El mantenimiento del ENS empieza el día después de certificarte: la conformidad no es permanente. Toca renovarla mediante auditoría al menos cada dos años (autoevaluación en categoría BÁSICA), reportar una vez al año al INES, mantener vivos el análisis de riesgos y la declaración de aplicabilidad, notificar los incidentes y recategorizar el sistema cuando cambie de forma sustancial. Si dejas caer cualquiera de esas piezas, pierdes la conformidad.
Acompaño a empresas y administraciones a lo largo de todo el ciclo del ENS, y la pregunta que más se repite llega justo después de colgar el sello en la web: «¿y ahora qué?». Muchas pymes se certifican para entrar en un pliego, respiran aliviadas y guardan la documentación en un cajón. Año y medio después descubren que la conformidad se les ha caducado, que nadie reportó al INES o que un cambio de proveedor de nube dejó el alcance desactualizado. Este artículo es el mapa de ese «día después»: qué obligaciones periódicas tienes, qué cuesta atenderlas y qué errores te dejan fuera.
¿Caduca la certificación del ENS?
Sí. Ni la certificación de conformidad ni la declaración de conformidad son para siempre. El ENS es un modelo de mejora continua, no un trámite que se supera una vez. Si acabas de terminar el proceso de certificación ENS, estas son las cinco piezas que a partir de ahora tienes que mantener vivas:
- Vigencia limitada. El distintivo tiene una validez acotada —dos años como referencia general—, fijada por la Instrucción Técnica de Seguridad de conformidad con el ENS.
- Renovación periódica. Mediante auditoría por entidad acreditada en categorías MEDIA y ALTA, o mediante autoevaluación en categoría BÁSICA.
- Reporte anual al INES. El Informe Nacional del Estado de Seguridad que coordina el CCN.
- Mantenimiento continuo. Análisis de riesgos, declaración de aplicabilidad, medidas y procedimientos revisados con regularidad.
- Auditoría extraordinaria. Cuando el sistema cambia de forma sustancial antes de la revisión ordinaria.
El resto del artículo desarrolla cada una de estas obligaciones con su periodicidad real.
Calendario de obligaciones después de certificarte en el ENS
Este es el cuadro que entrego a un cliente el mismo día que consigue el sello. Lo que cambia según la categoría es cómo se acredita la conformidad; el resto de obligaciones es común a las tres.
| Obligación | Periodicidad | Categoría BÁSICA | Categoría MEDIA / ALTA |
|---|---|---|---|
| Acreditar la conformidad | Al certificarte y en cada renovación | Autoevaluación → Declaración de conformidad | Auditoría → Certificación de conformidad |
| Revisión ordinaria de la seguridad | Al menos cada 2 años | Autoevaluación | Auditoría por entidad acreditada por ENAC |
| Revisión extraordinaria | Ante cambios sustanciales | Sí | Sí |
| Informe INES | Anual | Sí | Sí |
| Análisis de riesgos actualizado | Continuo / al menos anual | Sí | Sí |
| Notificación de incidentes | Al detectarlos | Sí | Sí |
| Renovación del distintivo | Antes de su vencimiento (ref. 2 años) | Sí | Sí |
Si te certificaste al filo de un plazo, revisa también los plazos de adecuación al ENS: el reloj de la renovación empieza a contar desde la fecha del distintivo, no desde que firmaste el contrato.
Auditoría de renovación del ENS: cada cuánto toca y en qué se fija
La auditoría es el corazón del mantenimiento en categorías MEDIA y ALTA. No es una formalidad: si el auditor detecta no conformidades graves, no renueva.
¿Cada cuánto se renueva la certificación ENS?
El Real Decreto 311/2022 obliga a auditar los sistemas de categoría MEDIA o ALTA al menos cada dos años. Ese es el ritmo ordinario de la renovación. En categoría BÁSICA no hace falta auditoría de tercera parte: basta una autoevaluación, aunque conviene documentarla con el mismo rigor. Te explico el mecanismo completo en mi guía sobre cada cuánto se audita la conformidad ENS.
