ENS Certificación 2026: Guía Completa del Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS), actualizado por el Real Decreto 311/2022, es la norma de referencia para la seguridad de los sistemas de información en el sector público español. Si tu empresa presta servicios a la administración pública — o planea hacerlo —, esta guía te explica todo lo que necesitas saber: qué es el ENS, sus categorías, los requisitos, el proceso de certificación y cómo Normapymes puede ayudarte a obtenerla.

¿Qué es el ENS y por qué existe?

El Esquema Nacional de Seguridad es el marco normativo que establece la política de seguridad en la utilización de medios electrónicos por el sector público español. Su objetivo es crear las condiciones de confianza necesarias para que ciudadanos y empresas puedan interactuar con la administración de forma segura.

El ENS fue creado por la Ley 11/2007 y regulado inicialmente por el Real Decreto 3/2010. En mayo de 2022, el Real Decreto 311/2022 actualizó completamente el ENS para adaptarlo a las nuevas amenazas de ciberseguridad, alineándolo con estándares internacionales como la ISO 27001 y la Directiva NIS2.

¿Quién está obligado a cumplir el ENS?

El ámbito de aplicación del ENS es más amplio de lo que muchas empresas creen:

• Administración General del Estado: ministerios, organismos autónomos, entidades públicas empresariales
• Comunidades Autónomas: consejerías, organismos dependientes, empresas públicas autonómicas
• Administración Local: ayuntamientos, diputaciones, mancomunidades, consorcios
• Universidades públicas: obligadas por el RD 311/2022 de forma explícita
• Empresas privadas proveedoras: cualquier empresa que preste servicios tecnológicos, gestione datos o proporcione soluciones al sector público

Este último punto es clave: si tu empresa desarrolla software para un ayuntamiento, gestiona los servidores de una consejería, proporciona servicios cloud a un organismo público o realiza cualquier actividad que implique manejar información del sector público, estás obligado a cumplir con el ENS.

Las tres categorías del ENS: Básica, Media y Alta

El ENS clasifica los sistemas de información en tres categorías según el impacto que un incidente de seguridad podría tener. La categoría determina las medidas de seguridad que debes implementar:

¿Cómo se determina la categoría?

La categoría se establece evaluando el impacto en las cinco dimensiones de seguridad definidas por el ENS:

• Disponibilidad (D): ¿qué impacto tendría que el sistema no estuviera disponible?
• Integridad (I): ¿qué impacto tendría que los datos se alteraran de forma no autorizada?
• Confidencialidad (C): ¿qué impacto tendría que personas no autorizadas accedieran a la información?
• Autenticidad (A): ¿qué impacto tendría que no se pudiera verificar la identidad de los usuarios?
• Trazabilidad (T): ¿qué impacto tendría que no se pudiera rastrear quién hizo qué y cuándo?

El nivel más alto entre todas las dimensiones determina la categoría del sistema. Si una sola dimensión tiene impacto «Alto», toda la categoría del sistema será «Alta».

Las 73 medidas de seguridad del ENS

El Anexo II del RD 311/2022 define 73 medidas de seguridad agrupadas en tres marcos:

Marco organizativo (4 medidas)

• Política de seguridad: documento aprobado por la alta dirección que define los objetivos y la estructura de la gestión de seguridad
• Normativa de seguridad: conjunto de normas y procedimientos que concretan la política
• Procedimientos de seguridad: instrucciones detalladas para ejecutar las actividades de seguridad
• Proceso de autorización: mecanismo para aprobar cambios, accesos y configuraciones

Marco operacional (31 medidas)

Incluye medidas sobre planificación, control de acceso, explotación, gestión de servicios externos, continuidad del servicio y monitorización del sistema. Algunas de las más relevantes:

• Análisis de riesgos: obligatorio para todas las categorías
• Gestión de incidentes: procedimientos de detección, notificación y respuesta
• Continuidad de negocio: planes de recuperación ante desastres
• Protección de servicios y aplicaciones web: controles específicos de seguridad aplicativa

Medidas de protección (38 medidas)

Abarcan la protección de las instalaciones, del personal, de los equipos, de las comunicaciones, de los soportes de información, de las aplicaciones y de la información en sí.

