En bref : El ENS (schéma national de sécurité espagnol) no tiene un régimen sancionador propio con multas directas como el RGPD. Pero incumplirlo cuesta caro de otra forma: quedas excluido de las licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad patrimonial para l'Administration, puedes infringir la Ley 40/2015 y normativa sectorial, y te expones a un grave riesgo reputacional y operativo.
El ENS (schéma national de sécurité espagnol) no tiene un régimen sancionador propio: no existen multas directas «dl'ENS» como sí ocurre con el el régimen sancionador del RGPD. Pero incumplirlo cuesta caro de otra forma. Quedas fuera de licitaciones públicas que exigen la conformidad en sus pliegos, generas responsabilidad para l'Administration, infringes la Ley 40/2015 y normativa sectorial, y te expones a brechas y a sanctions de otras normas (RGPD, las obligaciones de NIS2) que sí multan.
Esta es una de las preguntas que más me llega como consultor de cumplimiento: «si l'ENS no tiene multas, ¿de verdad pasa algo por no cumplirlo?». La respuesta honesta —y conviene decirla con rigor, porque hay mucha desinformación interesada— es que l'ENS funciona de un modo distinto al RGPD. No castiga con una sanción económica tasada; condiciona tu capacidad de operar con el sector público y traslada el riesgo a terrenos donde el coste real puede ser muy superior al de una multa. Vamos a desmontar el mito y a poner cifras y conséquences verificables sobre la mesa.
¿El ENS tiene multas? La verdad incómoda
No. El Décret royal 311/2022, de 3 de mayo, que regula l'ENS, se estructura en cuarenta y un artículos, tres disposiciones adicionales, una transitoria, una derogatoria, tres finales y cuatro anexos. Si lo lees completo comprobarás algo revelador: no hay ningún capítulo, artículo ni anexo que tipifique infractions ni establezca un cuadro de sanctions. El capítulo V (artículos 35 a 38) regula la determinación de la conformidad; el capítulo VII, la categorización de los sistemas. En ningún punto aparece un «régimen sancionador» al estilo del Título VIII del RGPD.
Esto es deliberado. El ENS nace como una norma de naturaleza distinta: no es una ley de protección de un derecho fundamental con potestad punitiva, sino un marco técnico-organizativo que desarrolla la Ley 40/2015, de Régimen Jurídico del Sector Público. Su artículo 156 obliga a las entidades du secteur public a adoptar y adaptarse al ENS, pero la consecuencia del non-conformité no se canaliza por una multa: se canaliza por la vía del Derecho administrativo común y por las conséquences prácticas que veremos. Quien te diga que «l'ENS te puede multar con X euros» o no ha leído la norma o te está vendiendo miedo.
Si quieres entender el marco completo antes de seguir, te recomiendo mi guía completa dl'ENS (schéma national de sécurité espagnol), donde explico principios, dimensiones, niveles y medidas de los anexos.
ENS frente a RGPD: ¿qué normativa sí impone multas?
Para ver el contraste, conviene poner los dos marcos uno al lado del otro. El artículo 83 del RGPD sí dispone de un aparato sancionador potente y bien tasado: infractions de hasta 10 millones de € o el 2 % del volumen de negocio anual mundial para el primer nivel, y hasta 20 millones de € o el 4 % para el segundo, eligiéndose siempre la cuantía mayor. El ENS no tiene nada equivalente. Esta diferencia estructural es la clave de todo el artículo.
| Aspecto | ENS (RD 311/2022) | RGPD (Reglamento UE 2016/679) |
|---|---|---|
| ¿Régimen sancionador propio? | No. La norma no tipifica infractions ni multas. | Sí. Título VIII y artículo 83. |
| Multa máxima directa | Ninguna prevista en la norma. | Hasta 20 millones de € o el 4 % de la facturación mundial. |
| Órgano que controla | CCN, órganos de auditoría du secteur public y entidades de certificación acreditadas por ENAC. | AEPD (autoridad de control con potestad sancionadora). |
| Naturaleza | Marco técnico-organizativo de obligado cumplimiento. | Regulación de un derecho fundamental. |
| Consecuencia típica del non-conformité | Exclusión de licitaciones, responsabilidad administrativa, riesgo operativo. | Multa administrativa, apercibimiento, limitación del tratamiento. |
La conclusión es importante: l'ENS no sanciona, pero a menudo convive con normas que sí lo hacen. Si tu sistema procesa datos personales —y casi todos lo hacen— una mala mise en œuvre dl'ENS suele coincidir con un non-conformité del RGPD que la AEPD sí puede sancionar. El ENS y el RGPD comparten terreno en la seguridad del tratamiento (artículo 32 del RGPD), de modo que el agujero de seguridad que l'ENS te obligaba a tapar es, a la vez, el non-conformité que el RGPD castiga.
¿Me pueden excluir de un appel d'offres por no tener l'ENS?
