Si la teva empresa treballa o vol treballar amb l'Administracio Publica espanyola, la pregunta no es si necessites l'ENS, sino quant et costara i quant tardares. Aquesta guia te els numeros reals que no trobaras facilment a internet.
Que es la certificacio ENS
L'Esquema Nacional de Seguretat (ENS) es el marc de ciberseguretat obligatori per a les Administracions Publiques espanyoles, establert pel Reial Decret 311/2022. Regula com han de protegir els seus sistemes d'informacio i les dades que gestionen.
A diferencia de la ISO 27001, que es una norma internacional voluntaria, l'ENS te rang normatiu a Espanya. L'incompliment implica consequencies directes: contractes perduts, inhabilitacio de sistemes en auditories del CCN (Centre Criptologic Nacional) i, per a les AAPP, responsabilitat administrativa.
La certificacio ENS l'emeten entitats auditores acreditades per ENAC (Entitat Nacional d'Acreditacio) i te una validesa de dos anys, despres dels quals cal renovar-la.
Qui esta obligat a certificar-se
L'obligacio directa es per a les Administracions Publiques: ministeris, comunitats autonomes, ajuntaments, universitats publiques, hospitals del sistema public, organismes reguladors, etc.
Pero l'obligacio s'esten a les empreses privades que presten serveis a aquestes administracions. Si la teva empresa compleix algun d'aquests criteris, necessites ENS:
- Proveidor de software o SaaS per a organismes publics (hospitals, escoles, ajuntaments, ministeris).
- Empresa de cloud computing que allotja dades o sistemes de l'administracio.
- Consultora IT o integradora amb acces a sistemes d'informacio d'organismes publics.
- Proveidor de telecomunicacions que dona servei a AAPP.
- Empresa de ciberseguretat contractada per organismes publics per a gestio de seguretat.
Requisit en licitacions publiques: Cada cop mes plecs de contractacio publica a Espanya exigeixen la certificacio ENS com a requisit de solvencia tecnica. Sense ella, no es pot participar en determinades licitacions del sector public, independentment de la mida o l'experiencia de l'empresa.
Els tres nivells de certificacio: Basic, Mitja i Alt
L'ENS no es una certificacio unica. Els sistemes d'informacio es categoritzen en tres nivells segons l'impacte que tindria un incident de seguretat:
| Nivell | Criteri | Exemples tipics | Controls |
|---|---|---|---|
| Basic | Impacte limitat en cas d'incident | Web informativa, portal de tramits simples, gestor documental intern | ~74 mesures |
| Mitja | Impacte greu: perjudici a interessos, persones o imatge institucional | Historia clinica electronica, sistemes tributaris, plataformes de contractacio publica | ~150 mesures |
| Alt | Impacte molt greu: perjudici irreparable, risc per a la seguretat nacional o persones | Sistemes critics de defensa, infraestructures critiques, sistemes d'emergencies | ~200 mesures |
La majoria d'empreses privades proveidores de l'administracio necessiten certificar-se en Nivell Mitja. El Nivell Alt es menys comu i normalment s'aplica a contractes amb organismes de seguretat, defensa o infraestructura critica nacional.
Quant costa certificar-se en ENS
Els rangs de preu varien principalment pel nivell de certificacio, el nombre de sistemes en l'abast i el punt de partida en seguretat de l'empresa:
| Nivell ENS | Cost primer any (total) | Manteniment + renovacio (biennal) | Termini estimat |
|---|---|---|---|
| Basic | 12.000 - 25.000 EUR | 6.000 - 12.000 EUR/cicle 2 anys | 3-6 mesos |
| Mitja | 25.000 - 45.000 EUR | 10.000 - 20.000 EUR/cicle 2 anys | 6-10 mesos |
| Alt | 45.000 - 85.000+ EUR | 20.000 - 40.000 EUR/cicle 2 anys | 10-16 mesos |
Sobre aquests rangs: Son per a empreses de 10-200 empleats amb un o diversos sistemes en l'abast. Empreses amb molts serveis digitals diferents o amb infraestructura molt distribuida poden superar el rang superior. Si parteixes amb ISO 27001 ja implantada, el cost baixa un 20-30% perque molts controls ja estan coberts.
Desglossament per partides (referencia Nivell Mitja, empresa de 60 empleats)
| Partida | Rang | Notes |
|---|---|---|
| GAP analysis inicial | 2.500 - 5.000 EUR | Avaluacio del punt de partida vs. requisits ENS Nivell Mitja |
| Consultoria d'implantacio | 12.000 - 22.000 EUR | Disseny de politiques, implantacio de controls, documentacio del sistema |
| Pentest previ a l'auditoria | 3.000 - 7.000 EUR | Requerit o molt recomanable abans de l'auditoria certificadora |
| Formacio de l'equip | 2.000 - 6.000 EUR | Bonificable amb FUNDAE. Conscienciacio, rols de seguretat, responsable de seguretat |
| Auditoria de certificacio (ENAC) | 5.000 - 12.000 EUR | Realitzada per entitat acreditada per ENAC. Preu varia segons entitat i abast |
| Eines i llicencies | 2.000 - 5.000 EUR/any | SIEM, gestio de vulnerabilitats, inventari d'actius. Moltes ja poden estar disponibles |
El proces de certificacio pas a pas
El primer pas es determinar el nivell ENS que aplica als teus sistemes: Basic, Mitja o Alt. Aixo es fa mitjancant una avaluacio de l'impacte potencial d'un incident de seguretat. El nivell el determina la dimensio mes critica (confidencialitat, integritat o disponibilitat) de les dades que processes.
