El mantenimiento del ENS empieza el día después de certificarte: la conformidad no es permanente. Toca renovarla mediante auditoría al menos cada dos años (autoevaluación en categoría BÁSICA), reportar una vez al año al INES, mantener vivos el análisis de riesgos y la declaración de aplicabilidad, notificar los incidentes y recategorizar el sistema cuando cambie de forma sustancial. Si dejas caer cualquiera de esas piezas, pierdes la conformidad.

Acompaño a empresas y administraciones a lo largo de todo el ciclo del ENS, y la pregunta que más se repite llega justo después de colgar el sello en la web: «¿y ahora qué?». Muchas pymes se certifican para entrar en un pliego, respiran aliviadas y guardan la documentación en un cajón. Año y medio después descubren que la conformidad se les ha caducado, que nadie reportó al INES o que un cambio de proveedor de nube dejó el alcance desactualizado. Este artículo es el mapa de ese «día después»: qué obligaciones periódicas tienes, qué cuesta atenderlas y qué errores te dejan fuera.

¿Caduca la certificación del ENS?

Sí. Ni la certificación de conformidad ni la declaración de conformidad son para siempre. El ENS es un modelo de mejora continua, no un trámite que se supera una vez. Si acabas de terminar el proceso de certificación ENS, estas son las cinco piezas que a partir de ahora tienes que mantener vivas:

El resto del artículo desarrolla cada una de estas obligaciones con su periodicidad real.

Calendario de obligaciones después de certificarte en el ENS

Este es el cuadro que entrego a un cliente el mismo día que consigue el sello. Lo que cambia según la categoría es cómo se acredita la conformidad; el resto de obligaciones es común a las tres.

ObligaciónPeriodicidadCategoría BÁSICACategoría MEDIA / ALTA
Acreditar la conformidadAl certificarte y en cada renovaciónAutoevaluación → Declaración de conformidadAuditoría → Certificación de conformidad
Revisión ordinaria de la seguridadAl menos cada 2 añosAutoevaluaciónAuditoría por entidad acreditada por ENAC
Revisión extraordinariaAnte cambios sustanciales
Informe INESAnual
Análisis de riesgos actualizadoContinuo / al menos anual
Notificación de incidentesAl detectarlos
Renovación del distintivoAntes de su vencimiento (ref. 2 años)

Si te certificaste al filo de un plazo, revisa también los plazos de adecuación al ENS: el reloj de la renovación empieza a contar desde la fecha del distintivo, no desde que firmaste el contrato.

Auditoría de renovación del ENS: cada cuánto toca y en qué se fija

La auditoría es el corazón del mantenimiento en categorías MEDIA y ALTA. No es una formalidad: si el auditor detecta no conformidades graves, no renueva.

¿Cada cuánto se renueva la certificación ENS?

El Real Decreto 311/2022 obliga a auditar los sistemas de categoría MEDIA o ALTA al menos cada dos años. Ese es el ritmo ordinario de la renovación. En categoría BÁSICA no hace falta auditoría de tercera parte: basta una autoevaluación, aunque conviene documentarla con el mismo rigor. Te explico el mecanismo completo en mi guía sobre cada cuánto se audita la conformidad ENS.

¿Qué revisa el auditor en la renovación?

No parte de cero: comprueba que lo que declaraste sigue siendo cierto y que has mantenido el sistema. En concreto se fija en:

Si prefieres delegar esta revisión en un tercero que la prepare y la ejecute contigo, es exactamente el objeto de mi servicio de auditoría ENS.

Auditoría extraordinaria: cuándo se adelanta la revisión

La periodicidad de dos años es el mínimo ordinario, pero un cambio sustancial en el sistema obliga a auditar antes: una migración a la nube, un cambio de proveedor crítico, una nueva sede tecnológica o una modificación en la valoración de las dimensiones de seguridad. Tratar esos cambios como si no afectaran a la conformidad es uno de los errores más caros que veo.

INES: el informe anual que no puedes saltarte

El INES —Informe Nacional del Estado de Seguridad— es la obligación que más se olvida porque no la reclama nadie de forma visible… hasta que la reclama. Las entidades del ámbito del ENS reportan cada año sus indicadores de seguridad a través de la plataforma que coordina el CCN, que agrega esa información en el informe nacional. Es un pulso anual del estado de tu sistema: nivel de madurez, medidas implantadas, incidentes gestionados.

Para una pyme que se certificó para un pliego, lo importante es entender que el INES no es opcional dentro de su ámbito y que su cumplimentación anual forma parte del mantenimiento, igual que la auditoría. Si gestionas un ente pequeño, te resultará útil mi guía sobre autoevaluación e informe INES, pensada para equipos con pocos recursos.