Sí, y esta es la consecuencia más tangible e inmediata. La Ley 9/2017, de Contratos del Sector Público (LCSP), permite al pouvoir adjudicateur exigir requisitos de capacité technique y condiciones de ejecución en les cahiers des charges. Cuando un contrato implica tratar información de l'Administration o prestar servicios que se integran en sus sistemas, es cada vez más habitual que le cahier des charges de cláusulas administrativas exija al adjudicatario disponer de la conformidad con l'ENS —declaración o certificación según la categoría— como requisito de solvencia o como condición de ejecución.
¿Qué significa esto en la práctica? Que si no acreditas la conformidad cuando le cahier des charges la pide, tu oferta queda excluida, por buena y barata que sea. No es una multa: es algo peor para una empresa que vive du secteur public, porque te deja fuera del mercado. Y no es un riesgo teórico: la conformidad ENS se ha convertido en un filtro de entrada en muchísimas licitaciones de servicios TIC, alojamiento, desarrollo de software o tratamiento de datos para administraciones. Lo desarrollo con casos concretos en mi análisis sobre cuándo l'ENS es obligatorio para empresas y proveedores.
Responsabilidad patrimonial y obligaciones de l'Administration
Para las entidades públicas, el non-conformité dl'ENS tiene una dimensión propia que las empresas a veces pasan por alto. La Ley 40/2015 impone la adopción dl'ENS como obligación legal; no cumplirla es una infracción del ordenamiento que el sistema de control interno y los órganos de fiscalización pueden detectar y reprochar. Pero hay más: si un sistema mal protegido —porque no se aplicaron las medidas dl'ENS— sufre una brecha que causa un daño a un ciudadano o a un tercero, se abre la puerta a la responsabilidad patrimonial de l'Administration.
Es decir, l'Administration (y, por extensión, sus sous-traitants según el reparto de responsabilidades) puede tener que indemnizar el daño causado por el funcionamiento anormal del servicio. El ENS, al definir el estándar de diligencia exigible en seguridad, se convierte en la vara de medir: si no aplicaste las medidas que l'ENS obligaba para la categoría de tu sistema, demostrar que actuaste con la diligencia debida se vuelve muy difícil. El non-conformité dl'ENS deja de ser una cuestión formal para convertirse en la prueba de tu negligencia.
Riesgo reputacional y de confianza institucional
Hay un coste que no aparece en ninguna ley pero que pesa enormemente: la reputación. La conformidad con l'ENS se materializa en distintivos públicos —sellos de declaración o certificación— que las organizaciones muestran en su sede electrónica. Su ausencia, cuando deberías tenerla, es visible. Y al revés: una brecha de seguridad en un servicio público o en un proveedor que debía cumplir l'ENS y no lo hacía genera titulares, abre expedientes y erosiona la confianza de ciudadanos y administraciones.
Para una empresa proveedora, perder la confianza de un cliente público es perder un mercado entero, porque las administraciones se comunican entre sí y comparten experiencias de sous-traitants. La reputación en este sector no se recupera con una campaña de marketing; se recupera demostrando conformidad real y sostenida en el tiempo. Por eso muchas organizaciones afrontan la mise en œuvre dl'ENS no como un trámite, sino como una inversión defensiva en su propia continuidad comercial.
¿Quién controla el cumplimiento dl'ENS?
Aquí está otra clave que desmonta el mito de la multa. El ENS no se vigila mediante inspecciones sancionadoras como las de la AEPD, sino mediante un sistema de auditoría y conformidad articulado por el Centre National Cryptologique (CCN) (CCN) a través de su serie de guides CCN-STIC. La guide CCN-STIC-808 establece el itinerario de verificación del cumplimiento, y la CCN-STIC-809 regula la declaración y la certification de conformité.
El mecanismo depende de la categoría del sistema:
- Categoría básica: basta una autoévaluation que da lugar a una déclaration de conformité.
- Categorías media y alta: exigen una auditoría de certificación realizada por entidades de certificación acreditadas por ENAC u órganos de auditoría técnica du secteur public.
Quien «controla», por tanto, no es un inspector que viene a multarte: es el auditor que verifica si cumples y, si no cumples, no te otorga la conformidad. Y sin conformidad vuelves al primer problema: no puedes acreditar la solvencia que le cahier des charges exige. El círculo se cierra. Si te estás preparando para una de estas auditorías, en mi servicio de preparación de auditoría ENS reviso el itinerario CCN-STIC-808 contigo antes de que venga la entidad certificadora.
