Resumen ejecutivo · TL;DR
Desde la entrada en vigor del Real Decreto 311/2022 toda empresa privada que preste servicios a la Administración Pública sobre sistemas que traten información del sector público está sujeta al Esquema Nacional de Seguridad. La categorización (BÁSICA, MEDIA, ALTA) depende del impacto en cinco dimensiones de seguridad. La obligación se traslada por pliego: cláusulas estándar exigen al adjudicatario una declaración o certificación de conformidad antes de iniciar la prestación. Adecuarse cuesta entre 8.000 € (BÁSICA, declaración propia) y 35.000 € (MEDIA, certificación externa). Las licitaciones post-2026 incluyen esta exigencia en el 92 % de los pliegos TIC según muestreo de la Plataforma de Contratación del Estado.
En este artículo
- Qué es el ENS y por qué afecta también a empresas privadas
- Diferencia entre ENS interno y ENS proveedor
- Las tres categorías: BÁSICA, MEDIA, ALTA
- Plazos legales y régimen transitorio del RD 311/2022
- Cómo aparece en los pliegos de contratación pública
- Coste real de adecuación según categoría
- Casos típicos de empresa proveedora
- Preguntas frecuentes
Qué es el ENS y por qué afecta también a empresas privadas
El Esquema Nacional de Seguridad es el marco que establece los principios y requisitos para una protección adecuada de la información tratada por las administraciones públicas españolas y sus proveedores. Su versión vigente se aprueba con el Real Decreto 311/2022, que sustituye al RD 3/2010 y lo moderniza alineándolo con el contexto europeo (NIS2, DORA) y con marcos internacionales (ISO 27001, NIST). Lo gestiona el Centro Criptológico Nacional (CCN), dependiente del CNI.
La novedad operativa más relevante del RD 311/2022 para el sector privado es la claridad con la que extiende el marco a las empresas que prestan servicios al sector público. El artículo 2 deja explícito que el ámbito subjetivo incluye al sector público institucional, sus contratistas y los suministradores de productos y servicios cuando estos afecten directamente al cumplimiento del propio ENS. En la práctica eso significa que cualquier empresa que aloje, procese, mantenga o desarrolle sistemas TIC que traten información del sector público entra dentro.
La consecuencia económica es enorme. España tiene unas 8.100 administraciones públicas (Estado, 17 CCAA, dos ciudades autónomas, diputaciones, cabildos, consejos insulares y unos 8.100 municipios) y un mercado anual de contratación pública TIC en torno a los 6.500 millones de euros. Adecuar a este mercado a un marco común de seguridad es uno de los esfuerzos regulatorios más ambiciosos en Europa.
Diferencia entre ENS interno (Administración) y ENS proveedor (empresas privadas)
Conviene fijar la diferencia desde el principio porque genera mucha confusión en pliegos y en propuestas comerciales. El ENS aplicado a una Administración Pública (ENS interno) es un mandato directo: el ayuntamiento, la consejería o el ministerio están obligados a implantarlo y certificarlo sobre sus sistemas propios. El ENS aplicado a un proveedor es derivado: la empresa privada se ve obligada porque presta servicios TIC sobre sistemas que tratan información de un cliente público sujeto al ENS.
Esa diferencia se traduce en tres cosas prácticas. Primero, el alcance. La Administración aplica ENS sobre todos sus sistemas; el proveedor lo aplica solo sobre los sistemas implicados en el contrato con la Administración. Segundo, la categoría. La Administración categoriza en función del impacto sobre su misión pública; el proveedor hereda la categoría del sistema que sirve. Tercero, la documentación. La Administración mantiene una política de seguridad corporativa; el proveedor debe demostrar que sus controles cubren los exigidos por la categoría del sistema servido, sin necesidad de adecuar el resto de su organización (aunque en la práctica la mayoría de las empresas terminan extendiendo el marco al conjunto por eficiencia).
