En bref : Si vous fournissez des services ou des solutions à l'Administration, el ENS (schéma national de sécurité espagnol) puede aparecer en le cahier des charges como exigence de solvabilité o condición de ejecución. No es una obligación universal du secteur privé: te obliga cuando el pouvoir adjudicateur lo exige porque sus sistemas se apoyan en los tuyos. El Décret royal 311/2022 fija esa exigencia para la chaîne d'approvisionnement pública.
Si votre entreprise fournit des services ou des solutions à l'Administration, el ENS (schéma national de sécurité espagnol) puede aparecer en le cahier des charges como exigence de solvabilité o condición de ejecución. No es una obligación universal du secteur privé: te obliga cuando el pouvoir adjudicateur lo exige porque sus sistemas de información se apoyan en los tuyos. Le DR 311/2022 lui-même impose aux Administrations d'inclure cette exigence dans leurs marchés. La categoría (Basique, Intermédiaire ou Élevée) la fija quien licita, según la información que vas a manejar.
Llega mucha consulta a mon bureau que empieza igual: "Nos hemos presentado a un appel d'offres y en le cahier des charges pone que hay que acreditar la conformidad con el ENS. No tenemos nada. ¿Estamos fuera?". La respuesta corta es que probablemente sigues dentro si actúas a tiempo, pero el ENS no se improvisa la semana antes de presentar la oferta. En este artículo me centro en el ángulo que más le importa a una empresa que quiere vender a les administrations publiques espagnoles: cómo entra el ENS en les cahiers des charges de marchés publics, qué categoría te van a exigir y cómo organizar el trabajo para llegar a la fecha límite. Si lo que buscas es el panorama general de la obligación, lo tienes desarrollado en el artículo sobre el ENS obligatorio para empresas y proveedores; aquí bajo al terreno concreto de las licitaciones.
¿El ENS obliga a las empresas privadas?
El ENS nació para les administrations publiques espagnoles, no para el sector privado. Su base legal está en la Loi 40/2015 sur le régime juridique du secteur public, y su desarrollo vigente es el Décret royal 311/2022, de 3 de mayo. Una empresa privada que no trabaja con ninguna entidad pública no tiene, por este motivo, ninguna obligación de cumplir el ENS.
El matiz que lo cambia todo está en el article 2.3 du DR 311/2022. Ese apartado extiende la aplicación del ENS a los sistemas de información de las entidades du secteur privé cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades du secteur public para el ejercicio de sus competencias y potestades administrativas. Dicho de otro modo: el ENS no te alcanza por ser privado, te alcanza por ser proveedor de lo público. Cuando tu sistema se convierte en una pieza del sistema de información de un organismo, tu seguridad pasa a ser parte de la suya.
Conviene tener clara la diferencia entre dos preguntas que se confunden a menudo. Una es "¿estoy dentro del ámbito del ENS?", que responde el article 2.3. La otra es "¿me lo van a exigir en este contrato concreto?", que responde le cahier des charges de l'appel d'offres. Puedes estar potencialmente dentro del ámbito y no necesitar acreditar nada porque el servicio que prestas no toca información del organismo; o estar claramente dentro y tener que presentar una certification auditée. El detonante práctico, casi siempre, es la cláusula dle cahier des charges.
¿Por qué me piden el ENS en un appel d'offres?
Porque la propia norma se lo ordena al pouvoir adjudicateur. El article 2.3 du DR 311/2022 no se limita a definir el ámbito: también establece que les cahiers des charges de prescripciones administrativas o técnicas de los contratos que celebren las entidades du secteur public contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se apoyen los servicios prestados por los sous-traitants, tales como la presentación de las correspondientes Déclarations ou Certifications de conformité con el ENS.
Esto significa que l'Administration no está siendo exigente "de más" cuando te pide el ENS: está cumpliendo su propia obligación legal. Por eso ves cada vez con más frecuencia cláusulas de ENS en contratos de desarrollo de software, alojamiento, mantenimiento de aplicaciones, plataformas SaaS, servicios cloud, gestión documental, atención al ciudadano o cualquier servicio que toque datos del organismo. Y por eso ignorarlo no es una opción: si le cahier des charges lo pide y tú no lo acreditas, tu oferta se excluye, por buena que sea técnica o económicamente.
El article 2.3 añade una cautela que muchas PME pasan por alto: esa exigencia se extiende también a la chaîne d'approvisionnement del contratista, en la medida en que sea necesario y de acuerdo con los resultados del analyse de risques. Si tú subcontratas parte del servicio (por ejemplo, el hosting a un tercero), ese tercero también queda dentro del foco. No te basta con estar tú conforme: tienes que poder responder por los eslabones de los que dependes.
