Esquema Nacional de Seguridad (ENS): Guía Completa 2026

El Esquema Nacional de Seguridad es el marco normativo que establece los principios y requisitos mínimos de seguridad que deben cumplir todos los sistemas de información de las Administraciones Públicas españolas y de las empresas que les prestan servicios tecnológicos. Regulado por el Real Decreto 311/2022, de 3 de mayo, el ENS no es una opción: es una obligación legal cuyo incumplimiento puede suponer la exclusión de licitaciones públicas, sanciones administrativas y, sobre todo, una exposición inaceptable a ciberamenazas en un entorno donde los ataques al sector público crecen año tras año.

Si usted gestiona una empresa que trabaja con la Administración o dirige un organismo público que maneja información de los ciudadanos, esta guía le proporcionará una visión completa y práctica de todo lo que necesita saber para cumplir con el ENS en 2026.

🔗 ENLACE INTERNO: Para conocer si su empresa está obligada a cumplir el ENS, consulte nuestro artículo específico sobre obligatoriedad del ENS para empresas y proveedores.

¿Qué es el Esquema Nacional de Seguridad y por qué existe?

El ENS nació con la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos, que reconocía el derecho de los ciudadanos a relacionarse electrónicamente con la Administración. Ese derecho exigía un marco de seguridad que garantizase la protección de la información y los servicios electrónicos. El primer ENS se aprobó mediante el Real Decreto 3/2010, y fue completamente renovado por el Real Decreto 311/2022, que es la versión vigente.

El ENS persigue cuatro objetivos fundamentales. En primer lugar, crear las condiciones de seguridad necesarias para generar confianza en el uso de los medios electrónicos. En segundo lugar, establecer una política de seguridad común para todas las entidades del sector público. En tercer lugar, proporcionar un lenguaje y unos elementos comunes que faciliten la interacción entre administraciones y la comunicación de requisitos de seguridad a la industria. Y en cuarto lugar, servir como referencia de buenas prácticas de seguridad de la información.

Marco legal vigente

El marco legal del ENS se sustenta en varias normas. La Ley 40/2015, de Régimen Jurídico del Sector Público, establece en su artículo 156 que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito del sector público. El Real Decreto 311/2022 desarrolla esta previsión con 41 artículos, 4 disposiciones adicionales, una transitoria, una derogatoria y 4 anexos técnicos.

Además, el ENS se relaciona estrechamente con otras normativas como el Reglamento General de Protección de Datos (RGPD), la Directiva NIS2 (transpuesta al ordenamiento español) y la futura Ley de Coordinación y Gobernanza de la Ciberseguridad.

A quién obliga el ENS: ámbito de aplicación completo

El ámbito de aplicación del ENS es más amplio de lo que muchas organizaciones creen. La obligación directa recae sobre todo el sector público: la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, las Universidades públicas y las entidades de derecho público vinculadas o dependientes de las Administraciones Públicas.

La obligación indirecta para el sector privado

El artículo 2 del Real Decreto 311/2022 establece que el ENS también se aplica a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas. Esto incluye a todas las empresas que manejen, procesen, almacenen o transmitan información clasificada por la Administración, así como a los proveedores de servicios TIC que den soporte a sistemas públicos.

En la práctica, esto significa que si su empresa desarrolla software para un ayuntamiento, gestiona la infraestructura tecnológica de una consejería autonómica, presta servicios cloud a un ministerio o simplemente procesa datos de ciudadanos por encargo de una entidad pública, está obligada a cumplir con el ENS en el nivel que corresponda al sistema de información al que da soporte.

🔗 ENLACE INTERNO: Consulte nuestra guía sobre quién tiene que cumplir el ENS para un análisis detallado con checklist de autodiagnóstico.

El ENS en las licitaciones públicas

La tendencia es clara: cada vez más pliegos de contratación pública exigen la certificación ENS como requisito de solvencia técnica o como criterio de valoración. Esto convierte al ENS no solo en una obligación legal, sino en una ventaja competitiva real para las empresas que licitan con la Administración.

Las cinco dimensiones de seguridad: DICAT

El ENS evalúa la seguridad de la información en cinco dimensiones, conocidas por el acrónimo DICAT. Cada dimensión se valora de forma independiente y su nivel determina la categoría del sistema.

La Disponibilidad garantiza que los servicios y la información estén accesibles cuando se necesitan. La Integridad asegura que la información no ha sido alterada de forma no autorizada. La Confidencialidad protege la información contra accesos no autorizados. La Autenticidad garantiza que la identidad de las personas y entidades que acceden al sistema es verificable. Y la Trazabilidad permite reconstruir quién hizo qué, cuándo y sobre qué información.