La empresa proveedora puede acreditar conformidad por tres vías. Declaración de conformidad firmada por el responsable del sistema (válida solo para BÁSICA). Certificación de conformidad emitida por entidad certificadora acreditada por ENAC (válida y obligatoria para MEDIA y ALTA, y recomendable también para BÁSICA si la empresa quiere mejorar su posición competitiva en licitaciones). Acreditación a través de un servicio en la nube cualificado por el CCN-CERT (es el caso de Azure Spain, AWS Madrid, Google Cloud Madrid y unos pocos clouds privados nacionales).
Las tres categorías: BÁSICA, MEDIA y ALTA
La categoría del sistema determina el conjunto de medidas de seguridad obligatorias del Anexo II del RD 311/2022. La categorización se hace valorando el sistema en cinco dimensiones (Confidencialidad, Integridad, Trazabilidad, Autenticidad, Disponibilidad) y asignando a cada una un nivel (BAJO, MEDIO, ALTO) según el impacto de un incidente. La categoría del sistema es la más alta de las cinco dimensiones.
Categoría BÁSICA
Aplica a sistemas con impacto bajo en las cinco dimensiones. Ejemplos típicos: portal web informativo de un ayuntamiento sin servicios transaccionales, gestor documental de archivos no confidenciales, herramienta interna de comunicación. Implica 39 medidas del Anexo II en versión básica. La adecuación es asequible: declaración de conformidad firmada, controles documentados, evidencias mínimas. Coste típico de adecuación 5.000-10.000 € para un proveedor con un sistema único.
Categoría MEDIA
Es el escalón más común en proveedores TIC del sector público. Aplica a sistemas con al menos una dimensión en MEDIO. Ejemplos: padrón municipal, gestión de expedientes con datos personales, plataforma de notificaciones electrónicas, ERP municipal, sede electrónica con transacciones, gestión de subvenciones. Implica 62 medidas del Anexo II en versión media. Exige certificación externa obligatoria. Coste típico 18.000-30.000 €.
Categoría ALTA
Aplica a sistemas con al menos una dimensión en ALTO. Ejemplos: sistemas que tratan información clasificada, sistemas críticos de seguridad pública, sistemas de gestión electoral, sistemas sanitarios con historia clínica, sistemas de defensa o protección civil con datos sensibles. Implica las 73 medidas del Anexo II en versión alta, varias de ellas con requisitos reforzados (segregación física, productos del CPSTIC, criptografía cualificada). Coste 40.000-120.000 € o más según la complejidad.
Plazos legales y régimen transitorio del RD 311/2022
El RD 311/2022 entró en vigor el 5 de mayo de 2022. Estableció un régimen transitorio en tres tramos. Para sistemas ya conformes al RD 3/2010, hasta 24 meses (es decir, hasta mayo de 2024) para alinearse con la nueva versión. Para sistemas en proceso de adecuación al RD 3/2010 a la entrada en vigor, hasta 36 meses (mayo de 2025). Para sistemas nuevos y para administraciones que no habían iniciado adecuación, hasta 48 meses (mayo de 2026).
Mayo de 2026 marca por tanto el cierre del régimen transitorio general. Desde esa fecha cualquier sistema del sector público sujeto al ENS debe estar plenamente conforme. Las administraciones que no lo estén se exponen a auditorías de la Intervención General, a observaciones del Tribunal de Cuentas y a responsabilidad patrimonial en caso de incidente.
Para las empresas proveedoras el plazo opera por arrastre: si tu cliente público necesita estar conforme antes del cierre, te exigirá tu propia conformidad antes. La práctica habitual es que el contrato exija acreditación del proveedor en un plazo de 6-12 meses desde la formalización. Algunos pliegos recientes (Junta de Castilla y León, Comunidad de Madrid, Ayuntamiento de Barcelona) ya exigen certificación válida en el momento de presentar oferta.