¿Cómo aparece el ENS en le cahier des charges: PCAP o PPT?
Una appel d'offres public se gobierna por dos documentos, ambos regulados por la Loi 9/2017 sur les contrats du secteur public (LCSP). El Cahier des clauses administratives particulières (CCAP) fija las reglas del procedimiento y de la ejecución del contrato. El Cahier des prescriptions techniques (CPT) describe el objeto y los requisitos técnicos. El ENS puede aparecer en cualquiera de los dos, y dónde aparezca cambia su naturaleza jurídica.
En la práctica verás la exigencia del ENS materializada de tres formas distintas, que no son lo mismo a efectos de oferta:
- Como requisito de capacité technique. Le cahier des charges pide acreditar la conformidad con el ENS para poder presentarse. Si no la tienes en el momento de licitar (o de adjudicar, según le cahier des charges), quedas excluido. Es la versión más dura: la conformidad es una condición de entrada.
- Como condition particulière d'exécution. Le cahier des charges permite licitar sin tener el ENS, pero obliga a obtenerlo en un plazo determinado tras la attribution du marché (por ejemplo, antes del inicio del servicio o en los primeros meses). Da margen, pero el compromiso es vinculante y su incumplimiento puede acarrear pénalités o incluso résiliation du contrat.
- Como criterio de attribution du marché o mejora. Tener el ENS suma puntos frente a competidores que no lo tienen, aunque no sea estrictamente obligatorio. Aquí el ENS deja de ser un trámite y se convierte en ventaja competitiva.
Mi consejo cuando reviso un cahier des charges con un cliente es leer con lupa el apartado de solvencia y el de condiciones de ejecución antes de decidir si nos presentamos. Si el ENS figura como solvencia y no lo tenemos, hay que valorar si llegamos a tiempo o si esa licitación concreta no es para esta vuelta. Confundir "condición de ejecución" con "exigence de solvabilité" puede costar una exclusión o un compromiso imposible de cumplir.
¿Qué categoría del ENS me exigen como proveedor?
Esta es la pregunta del millón, y la respuesta honesta es: la que decida el pouvoir adjudicateur. No la eliges tú. El ENS define tres categorías de seguridad (Basique, Intermédiaire et Élevée) en función del impacto que tendría un incidente sobre las cinq dimensions de la sécurité (confidentialité, intégrité, traçabilité, authenticité et disponibilité). El organismo valora esa información mediante su analyse de risques y fija en le cahier des charges la categoría que te va a exigir.
Como orientación, y siempre sujeta a lo que diga le cahier des charges concreto, esta es la lógica habitual:
- Catégorie Basique. Servicios cuyo compromiso tendría un impacto limitado para el organismo. La conformidad se acredita mediante una Déclaration de conformité, basada en una autoévaluation. No exige auditoría externa.
- Catégorie Intermédiaire. La más frecuente en contratos de cierto peso (SaaS, alojamiento de datos, aplicaciones de gestión). Exige Certification de conformité, que solo puede emitir una organisme de certification accrédité par ENAC tras una auditoría.
- Catégorie Élevée. Servicios críticos o que manejan información muy sensible. También exige certification auditée, con los requisitos técnicos y organizativos más estrictos.
La frontera entre declaración y certificación la marca el article 38.1 du DR 311/2022: los sistemas de catégorie Basique pueden acreditar su conformidad mediante una autoévaluation (Declaración), mientras que los de catégorie Intermédiaire o Alta necesitan obligatoriamente una auditoría para la Certificación. La guía CCN-STIC-809 del Centro Criptológico Nacional detalla los modelos de declaración, los procedimientos de certificación y los distintivos de cumplimiento. Conviene leerla antes de prometer plazos: una certificación Media no se obtiene en dos semanas. Si necesitas afinar la categoría, lo trato con detalle en mi guía sobre los niveles y categorías dle ENS (schéma national de sécurité espagnol).
Feuille de route: qué categoría te exigen y cómo llegar a tiempo
La tabla siguiente es una guía de criterio propia, construida a partir del articulado del RD 311/2022 y de la experiencia de preparar empresas para appels d'offres réels. No sustituye au cahier des charges (que siempre manda), pero te ayuda a estimar por dónde van los tiros antes de leerlo a fondo: qué categoría es probable según el servicio, por qué vía se acredita la conformidad y cuánto tiempo realista necesitas.
