Si trabajas en una Administración Pública o en una empresa que presta servicios a organismos públicos, es probable que hayas oído hablar del ENS. Pero muchos responsables de contratación no tienen claro qué implica exactamente, cuándo es obligatorio exigirlo a un proveedor de software y, sobre todo, cómo verificar que la certificación es real y está vigente. Esta guía lo explica de forma práctica. ## Qué es el ENS (Esquema Nacional de Seguridad) El **Esquema Nacional de Seguridad (ENS)** es el marco de referencia de ciberseguridad para los sistemas de información de las Administraciones Públicas españolas. Está regulado por el **Real Decreto 311/2022**, que derogó y actualizó el anterior ENS de 2010. En términos simples: el ENS define qué controles de seguridad técnicos, organizativos y de gestión debe tener un sistema de información —y su proveedor— para que la Administración pueda confiarle el tratamiento de sus datos y procesos. No es una certificación voluntaria. Es un **requisito legal** para: - Los sistemas de información de todas las Administraciones Públicas españolas - Los proveedores privados que prestan servicios a la Administración cuando esos servicios implican tratamiento de datos públicos o acceso a sistemas de la Administración El ENS es administrado y supervisado por el **Centro Criptológico Nacional (CCN)**, organismo dependiente del Centro Nacional de Inteligencia (CNI). ## Tres niveles ENS: básico, medio y alto El ENS categoriza los sistemas según el impacto que tendría un incidente de seguridad: | Categoría | Descripción | Ejemplos | |-----------|-------------|----------| | **Básica** | Incidente con impacto limitado | Webs informativas, formularios de contacto, boletines | | **Media** | Incidente con impacto significativo | La mayoría de sistemas de gestión municipal, RRHH, contabilidad | | **Alta** | Incidente con impacto grave o muy grave | Sistemas de seguridad pública, infraestructuras críticas, datos de salud | Para cada categoría, el ENS define un conjunto de medidas de seguridad que deben implementarse. La categoría la determina el organismo público propietario del sistema, no el proveedor. ## A quién aplica el ENS ### Organismos obligados Todos los organismos del sector público español están obligados a cumplir el ENS: - Administración General del Estado (AGE) - Comunidades Autónomas - Entidades Locales (ayuntamientos, diputaciones, cabildos) - Universidades públicas - Empresas públicas y entidades de derecho público - Fundaciones del sector público ### Proveedores privados Un proveedor privado está **obligado a cumplir el ENS** cuando: 1. Presta servicios de administración de sistemas a un organismo público 2. Desarrolla o mantiene software que procesa datos de la Administración 3. Ofrece servicios cloud o SaaS donde residen datos públicos 4. Presta servicios de soporte con acceso a sistemas de producción de la Administración Si tu empresa provee cualquiera de estos servicios sin certificación ENS, estás incumpliendo el contrato y, en función del pliego, puedes estar expuesto a penalizaciones económicas o resolución del contrato. ## Cómo funciona la certificación ENS Existen dos formas de acreditar el cumplimiento del ENS: ### Declaración de conformidad ENS La emite el propio proveedor tras un proceso de autoevaluación documentada. Es suficiente para sistemas de categoría **básica**. Tiene menor peso legal que la certificación porque no está auditada por un tercero independiente. ### Certificación ENS La emite un **organismo de certificación acreditado por ENAC** (como AENOR, Bureau Veritas, BSI Group, SGS, o Dekra). Incluye una auditoría técnica del sistema y los procesos del proveedor. Es obligatoria para sistemas de categoría **media y alta**, y cada vez más exigida en los pliegos aunque no sea obligatoria por ley. La certificación tiene una **validez de dos años**, tras los cuales debe renovarse mediante una auditoría de seguimiento. El CCN publica un [registro público de entidades certificadas](https://ens.ccn-cert.cni.es) donde puedes verificar cualquier certificación. ## Cómo verificar si tu proveedor tiene ENS válido Este es el punto que más se