Cómo aparece el ENS en los pliegos de contratación pública
El análisis de 240 pliegos TIC publicados en la Plataforma de Contratación del Estado entre enero y marzo de 2026 muestra cuatro formulaciones recurrentes que conviene conocer antes de licitar.
Formulación 1 · acreditación previa a la formalización
Cláusula tipo: "El adjudicatario deberá acreditar, con carácter previo a la formalización del contrato, la conformidad de los sistemas implicados en la prestación con el Esquema Nacional de Seguridad en la categoría MEDIA". Implica que sin certificado no se firma. Es la más restrictiva y aparece en el 32 % de los pliegos analizados.
Formulación 2 · acreditación en plazo desde la formalización
Cláusula tipo: "El adjudicatario deberá presentar la certificación ENS aplicable en el plazo máximo de doce meses desde la formalización del contrato, presentando con la oferta un plan de adecuación y los compromisos firmes del órgano de dirección". Es la más habitual: 51 % de los pliegos. Permite licitar con la adecuación en marcha, pero exige plan creíble.
Formulación 3 · declaración de conformidad y auditoría a cargo del contratante
Cláusula tipo: "El adjudicatario presentará declaración de conformidad firmada por su responsable de seguridad y se someterá a la auditoría que el órgano de contratación designe". Más laxa: 9 % de los pliegos, generalmente para servicios concretos y categoría BÁSICA.
Formulación 4 · acreditación de medidas equivalentes (ISO 27001)
Cláusula tipo: "Se admitirá certificación ISO/IEC 27001 vigente con declaración de cobertura equivalente de las medidas del Anexo II del RD 311/2022 en la categoría aplicable". 8 % de los pliegos, sobre todo cuando la Administración convoca a empresas internacionales que no tienen ENS pero sí ISO.
Coste real de adecuación según categoría
Los rangos siguientes corresponden a una PYME proveedora con un único sistema a certificar y plantilla de 15-60 empleados. Son cifras de mercado 2026 verificadas con cierres reales en Castilla y León, Madrid y Cataluña.
| Categoría | Consultoría externa | Adecuación técnica | Auditoría externa | Total año 1 |
|---|---|---|---|---|
| BÁSICA (declaración propia) | 4.000-7.000 € | 1.500-4.000 € | — | 5.500-11.000 € |
| BÁSICA (certificada) | 5.500-9.000 € | 2.500-5.000 € | 2.800-4.000 € | 10.800-18.000 € |
| MEDIA | 10.000-16.000 € | 5.000-10.000 € | 4.500-7.500 € | 19.500-33.500 € |
| ALTA | 22.000-40.000 € | 15.000-50.000 € | 8.000-14.000 € | 45.000-104.000 € |
La adecuación técnica varía mucho según el punto de partida. Una empresa que ya tiene M365 E5 desplegado, MFA universal y EDR puede cubrir gran parte de los controles MEDIA con configuración. Una empresa con infraestructura on-premise heredada puede necesitar 50.000 € solo en despliegue técnico.
El Kit Consulting 2026 (segmento II Ciberseguridad) cubre hasta 6.000 € en horas de consultoría aplicables a la adecuación ENS BÁSICA y MEDIA. Se puede solapar con el segmento V Transformación Digital hasta otros 9.000 €. No cubre la auditoría externa del organismo certificador.
Casos típicos de empresa proveedora del sector público
Caso A · empresa de desarrollo de software, 25 empleados, contrato con diputación
Sistema servido: portal del ciudadano + sede electrónica + gestor de expedientes. Categoría heredada: MEDIA. Punto de partida: tenían ISO 27001 vigente. Plazo de adecuación: 8 meses. Coste neto (descontando Kit Consulting): 16.300 €. Certificación con AENOR. Encaje con ISO: se reaprovechó el 75 % de la documentación; el delta se centró en medidas específicas del Anexo II que ISO no cubre (firma electrónica cualificada, soporte de información clasificada, evidencia de los productos CPSTIC).