| Tipo de servicio / dato que manejas | Categoría probable | Vía de conformidad | Plazo orientativo desde cero |
|---|---|---|---|
| Web informativa, suministro puntual o servicio que no trata información del organismo | Básica | Déclaration de conformité (autoévaluation, sin auditoría externa) | 2 a 4 meses |
| SaaS, alojamiento o aplicación de gestión con datos del organismo de impacto moderado | Media | Certification de conformité por entidad acreditada ENAC (con auditoría) | 4 a 8 meses |
| Servicio crítico, infraestructura esencial o información muy sensible / especialmente protegida | Alta | Certification de conformité auditada con requisitos máximos | 6 a 12 meses |
| Servicio en el que subcontratas hosting o partes a terceros | La que fije el organismo (chaîne d'approvisionnement, art. 2.3) | Tu conformidad + acreditar la del subcontratista en lo necesario | Suma el plazo del eslabón más lento |
Los plazos no son caprichosos: una certificación de catégorie Intermédiaire implica un analyse de risques, la implantación del mesures de l'Annexe II, un periodo de funcionamiento del sistema con las medidas operando y, después, la auditoría por la entidad acreditada. Cada fase tiene su tiempo, y comprimirlas suele salir caro en calidad. Por eso insisto a mis clientes en lo mismo: la conformidad con el ENS se empieza antes de que salga le cahier des charges que te interesa, no cuando ya está publicado con un mes de plazo de presentación.
¿Qué pasos sigo para preparar la conformidad?
La hoja de ruta para llegar a un appel d'offres con el ENS en orden tiene una secuencia bastante estable, la ajustes para Básica o para Media/Alta:
- 1. Determina el alcance y la categoría. Identifica qué sistema concreto soporta el servicio que vas a ofrecer a l'Administration y categoriza según el impacto en las cinco dimensiones. Si ya tienes un cahier des charges sobre la mesa, la categoría viene dada.
- 2. Redacta la politique de sécurité. El article 12 du DR 311/2022 exige a las entidades du secteur privé en el ámbito del ENS disponer de la politique de sécurité de l'information. Es el documento fundacional del que cuelga todo lo demás.
- 3. Haz el analyse de risques. Con una metodología reconocida (MAGERIT es la de referencia en el sector público español). De aquí salen las medidas que de verdad necesitas.
- 4. Implanta las mesures de l'Annexe II. Las que correspondan a tu categoría. No es solo tecnología: hay medidas de marco organizativo, operacional y de protección.
- 5. Declara o certifica. Para Básica, una Déclaration de conformité por autoévaluation. Para Media o Alta, contratas la auditoría con una organisme accrédité par ENAC y obtienes la Certificación.
- 6. Mantente conforme. El ENS no es una foto fija: las certificaciones se renuevan y el sistema se audita periódicamente. La conformidad es un estado que se mantiene, no un sello que se cuelga y se olvida.
Si ya tienes una ISO 27001 implantada, parte de este camino está recorrido: el système de gestion de la sécurité y buena parte de los controles se reaprovechan. La relación entre ambos marcos la explico en la guía de ISO 27001 para la sécurité de l'information; no son lo mismo, pero se solapan lo suficiente como para que tener una facilite la otra.
¿Qué pasa si no tengo el ENS y quiero licitar?
Depende de cómo figure en le cahier des charges. Si el ENS es exigence de solvabilité y no lo acreditas en el momento exigido, tu oferta se excluye: no entras a valoración. Si es condition particulière d'exécution, puedes licitar y comprometerte a obtenerlo en plazo, pero ese compromiso es vinculante; incumplirlo abre la puerta a pénalités e incluso a la résiliation du contrat con sus consecuencias. Y si es criterio de attribution du marché, no quedas fuera por no tenerlo, pero partes en desventaja frente a quien sí lo presenta.
En ningún escenario "no tener el ENS" es neutral cuando le cahier des charges lo menciona. La buena noticia es que la mayoría de empresas que pierden un appel d'offres por esto no es porque el ENS sea inalcanzable, sino porque llegaron tarde a enterarse de que lo necesitaban. Si trabajas con l'Administration o aspiras a hacerlo, lo razonable es anticiparse: revisar tu cartera de appels d'offres cibles, ver qué categoría es previsible y arrancar la conformidad con margen. Para eso está la conseil de mise en œuvre de l'ENS, que precisamente ordena este trabajo para que el sello llegue antes que la fecha de presentación.
ENS, ISO 27001 y RGPD: el pack pour soumissionner
En muchas licitaciones el ENS no viaja solo. Es habitual que el mismo pliego pida también certificación ISO 27001 y garantías de cumplimiento del RGPD, porque casi cualquier servicio a un organismo implica tratar datos personales. Abordarlos por separado es ineficiente: comparten analyse de risques, comparten controles y comparten documentación. Tiene mucho más sentido planificarlos juntos.
Para empresas que quieren posicionarse de forma estable como proveedoras de les administrations publiques espagnoles he articulado una vía combinada que cubre los tres frentes a la vez; la detallo en el pack ISO 27001 + ENS + RGPD para appels d'offres avec les administrations publiques espagnoles. La idea es sencilla: si vas a invertir en cumplimiento para vender a lo público, que la inversión sirva para el máximo de pliegos posibles y no haya que rehacer el trabajo en cada appel d'offres.
