntamiento no se adecua al ENS?

Tres consecuencias inmediatas: 1) imposibilidad de prestar servicios electrónicos conforme a la Ley 39/2015 y 40/2015 sin riesgo legal, 2) pérdida de elegibilidad para fondos europeos NextGen vinculados a digitalización que exigen ENS como condición, 3) exposición personal del Secretario y del responsable de informática ante una brecha.

Además, el ENS es exigible por los ciudadanos como derecho a una administración segura conforme al artículo 14 de la Ley 39/2015. Una sanción de la AEPD por brecha en un ayuntamiento no adecuado al ENS tiene agravante claro.

¿Quién debe liderar el proyecto ENS en un ayuntamiento?

El RD 311/2022 exige nombrar tres roles: el Responsable de la Información (típicamente el Secretario General), el Responsable del Servicio (alcaldía o concejalía del área) y el Responsable de la Seguridad de la Información (perfil técnico, interno o externalizado). Son roles separables y no acumulables sin justificación.

En ayuntamientos pequeños el Responsable de Seguridad se contrata externalizado a través de una empresa especializada, mientras que los otros dos roles los asume el equipo de gobierno y la Secretaría.

¿Cómo coordina el ENS con el RGPD en un ayuntamiento?

ENS y las obligaciones del RGPD para empresas son complementarios: ENS cubre la seguridad de la información (todos los datos que maneja la administración), RGPD cubre específicamente los datos personales. Un ayuntamiento debe cumplir ambos, con DPO obligatorio según el artículo 37 del RGPD para todo organismo público.

Las medidas técnicas del ENS (cifrado, control de acceso, registro de actividad, gestión de incidentes) cubren buena parte del artículo 32 del RGPD. Implantar ENS reduce significativamente el esfuerzo de cumplimiento RGPD posterior.

¿Necesitas ayuda con esto?

Trabaja conmigo en Adecuación al ENS

Consultoría a medida en adecuación al ENS. Primera sesión sin coste.

Agendar sesión →