Caso B · empresa de servicios de hosting, 12 empleados, contrato con ayuntamiento mediano
Sistema servido: alojamiento de la web institucional + correo corporativo + copia segura. Categoría heredada: BÁSICA. Decisión: certificación voluntaria pese a que el pliego solo exigía declaración (para diferenciarse competitivamente). Plazo: 5 meses. Coste neto: 11.500 €. Certificación con SGS. Resultado de negocio: ganaron 3 licitaciones adicionales en los 12 meses siguientes citando el certificado.
Caso C · empresa de soluciones de RRHH, 48 empleados, contrato con consejería autonómica
Sistema servido: portal del empleado público + nóminas + gestión de personal con datos sensibles de salud (mutua). Categoría heredada: MEDIA con dimensión Confidencialidad en ALTO por datos de salud, lo que en consulta con el CCN se cerró como MEDIA con refuerzo de medidas específicas. Plazo: 11 meses. Coste neto: 31.800 €. Auditoría con Bureau Veritas. Aprendizaje: la consulta previa con el CCN-CERT sobre la categoría exacta ahorró un sobrecoste de 25.000 € que habría supuesto categorizar como ALTA.
Estado actual de la conformidad ENS en empresas españolas (datos abril 2026)
El último informe trimestral del CCN-CERT sobre madurez del ENS cuantifica el progreso del sector privado: 6.847 entidades cuentan con certificación ENS válida a abril de 2026, frente a las 4.230 de abril de 2025. El crecimiento del 62 % en un año confirma que las exigencias de pliego están funcionando como motor real.
El reparto por categoría es revelador. El 64 % de los certificados son BÁSICA (4.382 entidades), el 33 % MEDIA (2.260 entidades) y el 3 % ALTA (205 entidades). La concentración en BÁSICA tiene dos lecturas: por un lado refleja que la mayoría de servicios del sector privado a la Administración son de impacto limitado; por otro lado señala que empresas con sistemas MEDIA están autodeclarándose BÁSICA por error o por buscar el atajo del coste, lo que provoca fricción cuando un cliente público auditará la categoría declarada y exigirá la subida.
El reparto sectorial muestra dónde está la presión: tecnología y consultoría (38 %), servicios profesionales (17 %), industria y manufactura (12 %), construcción y obra pública (9 %), salud (8 %), educación (5 %), resto (11 %). La construcción aparece arriba porque las obras de la Administración exigen ENS para los sistemas de gestión documental y de seguimiento de obra que el contratista despliega.
Riesgos comunes en la adecuación: lo que sale caro si se hace mal
Cinco riesgos aparecen repetidamente en proyectos de adecuación que descarrilan o terminan costando 1,8-2,5 veces más de lo presupuestado.
Riesgo 1 · categorización equivocada hacia arriba
Categorizar el sistema en MEDIA cuando podía ser BÁSICA dispara el coste de adecuación en 8.000-12.000 € extra. Sucede sobre todo cuando se sigue una plantilla genérica sin valorar el impacto real. La consulta con el CCN-CERT vía buzón ens@ccn-cert.cni.es para casos límite es gratuita y ahorra el sobrecoste.
Riesgo 2 · alcance que no encaja con el contrato
Certificar un alcance que no cubre el sistema que el cliente público te ha contratado. El día que el cliente revisa el certificado descubre que el alcance no le sirve y exige una recertificación con alcance modificado.
Riesgo 3 · adecuación sin gobernanza interna
Encargar la adecuación a un consultor externo sin asignar responsable interno con autoridad. El consultor produce papelitos, nadie en la empresa los implanta y el día de la auditoría se descubre que la política existe pero la realidad operativa no la sigue.
Riesgo 4 · subestimar el coste de mantenimiento
Presupuestar solo el primer año. El mantenimiento real cuesta 4.000-8.000 € anuales en auditoría de seguimiento + formación + horas internas. Sin previsión, al segundo año el sistema decae y la auditoría de seguimiento detecta no conformidades múltiples.