Trabajo este tipo de proyectos desde consultant en digitalisation en Castille-et-León y Canarias, con empresas que licitan con municipalités, conseils provinciaux, conseillers régionaux et organismes autonomes. El patrón se repite: la conformidad bien planificada deja de ser un obstáculo y pasa a ser una llave que abre appel d'offress a los que antes ni te podías presentar.
Questions fréquentes
¿El ENS es obligatorio para empresas privadas?
No con carácter general. Una empresa privada que no trabaja con el sector público no tiene obligación de cumplir el ENS. El article 2.3 du DR 311/2022 lo extiende al sector privado solo cuando, en virtud de una relación contractual, presta servicios o provee soluciones a entidades du secteur public. La obligación práctica nace de la cláusula dle cahier des charges del contrato concreto.
¿Por qué me piden el ENS en un appel d'offres?
Porque el RD 311/2022 obliga al pouvoir adjudicateur a incluir en sus pliegos los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas en que se apoyan los servicios contratados, incluida la presentación de declaraciones o certificaciones de conformidad. No es exceso de celo del organismo: es el cumplimiento de su propia obligación legal.
¿Qué categoría del ENS me exigen como proveedor?
La fija el pouvoir adjudicateur en le cahier des charges, según el analyse de risques sobre la información que vas a manejar. Como orientación: Básica para servicios de impacto limitado (se acredita por Declaración), Media para SaaS y tratamiento de datos de impacto moderado (Certification auditée por entidad ENAC) y Alta para servicios críticos o información muy sensible. No la eliges tú.
¿Necesito certificación o basta una declaración?
Depende de la categoría. Según el article 38.1 du DR 311/2022, los sistemas de catégorie Basique pueden acreditar su conformidad mediante autoévaluation (Déclaration de conformité), mientras que los de catégorie Intermédiaire o Alta necesitan una Certification de conformité emitida por una organisme accrédité par ENAC tras auditoría.
¿Qué pasa si no tengo el ENS y quiero licitar?
Depende de cómo figure en le cahier des charges. Si es exigence de solvabilité, quedas excluido si no lo acreditas. Si es condition particulière d'exécution, puedes licitar comprometiéndote a obtenerlo en plazo, con pénalités si incumples. Si es criterio de attribution du marché, no quedas fuera pero pierdes puntos. En todos los casos conviene anticiparse y empezar la conformidad antes de que salga le cahier des charges.
¿Mis subsous-traitants también tienen que cumplir el ENS?
Pueden tener que hacerlo. El article 2.3 du DR 311/2022 extiende la cautela a la chaîne d'approvisionnement del contratista, en la medida necesaria y según el analyse de risques. Si subcontratas, por ejemplo, el alojamiento del servicio, ese tercero entra en el foco y debes poder responder por su conformidad en lo que afecte al contrato.
¿Cuánto tiempo tardo en estar conforme con el ENS pour soumissionner?
Orientativamente, de cero: 2 a 4 meses para una Declaración de catégorie Basique y 4 a 8 meses para una Certificación de catégorie Intermédiaire, porque esta última incluye analyse de risques, mise en œuvre des mesures, periodo de operación y auditoría. La catégorie Élevée puede llegar a 12 meses. Por eso conviene arrancar antes de que se publique le cahier des charges objetivo, no después.
Sources
- Décret royal 311/2022, de 3 de mayo, por el que se regula le ENS (schéma national de sécurité espagnol) (BOE, texto consolidado) — art. 2.3 (ámbito sector privado y pliegos), art. 12 (politique de sécurité), art. 38 (conformidad por categorías).
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP) — PCAP y PPT, capacité technique y condiciones especiales de ejecución.
- Loi 40/2015 du 1er octobre sur le régime juridique du secteur public — base legal dle ENS (schéma national de sécurité espagnol).
- Portal ENS del Centro Criptológico Nacional (CCN) — Distintivos de conformidad — declaración vs. certificación y categorías.
- Guía CCN-STIC-809: Declaración y Certification de conformité con el ENS — procedimientos y distintivos.
- ENAC — Acreditación de entidades de certificación del ENS — quién puede emitir certificaciones de conformidad Media y Alta.
Contenido elaborado por Ángel Ortega Castro para angelortegacastro.com. Información divulgativa verificada contra fuentes primarias; no sustituye el asesoramiento sobre un cahier des charges concreto. ¿Tienes un appel d'offres con cláusula ENS sobre la mesa? Contactez-nous et nous verrons si vous pouvez respecter les délais.