Un cop conegut el nivell, s'avalua l'estat actual davant els requisits de l'ENS. El resultat es una llista de bretxes: controls que falten, politiques per documentar, mesures tecniques pendents. Aquest analisi defineix l'abast real del projecte i permet donar un pressupost precis.
S'implanten els controls identificats en el GAP analysis. Aixo inclou mesures organitzatives (politiques, procediments, rols), tecniques (xifratge, accessos, monitorizacio) i fisiques (control d'acces a instal·lacions). Per al Nivell Mitja, son aproximadament 150 mesures, tot i que no totes requereixen el mateix esforc.
Document formal que justifica quines mesures s'apliquen, quines no i per que. Es un dels documents clau que revisa l'auditor certificador. Ha d'estar ben redactat i justificat.
Revisio interna que el sistema implantat funciona com esta documentat. Genera evidencies per a l'auditoria certificadora. Si es detecten no conformitats, es corregeixen abans de cridar l'auditor extern.
L'entitat acreditada per ENAC realitza l'auditoria en dues fases: revisio documental i auditoria en camp. Si no hi ha no conformitats majors, emet la certificacio ENS. Aquesta certificacio te validesa de dos anys, amb seguiment intermedi obligatori.
Terminis realistes
El coll d'ampolla mes habitual es la fase d'implantacio de controls tecnics, especialment si cal implantar sistemes de monitorizacio (SIEM), gestio de vulnerabilitats o revisio completa de politiques d'acces. L'auditoria en si no sol ser el problema: el problema es arribar-hi amb tot en ordre.
Error frequent: Subestimar el volum de documentacio que exigeix l'ENS. No n'hi ha prou amb implantar controls tecnics. L'auditor revisara que cada mesura te la seva politica, el seu procediment operatiu i els seus registres d'evidencia. Moltes empreses arriben a l'auditoria amb la tecnologia ben configurada pero sense la documentacio que ho acredita.
ENS i ISO 27001: diferencies i complementarietat
Una confusio habitual: moltes empreses creuen que la ISO 27001 equival a l'ENS o que una substitueix l'altra. No es correcte.
| ENS | ISO 27001 | |
|---|---|---|
| Tipus | Marc normatiu espanyol (RD 311/2022) | Norma internacional voluntaria |
| Obligatorietat | Obligatori per a AAPP i els seus proveidors | Voluntari (exigible per contractes privats) |
| Ambit | Sector public espanyol i la seva cadena de subministrament | Qualsevol organitzacio, sector public o privat, a nivell mundial |
| Renovacio | Cada 2 anys (amb seguiment anual) | Cada 3 anys (amb auditories de seguiment anuals) |
| Entitat certificadora | Acreditada per ENAC a Espanya | Qualsevol entitat acreditada internacionalment (AENOR, Bureau Veritas, SGS, TUV...) |
Dit aixo, tenir ISO 27001 accelera considerablement la certificacio ENS. Els controls tecnics i organitzatius se solapen en un 60-70%. Una empresa amb ISO 27001 ja te la cultura de seguretat, la documentacio de politiques i els controls basics implantats. Aixo redueix el treball d'implantacio ENS i el temps total del projecte.
L'estrategia optima per a empreses que volen treballar tant amb el sector public espanyol com amb clients privats exigents: certificar ISO 27001 primer i usar aquell SGSI com a base per a l'ENS. Dues certificacions amb gran part del treball compartit.
Avaluacio gratuita: ENS i ISO 27001
Si no saps quin nivell ENS t'aplica o vols saber quant falta per certificar-te, fem una avaluacio inicial sense cost. En una sessio et donem el nivell que aplica, el GAP analysis basic i un pressupost orientatiu.
Sol·licitar avaluacio gratuitaPreguntes frequents
Quant costa exactament certificar-se en ENS?
Per al Nivell Mitja, el rang habitual en el primer any es 25.000-45.000 EUR per a una empresa de 10-200 empleats. Aixo inclou GAP analysis, consultoria, pentest previ, formacio (bonificable amb FUNDAE) i auditoria certificadora. El Nivell Basic pot estar en 12.000-25.000 EUR.
La meva empresa es privada. Necessito ENS?
Depen de si prestes serveis digitals a organismes publics. Si vens software, cloud, serveis IT o gestio de dades a ajuntaments, ministeris, hospitals publics, universitats publiques o altres organismes, probablement si. Revisa el plec dels teus contractes actuals o futurs: molts ja ho exigeixen explicitament.
La ISO 27001 es equivalent a l'ENS?
No, pero ajuda molt. Son marcs diferents: la ISO 27001 es internacional i voluntaria; l'ENS es espanyol i obligatori per al sector public. Tenir la ISO 27001 cobreix el 60-70% del treball necessari per a l'ENS, pero no el substitueix.
Quant temps te validesa la certificacio ENS?
Dos anys. Hi ha una auditoria de seguiment intermedia (a l'any) i en finalitzar el cicle es realitza una nova auditoria de renovacio. El cost de renovacio es inferior al del primer proces perque el sistema ja esta implantat.
La formacio per a l'ENS es pot bonificar amb FUNDAE?
Si. La formacio en ciberseguretat necessaria per implantar i mantenir l'ENS (conscienciacio del personal, rols de seguretat, responsable del sistema) es bonificable amb el credit FUNDAE anual. En molts casos cobreix el 100% de la partida de formacio.
El teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.