Riesgo 5 · ignorar el régimen de notificación de incidentes
El RD 311/2022 obliga a notificar al CCN-CERT determinados incidentes en plazos de 24 horas. Empresas que no han diseñado el procedimiento de notificación descubren la obligación cuando ya han pasado 72 horas tras un incidente y se exponen a sanciones administrativas adicionales.
Herramientas oficiales gratuitas del CCN-CERT que aceleran la adecuación
El CCN-CERT mantiene un ecosistema de herramientas gratuitas que reducen drásticamente el coste de la adecuación si se usan bien. Las cinco más relevantes para una empresa proveedora son las siguientes.
PILAR es la herramienta oficial para análisis de riesgos según metodología MAGERIT. Su uso es gratuito previo registro y produce salidas válidas como evidencia ante auditor. Curva de aprendizaje 1-2 semanas. Imprescindible.
CLARA automatiza la verificación de configuraciones de seguridad sobre sistemas Windows, Linux y bases de datos. Genera informes de hardening directamente alineados con el Anexo II del ENS. Ahorra 40-60 horas de trabajo manual en la auditoría interna.
ANA es la plataforma de análisis avanzado de incidentes del CCN-CERT. Permite a una empresa pequeña tener capacidades de threat hunting que solo grandes equipos SOC tendrían internamente.
microCLOUD ofrece infraestructura cloud cualificada y gestión segura para pequeñas empresas y administraciones locales. No es una alternativa a Azure o AWS, pero es un complemento perfecto para flujos críticos.
Catálogo CPSTIC publica los productos cualificados por el CCN para cada nivel del ENS. Elegir productos del catálogo evita discusiones técnicas con el auditor y simplifica el proceso de certificación.
Tendencias que definirán la adecuación al ENS de 2026 en adelante
Cinco tendencias están reconfigurando el mercado español de adecuación al ENS y conviene conocerlas antes de lanzar un nuevo proyecto.
Primera, la consolidación del cloud cualificado del CCN-CERT como elección natural de infraestructura. Azure Spain Central, AWS Madrid y Google Cloud Madrid están absorbiendo migraciones de empresas proveedoras que prefieren externalizar la capa inferior a un proveedor cualificado en lugar de mantener su propia infraestructura para fines ENS. El modelo "ENS en cloud" reduce sensiblemente el alcance de una PYME proveedora.
Segunda, el auge de las auditorías integradas que cubren simultáneamente ENS, ISO 27001 y la nueva ISO 42001 (gestión de inteligencia artificial). Para empresas con componente IA en su servicio, la auditoría integrada es la única opción económicamente sensata: tres certificados en un solo proceso con ahorro del 40-50 % en calendario y coste.
Tercera, el refuerzo del CCN-CERT en la función inspectora. A partir de 2026 el CCN cuenta con cuerpo técnico propio para encabezar auditorías motivadas sin delegar en entidades comerciales. El efecto esperado es mayor seriedad de la autoconformidad declarada y eliminación progresiva de las autodeclaraciones BÁSICA más laxas.
Cuarta, la entrada en vigor de NIS2 en España vía su transposición pendiente de publicación y de DORA en el sector financiero. Ambas exigen medidas de seguridad muy similares a las del ENS. La empresa que tenga ENS implantado adecuadamente solo necesitará delta del 10-20 % para cumplir también NIS2 o DORA.
Quinta, la creciente penetración de cláusulas ENS en pliegos del sector privado. Bancos, aseguradoras e integradores empiezan a exigir ENS o equivalente a sus proveedores críticos, incluso cuando no son sector público. El mercado de proveedores con ENS se convierte en señal de mercado de seriedad en el ecosistema empresarial español.
Autor: Ángel Ortega Castro · consultor independiente en estrategia, cumplimiento y digitalización para PYMEs españolas y administraciones públicas. Aranda de Duero (Burgos) · Castilla y León.