¿Qué revisa el auditor en la renovación?
No parte de cero: comprueba que lo que declaraste sigue siendo cierto y que has mantenido el sistema. En concreto se fija en:
- El análisis de riesgos. Que está actualizado y refleja el sistema real, no el de hace dos años.
- La declaración de aplicabilidad. Que las medidas del Anexo II declaradas siguen implantadas y son coherentes con la categoría.
- Las evidencias operativas. Registros de incidentes, pruebas de continuidad, revisiones de accesos, formación del personal.
- Las no conformidades anteriores. Que las acciones correctivas de la auditoría previa se cerraron de verdad.
Si prefieres delegar esta revisión en un tercero que la prepare y la ejecute contigo, es exactamente el objeto de mi servicio de auditoría ENS.
Auditoría extraordinaria: cuándo se adelanta la revisión
La periodicidad de dos años es el mínimo ordinario, pero un cambio sustancial en el sistema obliga a auditar antes: una migración a la nube, un cambio de proveedor crítico, una nueva sede tecnológica o una modificación en la valoración de las dimensiones de seguridad. Tratar esos cambios como si no afectaran a la conformidad es uno de los errores más caros que veo.
INES: el informe anual que no puedes saltarte
El INES —Informe Nacional del Estado de Seguridad— es la obligación que más se olvida porque no la reclama nadie de forma visible… hasta que la reclama. Las entidades del ámbito del ENS reportan cada año sus indicadores de seguridad a través de la plataforma que coordina el CCN, que agrega esa información en el informe nacional. Es un pulso anual del estado de tu sistema: nivel de madurez, medidas implantadas, incidentes gestionados.
Para una pyme que se certificó para un pliego, lo importante es entender que el INES no es opcional dentro de su ámbito y que su cumplimentación anual forma parte del mantenimiento, igual que la auditoría. Si gestionas un ente pequeño, te resultará útil mi guía sobre autoevaluación e informe INES, pensada para equipos con pocos recursos.
Mantenimiento continuo: riesgos, medidas y documentación al día
Entre auditoría y auditoría, el trabajo no se detiene. La conformidad se demuestra con evidencias, y las evidencias se generan a diario. Estas son las tres corrientes que hay que mantener en movimiento.
Análisis de riesgos y declaración de aplicabilidad
El análisis de riesgos es un documento vivo. Cada activo nuevo, cada servicio que se externaliza y cada amenaza emergente lo modifican. Recomiendo revisarlo al menos una vez al año y siempre que cambie algo relevante, usando una metodología reconocida como el análisis de riesgos MAGERIT. La declaración de aplicabilidad debe moverse en paralelo: si activas o retiras una medida del Anexo II, se refleja ahí.
Gestión y notificación de incidentes
Un sistema conforme no es uno que no sufre incidentes, sino uno que los detecta, los gestiona y los notifica. Debes mantener operativo el procedimiento de respuesta ante incidentes en el ENS y notificar al CCN-CERT los que correspondan según su nivel. Un incidente serio sin notificar es, además de un fallo operativo, un motivo directo de pérdida de conformidad.
Vigilancia de nuevas instrucciones técnicas y guías CCN-STIC
El ENS no es un texto congelado. El CCN publica y actualiza instrucciones técnicas de seguridad (ITS) y guías CCN-STIC que concretan cómo aplicar las medidas. Mantener el ENS incluye estar atento a esas actualizaciones e incorporarlas antes de que el auditor te pregunte por ellas. Es la parte menos visible del mantenimiento y la que separa a quien cumple sobre el papel de quien cumple de verdad.
Qué hacer cuando cambia el sistema o el alcance (y cuándo recategorizar)
Los sistemas cambian: se añaden servicios, se sube información más sensible a la nube, se amplía el número de usuarios. Cuando el cambio afecta a la valoración de las dimensiones de seguridad —confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad—, hay que rehacer la categorización, y el resultado puede subir de BÁSICA a MEDIA, o de MEDIA a ALTA.