Solapamientos sancionables: cuando otra norma sí multa
Este es el matiz que separa el análisis riguroso del titular fácil. Aunque l'ENS no sancione, el mismo non-conformité técnico puede activar el régimen sancionador de otras normas que comparten objetivo. Conviene tenerlos todos en el radar:
| Norma | ¿Multa directa? | Cuando se solapa con l'ENS |
|---|---|---|
| RGPD (art. 83) | Sí, hasta 20 M€ o 4 % | Si el sistema mal protegido trata datos personales (art. 32 RGPD). |
| NIS2 / Directiva (UE) 2022/2555 | Sí, hasta 10 M€ o 2 % (entidades esenciales) | Si eres entidad esencial o importante de un sector estratégico. |
| LCSP (Ley 9/2017) | No multa, pero excluye y resuelve contratos | Si le cahier des charges exigía conformidad ENS como solvencia o condición. |
| Ley 40/2015 | No multa, base de responsabilidad administrativa | Siempre, para el sector público: l'ENS es obligación legal directa. |
La NIS2 merece atención especial. Esta directiva europea, en vigor a nivel UE desde 2023 y pendiente de transposición completa en España a fecha de 2026, impone multas de hasta 10 millones de € o el 2 % de la facturación mundial a las entidades esenciales, además de sanctions no monetarias como la inhabilitación de directivos. Para muchas organizaciones, ENS y NIS2 se solaparán: el mismo fallo de seguridad que l'ENS te obligaba a evitar será, bajo NIS2, una infracción sancionable. Profundizo en cómo encajan ENS, RGPD, NIS2 y DORA en mi panorama de normativa de ciberseguridad en España.
El coste real de no cumplir, en cifras prácticas
Resumamos el verdadero coste del non-conformité, que rara vez es una multa pero casi siempre es dinero perdido:
- Contratos perdidos: cada licitación de la que quedas excluido es facturación que no entra. Para un proveedor TIC du secteur public, esto puede representar la mayor parte de su negocio.
- Coste de la brecha: un incidente en un sistema mal protegido implica respuesta de emergencia, posible indemnización por responsabilidad patrimonial y notificación obligatoria.
- Sanción cruzada: si hay datos personales, la AEPD puede multar bajo el RGPD; si eres sector estratégico, NIS2 entra en juego.
- Coste reputacional: la pérdida de confianza institucional cierra puertas durante años.
- Coste de la prisa: implantar l'ENS a contrarreloj cuando ya has perdido un contrato sale mucho más caro que hacerlo con planificación.
La mise en œuvre ordenada dl'ENS es, en realidad, la opción más barata. Por eso recomiendo abordarla como un proyecto y no como una urgencia; en mi servicio de conseil e mise en œuvre dl'ENS trabajo sobre el analyse de risques, la categorización y la declaración de aplicabilidad para que llegues a las licitaciones con la conformidad ya acreditada.
Questions fréquentes sobre el non-conformité dl'ENS
¿El ENS tiene multas?
No. El el RD 311/2022 que regula l'ENS no contiene un régimen sancionador propio: no tipifica infractions ni establece multas, a diferencia del artículo 83 del RGPD. Las conséquences del non-conformité llegan por otras vías —exclusión de licitaciones, responsabilidad administrativa, sanctions de otras normas— pero no existe una «multa dl'ENS».
¿Qué pasa si no cumplo l'ENS?
Si eres una empresa proveedora, quedas excluido de las licitaciones públicas cuyos pliegos exijan la conformidad ENS, pierdes contratos y te expones a sanctions cruzadas del RGPD o la NIS2 si tu sistema falla. Si eres una entidad pública, incumples una obligación legal directa de la Ley 40/2015 y abres la puerta a la responsabilidad patrimonial de l'Administration ante una brecha.
¿Me pueden excluir de un appel d'offres por no tener l'ENS?
Sí. La Ley 9/2017 de Contratos del Sector Público permite a los órganos de contratación exigir la conformidad ENS como requisito de capacité technique o condición de ejecución en les cahiers des charges. Si le cahier des charges lo pide y no lo acreditas, tu oferta se excluye automáticamente, con independencia de su precio o calidad.
¿Quién controla el cumplimiento dl'ENS?
El Centre National Cryptologique (CCN) (CCN) define el marco de verificación a través de las guides CCN-STIC (808 y 809). El control efectivo se realiza mediante autoévaluation en categoría básica y mediante auditoría de certificación —por entidades acreditadas por ENAC u órganos de auditoría du secteur public— en las categorías media y alta. No es un inspector sancionador, sino un auditor que otorga o deniega la conformidad.
Sources
- Décret royal 311/2022, de 3 de mayo, por el que se regula l'ENS (schéma national de sécurité espagnol) (BOE) — texto consolidado; sin régimen sancionador propio.
- Loi 40/2015 du 1er octobre sur le régime juridique du secteur public (BOE) — artículo 156, base legal dl'ENS.
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (BOE) — capacité technique y pliegos.
- Reglamento (UE) 2016/679 (RGPD), artículo 83 — régimen sancionador para contraste.
- CCN-CERT — Guía CCN-STIC-808, verificación del cumplimiento dl'ENS.
- Portal ENS del CCN — Distintivos de conformidad.
Contenido elaborado por Ángel Ortega Castro para Ángel Ortega, consultor de cumplimiento (Valladolid · Las Palmas). Información de carácter divulgativo; no sustituye el asesoramiento jurídico individualizado.