Mantenimiento continuo: riesgos, medidas y documentación al día

Entre auditoría y auditoría, el trabajo no se detiene. La conformidad se demuestra con evidencias, y las evidencias se generan a diario. Estas son las tres corrientes que hay que mantener en movimiento.

Análisis de riesgos y declaración de aplicabilidad

El análisis de riesgos es un documento vivo. Cada activo nuevo, cada servicio que se externaliza y cada amenaza emergente lo modifican. Recomiendo revisarlo al menos una vez al año y siempre que cambie algo relevante, usando una metodología reconocida como el análisis de riesgos MAGERIT. La declaración de aplicabilidad debe moverse en paralelo: si activas o retiras una medida del Anexo II, se refleja ahí.

Gestión y notificación de incidentes

Un sistema conforme no es uno que no sufre incidentes, sino uno que los detecta, los gestiona y los notifica. Debes mantener operativo el procedimiento de respuesta ante incidentes en el ENS y notificar al CCN-CERT los que correspondan según su nivel. Un incidente serio sin notificar es, además de un fallo operativo, un motivo directo de pérdida de conformidad.

Vigilancia de nuevas instrucciones técnicas y guías CCN-STIC

El ENS no es un texto congelado. El CCN publica y actualiza instrucciones técnicas de seguridad (ITS) y guías CCN-STIC que concretan cómo aplicar las medidas. Mantener el ENS incluye estar atento a esas actualizaciones e incorporarlas antes de que el auditor te pregunte por ellas. Es la parte menos visible del mantenimiento y la que separa a quien cumple sobre el papel de quien cumple de verdad.

Qué hacer cuando cambia el sistema o el alcance (y cuándo recategorizar)

Los sistemas cambian: se añaden servicios, se sube información más sensible a la nube, se amplía el número de usuarios. Cuando el cambio afecta a la valoración de las dimensiones de seguridad —confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad—, hay que rehacer la categorización, y el resultado puede subir de BÁSICA a MEDIA, o de MEDIA a ALTA.

Recategorizar tiene consecuencias prácticas inmediatas: si el sistema pasa de BÁSICA a MEDIA, la autoevaluación deja de bastar y necesitas auditoría de certificación. Por eso conviene evaluar cada cambio relevante antes de ejecutarlo, no después. Los tres disparadores que siempre reviso:

Cualquiera de los tres puede exigir una auditoría extraordinaria antes de la renovación ordinaria. Comunicarlo a tiempo es mantenimiento; ocultarlo es arriesgar la conformidad.

Cuánto cuesta mantener el ENS (y cuánto cuesta dejarlo caer)

Mantener la conformidad cuesta bastante menos que certificarse de cero, y muchísimo menos que recuperarla tras dejarla caducar. No voy a darte una cifra cerrada porque depende de la categoría, del tamaño del sistema y de cuánto asuma tu equipo internamente; para las horquillas de la certificación inicial tienes mi artículo sobre el proceso y los costes de certificación ENS. Sí puedo desglosarte de qué se compone el gasto anual de mantenimiento:

El coste de «dejarlo caer» rara vez aparece en la hoja de cálculo, y es el más alto: quedarte fuera de un pliego que exige conformidad vigente, rehacer buena parte del proyecto para recertificar y perder la ventaja competitiva frente a proveedores que sí la mantuvieron. Mantener es siempre más barato que rescatar.

Errores que hacen perder la conformidad del ENS

Casi todas las pérdidas de conformidad que he visto responden a los mismos descuidos. Ninguno es técnico; todos son de gestión:

Conclusión: el ENS es un estado, no un trámite

La certificación es la foto de un día; la conformidad es la película. Mantener el ENS significa auditar o autoevaluar en su plazo, reportar cada año al INES, tener el análisis de riesgos y la declaración de aplicabilidad al día, notificar los incidentes y recategorizar cuando el sistema lo pida. Nada de eso es complejo por separado; lo difícil es no perder ninguna pieza de vista durante dos años seguidos. Si quieres situar esta fase dentro del ciclo completo, tienes mi guía del ENS para empresas y administraciones.

Si te certificaste para un pliego y no tienes claro qué te toca ahora, o se te acerca la renovación y quieres llegar sin sobresaltos, cuéntame tu caso y lo revisamos juntos, sin compromiso.

¿Necesitas ayuda para mantener viva la conformidad año tras año? Conoce mi servicio de consultoría ENS para empresas que ya se certificaron y no quieren perder el sello.