Cada dimensión se valora en tres niveles (BAJO, MEDIO, ALTO) en función del impacto que tendría un incidente de seguridad en esa dimensión concreta.

Categorías del ENS: BÁSICA, MEDIA y ALTA

La categoría del sistema se determina en función del nivel más alto alcanzado en cualquiera de las cinco dimensiones DICAT. Es decir, si cuatro dimensiones están en nivel BAJO pero una está en nivel ALTO, el sistema completo se categoriza como de categoría ALTA.

Categoría BÁSICA

Se aplica cuando un incidente de seguridad tendría un impacto limitado sobre las funciones de la organización, los activos o los individuos afectados. Es la categoría más frecuente en ayuntamientos pequeños y sistemas de información de bajo impacto. Requiere una declaración de conformidad (no certificación formal) y la aplicación de un subconjunto reducido de los 73 controles.

Categoría MEDIA

Corresponde a sistemas donde un incidente tendría un impacto grave. Es la categoría habitual para la mayoría de organismos de la Administración y para sus proveedores tecnológicos. Exige certificación formal por una entidad acreditada por ENAC y la aplicación de un conjunto más amplio de controles, incluyendo requisitos reforzados de autenticación, monitorización y gestión de incidentes.

Categoría ALTA

Se aplica cuando un incidente tendría un impacto muy grave o catastrófico. Es la categoría de los sistemas que manejan información clasificada, infraestructuras críticas o servicios esenciales de alto impacto. Requiere la totalidad de los 73 controles en su máxima exigencia, auditorías más frecuentes y mecanismos de protección avanzados.

🔗 ENLACE INTERNO: Profundice en las diferencias entre categorías en nuestro artículo sobre categorías BÁSICA, MEDIA y ALTA del ENS.

Los 73 controles del ENS: visión general

Los controles del ENS se organizan en tres grandes marcos que cubren la seguridad desde la gobernanza hasta la implementación técnica.

Marco organizativo (4 controles)

El marco organizativo establece los cimientos de la seguridad. Incluye la política de seguridad (org.1), que define el compromiso de la dirección; la normativa de seguridad (org.2), que desarrolla la política en normas operativas; los procedimientos de seguridad (org.3), que detallan cómo se ejecutan las normas; y el proceso de autorización (org.4), que regula la aprobación de nuevos sistemas o modificaciones significativas.

Marco operacional (31 controles)

El marco operacional cubre la planificación, la gestión del acceso, la explotación de los sistemas, los servicios externos, la continuidad del servicio y la monitorización. Aquí se encuentran controles como la planificación de la seguridad (op.pl), el control de acceso (op.acc), la gestión de la configuración (op.exp), la contratación de servicios externos (op.ext), la continuidad del servicio (op.cont) y la monitorización del sistema (op.mon).

Medidas de protección (38 controles)

Las medidas de protección abordan la seguridad de las instalaciones (mp.if), la gestión del personal (mp.per), la protección de los equipos (mp.eq), la seguridad de las comunicaciones (mp.com), la protección de los soportes de información (mp.si), la seguridad de las aplicaciones (mp.sw), la protección de la información (mp.info), la protección de los servicios (mp.s) y la criptografía (mp.c - nuevo en RD 311/2022).

🔗 ENLACE INTERNO: Consulte nuestro desglose detallado de los 73 controles del ENS con aplicabilidad por categoría.

El análisis de riesgos: piedra angular del ENS

El análisis de riesgos no es un trámite burocrático: es el ejercicio que determina qué controles son necesarios, con qué nivel de exigencia, y dónde deben concentrarse los recursos de seguridad. El ENS exige un análisis de riesgos formal basado en una metodología reconocida.

La metodología de referencia en España es MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), desarrollada por el Consejo Superior de Administración Electrónica. MAGERIT se apoya en la herramienta PILAR, desarrollada por el Centro Criptológico Nacional (CCN), que automatiza gran parte del proceso de análisis.

El proceso de análisis de riesgos comprende varias etapas: la identificación y valoración de los activos de información, la identificación de las amenazas que pueden afectar a cada activo, la estimación del impacto y la probabilidad de materialización, el cálculo del riesgo, la selección de salvaguardas y la determinación del riesgo residual aceptable.

🔗 ENLACE INTERNO: Consulte nuestra guía práctica de análisis de riesgos con MAGERIT para un tutorial paso a paso.

El proceso de certificación ENS

El camino hacia la certificación ENS varía según la categoría del sistema.

Declaración de conformidad (categoría BÁSICA)

Los sistemas de categoría BÁSICA no requieren certificación externa. Basta con una declaración de conformidad firmada por el responsable del sistema, que acredite que se cumplen los requisitos aplicables del ENS. Esta declaración debe renovarse cada dos años o cuando se produzcan cambios significativos en el sistema.