omite en los procesos de contratación. Pedir una certificación ENS no es suficiente: hay que verificar que es auténtica y está vigente. **Paso 1**: Accede al [portal del CCN sobre el ENS](https://ens.ccn-cert.cni.es) o pide al proveedor el número de certificado y el organismo emisor. **Paso 2**: Verifica en la web de ENAC que el organismo emisor está acreditado para la certificación del ENS. **Paso 3**: Comprueba la fecha de emisión y de caducidad. Una certificación ENS vencida no es válida. **Paso 4**: Verifica que el alcance de la certificación incluye el servicio que vas a contratar. Una empresa puede tener ENS para un producto específico y no para otro. ## Los riesgos de contratar software sin ENS Muchos organismos siguen contratando software sin exigir ENS, bien por desconocimiento, bien porque el proveedor habitual "siempre ha funcionado bien". Los riesgos son concretos: **Riesgo legal**: Incumplimiento del Real Decreto 311/2022, con posibilidad de sanciones y responsabilidad personal del responsable de seguridad del organismo. **Riesgo de auditoría**: Los proyectos financiados con fondos Next Generation EU son auditados por el Tribunal de Cuentas y la Intervención General. Si el proveedor no tiene ENS cuando los fondos exigen cumplimiento, el organismo puede tener que devolver la financiación. **Riesgo de incidente**: Un proveedor sin ENS no tiene los controles de seguridad auditados que reducen la probabilidad y el impacto de un ciberataque. En caso de brecha de seguridad, la Agencia Española de Protección de Datos (AEPD) puede imponer sanciones RGPD sobre el organismo, no solo sobre el proveedor. **Riesgo de continuidad**: Si durante la vida del contrato el organismo recibe una auditoría del CCN y el sistema no cumple el ENS, puede verse obligado a suspender el servicio o cambiar de proveedor en plazos muy cortos. ## ENS vs ISO 27001: ¿son lo mismo? Una confusión frecuente. No son lo mismo, pero son complementarios: | | ENS | ISO 27001 | |-|-----|-----------| | Ámbito | España (obligatorio para sector público español) | Internacional (voluntario) | | Regulación | Real Decreto 311/2022 (CCN) | Norma ISO/IEC 27001 (ISO) | | Obligatoriedad | Legal para sector público español | Voluntario | | Enfoque | Medidas técnicas y organizativas específicas para la AGE | Sistema de gestión de seguridad de la información | | Reconocimiento | Imprescindible para contratos públicos en España | Reconocido internacionalmente | Tener ISO 27001 no exime del ENS. Tener ENS sin ISO 27001 es suficiente para contratos públicos españoles, pero menos competitivo en el mercado internacional. Lo óptimo es tener ambos. ## Preguntas frecuentes sobre el ENS **¿El ENS aplica a sistemas en la nube (cloud)?** Sí. Cuando un organismo público usa un servicio cloud (SaaS, IaaS, PaaS), el proveedor cloud debe cumplir el ENS para la infraestructura, y el proveedor de la aplicación también para el software. La guía CCN-STIC-823 regula específicamente la utilización de servicios en la nube en la Administración. **¿Puede exigirse el ENS en contratos con empresas privadas que no son del sector público?** Legalmente no es obligatorio para empresas privadas que no contratan con la Administración. Pero muchas empresas privadas de sectores regulados (utilities, infraestructuras críticas, banca) lo exigen voluntariamente a sus proveedores como señal de madurez en ciberseguridad. **¿Cuánto cuesta obtener la certificación ENS para un proveedor de software?** El coste varía según el tamaño de la empresa y la madurez inicial de sus controles de seguridad. Orientativamente: entre 15.000€ y 50.000€ en consultoría e implantación, más los honorarios del organismo de certificación (entre 5.000€ y 15.000€). El proceso completo suele tomar entre 6 y 18 meses. **¿Qué pasa si el proveedor pierde la certificación ENS durante el contrato?** El proveedor está obligado a notificarlo al organismo público contratante. En función del pliego, puede implicar la suspensión del servicio o la resolución del contrato. Esta es una razón más para incluir en el pliego una cláusula de mantenimiento de la certificación durante toda la vida del contrato.