El proceso de certificación ENS paso a paso

En Normapymes, nuestro proceso de implantación y certificación del ENS sigue estas fases:

Fase 1: Análisis de situación y categorización (Semana 1-2)

Evaluamos el estado actual de la seguridad en tu organización y determinamos la categoría ENS que corresponde a tus sistemas de información. Este análisis incluye:

• Inventario de activos de información
• Identificación de los servicios y sistemas afectados
• Valoración de las cinco dimensiones de seguridad
• Determinación de la categoría (Básica, Media, Alta)

Fase 2: Análisis de riesgos (Semana 2-4)

Siguiendo la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), realizamos:

• Identificación de amenazas y vulnerabilidades
• Evaluación de probabilidad e impacto
• Mapa de riesgos priorizado
• Plan de tratamiento de riesgos

Fase 3: Declaración de Aplicabilidad (Semana 4-5)

Seleccionamos y justificamos qué medidas del Anexo II son aplicables a tu organización, según la categoría determinada.

Fase 4: Implantación de medidas (Semana 5-10)

Diseñamos e implantamos las medidas de seguridad necesarias: políticas, procedimientos, controles técnicos y formación del personal.

Fase 5: Auditoría interna (Semana 10-11)

Realizamos una auditoría interna completa para verificar que todas las medidas están correctamente implantadas y funcionando.

Fase 6: Auditoría de certificación (Semana 12-14)

La entidad de certificación acreditada por el CCN (Centro Criptológico Nacional) realiza la auditoría oficial. Las principales entidades de certificación ENS en España son: BDO, Auren, AENOR, Applus, EQA, entre otras.

ENS + ISO 27001: la estrategia óptima

En Normapymes, recomendamos siempre la implantación conjunta del ENS y la ISO 27001 por varias razones:

• 70% de requisitos compartidos: ambos marcos exigen análisis de riesgos, políticas de seguridad, controles de acceso, gestión de incidentes, etc.
• Ahorro de costes: la implantación conjunta cuesta un 30-40% menos que hacerlas por separado
• Ahorro de tiempo: se reduce el plazo total de 6-12 meses (por separado) a 3-5 meses (juntas)
• Doble reconocimiento: el ENS es obligatorio para el sector público español; la ISO 27001 tiene reconocimiento internacional y es valorada por clientes privados

Costes de la certificación ENS en 2026

El coste varía según la categoría y el tamaño de la organización:

Precios orientativos para pymes. Grandes organizaciones con infraestructuras complejas pueden tener costes superiores.

Consecuencias de no cumplir con el ENS

No cumplir con el ENS tiene consecuencias directas y graves:

• Exclusión de la contratación pública: las administraciones pueden exigir la certificación ENS como requisito de solvencia técnica. Sin ella, no puedes licitar
• Pérdida de contratos vigentes: si ya prestas servicios a una administración y no cumples, pueden resolver el contrato
• Responsabilidad ante incidentes: en caso de brecha de seguridad, el incumplimiento del ENS agrava la responsabilidad legal
• Daño reputacional: una brecha de seguridad en un servicio público tiene enorme impacto mediático

El papel del CCN-CERT

El CCN-CERT (Centro Criptológico Nacional - Computer Emergency Response Team) es el organismo responsable de la supervisión del cumplimiento del ENS. Sus funciones incluyen:

• Publicación de guías CCN-STIC: guías técnicas detalladas para la implantación de cada medida del ENS
• Herramienta PILAR: software oficial para realizar el análisis de riesgos conforme a MAGERIT
• Registro de conformidad: las entidades certificadas se registran en el portal del CCN
• Gestión de incidentes: soporte ante ciberataques a sistemas del sector público