Certificación formal (categorías MEDIA y ALTA)

Los sistemas de categoría MEDIA y ALTA deben obtener una certificación emitida por una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación). El proceso incluye una auditoría de fase 1 (revisión documental y planificación) y una auditoría de fase 2 (evaluación in situ del cumplimiento). La certificación tiene una validez de dos años, con una auditoría de seguimiento intermedia.

Costes orientativos

Los costes de adecuación y certificación varían enormemente según el tamaño de la organización, la complejidad de los sistemas y la categoría. Como orientación general, un proyecto de implantación para una PYME con categoría MEDIA puede situarse entre 15.000 y 40.000 euros (consultoría incluida), mientras que la certificación propiamente dicha (auditoría externa) oscila entre 5.000 y 15.000 euros adicionales.

🔗 ENLACE INTERNO: Para un análisis detallado de costes y plazos, consulte nuestro artículo sobre certificación ENS: proceso, requisitos y costes.

Herramientas del CCN para el cumplimiento

El Centro Criptológico Nacional pone a disposición de las organizaciones un ecosistema de herramientas gratuitas que facilitan enormemente el cumplimiento del ENS.

PILAR es la herramienta de análisis de riesgos oficial, que implementa la metodología MAGERIT. INES (Informe Nacional del Estado de Seguridad) es la plataforma para reportar el estado de adecuación al ENS. LUCIA es el sistema de gestión de incidentes del CCN-CERT. CLARA permite la verificación automatizada del cumplimiento de la configuración de seguridad. ANA es la herramienta de análisis de vulnerabilidades. Y microCLOUD ofrece servicios cloud seguros para entidades con recursos limitados.

Relación del ENS con otras normas y marcos

El ENS no opera de forma aislada. Se complementa con ISO 27001 (sistema de gestión de seguridad de la información), compartiendo muchos requisitos pero con diferencias significativas en alcance y enfoque. También se relaciona con el RGPD en lo relativo a la protección de datos personales tratados por medios electrónicos, con la Directiva NIS2 para operadores de servicios esenciales e importantes, y con el marco DORA para el sector financiero.

Una estrategia inteligente consiste en abordar el cumplimiento de forma integrada, aprovechando las sinergias entre normas para reducir duplicidades y costes.

🔗 ENLACE INTERNO: Consulte nuestro artículo comparativo ENS vs ISO 27001: diferencias, similitudes y cuándo necesita ambas.

Preguntas frecuentes sobre el ENS

¿Cuánto tiempo lleva adecuarse al ENS?

Un proyecto de adecuación típico requiere entre 4 y 12 meses, dependiendo de la categoría, el punto de partida de la organización y los recursos disponibles.

¿Puedo certificarme en ENS e ISO 27001 a la vez?

Sí, y es una estrategia recomendable. Ambas normas comparten la estructura de sistema de gestión y muchos controles coinciden. Una implantación simultánea puede reducir costes en un 30-40% respecto a hacerlo por separado.

¿Qué pasa si no cumplo el ENS?

El incumplimiento puede suponer la exclusión de licitaciones públicas, responsabilidades administrativas por incidentes de seguridad que afecten a datos de ciudadanos, y sanciones en el marco de la legislación de ciberseguridad aplicable.

¿Necesito un consultor para implantar el ENS?

No es obligatorio, pero sí altamente recomendable, especialmente para organizaciones que abordan el ENS por primera vez. Un consultor especializado aporta experiencia en categorización, análisis de riesgos, selección de controles y preparación de la auditoría.

🔗 ENLACE INTERNO: Si necesita asesoramiento profesional, consulte nuestra página sobre consultoría ENS: cómo elegir al mejor partner.

Conclusión: el ENS como oportunidad estratégica

El Esquema Nacional de Seguridad no debería verse únicamente como una obligación regulatoria, sino como una oportunidad para mejorar la postura de seguridad de su organización, acceder a licitaciones públicas y generar confianza en sus clientes del sector público. En un contexto donde los ciberataques a administraciones y sus proveedores se multiplican cada año, contar con la certificación ENS no es solo cumplir la ley: es demostrar profesionalidad y compromiso con la protección de la información de los ciudadanos.

Si desea evaluar su situación respecto al ENS o iniciar un proceso de adecuación, no dude en contactarnos. Analizaremos su caso concreto y le proporcionaremos un plan de acción adaptado a sus necesidades y recursos.

📩 CTA: ¿Necesita ayuda con el ENS? Contacte con nosotros y le asesoraremos sin compromiso sobre el camino más eficiente para su organización.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.