Recategorizar tiene consecuencias prácticas inmediatas: si el sistema pasa de BÁSICA a MEDIA, la autoevaluación deja de bastar y necesitas auditoría de certificación. Por eso conviene evaluar cada cambio relevante antes de ejecutarlo, no después. Los tres disparadores que siempre reviso:
- Cambio de alcance. Nuevos servicios o sistemas que entran bajo el paraguas del ENS.
- Cambio tecnológico sustancial. Migración a la nube, nuevo centro de datos o nuevo proveedor crítico.
- Cambio en la valoración de la información. Datos que pasan a ser más sensibles y elevan la categoría del sistema.
Cualquiera de los tres puede exigir una auditoría extraordinaria antes de la renovación ordinaria. Comunicarlo a tiempo es mantenimiento; ocultarlo es arriesgar la conformidad.
Cuánto cuesta mantener el ENS (y cuánto cuesta dejarlo caer)
Mantener la conformidad cuesta bastante menos que certificarse de cero, y muchísimo menos que recuperarla tras dejarla caducar. No voy a darte una cifra cerrada porque depende de la categoría, del tamaño del sistema y de cuánto asuma tu equipo internamente; para las horquillas de la certificación inicial tienes mi artículo sobre el proceso y los costes de certificación ENS. Sí puedo desglosarte de qué se compone el gasto anual de mantenimiento:
- La auditoría de renovación. El bienio la concentra; en categoría BÁSICA se sustituye por autoevaluación y el coste externo baja mucho.
- Las horas de actualización documental. Análisis de riesgos, declaración de aplicabilidad, procedimientos y evidencias.
- El tiempo del equipo interno. La operación diaria de las medidas: copias, accesos, registros, formación.
- El soporte externo, si lo hay. Muchas pymes externalizan la vigilancia continua y reservan al equipo la operación.
El coste de «dejarlo caer» rara vez aparece en la hoja de cálculo, y es el más alto: quedarte fuera de un pliego que exige conformidad vigente, rehacer buena parte del proyecto para recertificar y perder la ventaja competitiva frente a proveedores que sí la mantuvieron. Mantener es siempre más barato que rescatar.
Errores que hacen perder la conformidad del ENS
Casi todas las pérdidas de conformidad que he visto responden a los mismos descuidos. Ninguno es técnico; todos son de gestión:
- Dejar caducar el distintivo. Nadie apuntó la fecha de renovación y el certificado venció sin auditoría. El más común y el más evitable.
- Cambiar el sistema sin comunicarlo. Una migración a la nube o un nuevo servicio que no se refleja en el alcance ni dispara la auditoría extraordinaria.
- No presentar el INES. El informe anual se olvida porque no llega un aviso, y su ausencia consta.
- Documentación fosilizada. Análisis de riesgos y declaración de aplicabilidad idénticos a los del día de la certificación, cuando el sistema ya no lo es.
- Incidentes sin notificar. Gestionados en silencio, sin el registro ni la comunicación al CCN-CERT que exige el marco.
- Ignorar las nuevas ITS. El auditor pregunta por una instrucción técnica publicada hace meses y nadie la había leído.
Conclusión: el ENS es un estado, no un trámite
La certificación es la foto de un día; la conformidad es la película. Mantener el ENS significa auditar o autoevaluar en su plazo, reportar cada año al INES, tener el análisis de riesgos y la declaración de aplicabilidad al día, notificar los incidentes y recategorizar cuando el sistema lo pida. Nada de eso es complejo por separado; lo difícil es no perder ninguna pieza de vista durante dos años seguidos. Si quieres situar esta fase dentro del ciclo completo, tienes mi guía del ENS para empresas y administraciones.
Si te certificaste para un pliego y no tienes claro qué te toca ahora, o se te acerca la renovación y quieres llegar sin sobresaltos, cuéntame tu caso y lo revisamos juntos, sin compromiso.
¿Necesitas ayuda para mantener viva la conformidad año tras año? Conoce mi servicio de consultoría ENS para empresas que ya se certificaron y no quieren perder el sello.