Cada any mes licitacions publiques a Espanya inclouen la certificacio ENS com a requisit de solvencia tecnica. Empreses de software, integradors IT i prove茂dors cloud es troben de sobte que no poden optar a un contracte public sense ella. Aquesta guia respon la pregunta que tothom te pero pocs responen amb xifres reals: quant costa i quant tarda.
Que es l'ENS
L'Esquema Nacional de Seguretat (ENS) es el marc normatiu espanyol de ciberseguretat per al sector public, regulat pel Reial Decret 311/2022. La certificacio ENS la emeten entitats auditores acreditades per l'ENAC (Entitat Nacional d'Acreditacio). Te una validesa de dos anys amb seguiment anual obligatori.
Qui esta obligat a certificar-se
L'obligacio directa recau sobre les Administracions Publiques espanyoles. Pero l'abast va mes enlla. Les empreses privades que presten serveis a aquestes administracions i tenen acces als seus sistemes o dades han d'acreditar el compliment de l'ENS:
- Empreses de programari i SaaS que venen aplicacions a organismes publics.
- Prove茂dors cloud que allotgen sistemes o dades de l'administracio.
- Consultores IT amb acces a infraestructura d'organismes publics.
- Integradors de sistemes que gestionen entorns tecnologics de les AAPP.
- Empreses de ciberseguretat contractades per a gestio de seguretat per organismes publics.
Els tres nivells de certificacio: Basic, Mitja i Alt
| Nivell | Definicio | Exemples | Mesures aprox. |
|---|---|---|---|
| Basic | Impacte limitat: perjudici menor a les operacions o imatge | Webs informatives, gestors documentals interns, portals de tramits simples | ~74 mesures |
| Mitja | Impacte greu: perjudici significatiu a operacions, interessos o persones | Historia clinica electronica, sistemes tributaris, plataformes de contractacio publica | ~150 mesures |
| Alt | Impacte molt greu: dany irreparable, risc per a la seguretat nacional o vides | Sistemes critics de defensa, infraestructures critiques nacionals, serveis d'emergencies | ~200 mesures |
Quant costa certificar-se en ENS
| Nivell ENS | Cost primer any | Renovacio biennal | Termini estimat |
|---|---|---|---|
| Basic | 12.000 - 22.000 EUR | 5.000 - 10.000 EUR | 3-5 mesos |
| Mitja | 25.000 - 45.000 EUR | 10.000 - 18.000 EUR | 6-9 mesos |
| Alt | 45.000 - 85.000+ EUR | 20.000 - 40.000 EUR | 10-16 mesos |
Si ja tens ISO 27001: El cost del primer any pot reduir-se un 25-35% perque molts controls ja estan implantats i documentats. ENS i ISO 27001 comparteixen el 60-70% dels controls tecnics i organitzatius.
El proces de certificacio pas a pas
Es determina quin nivell ENS aplica als teus sistemes en funcio de l'impacte potencial d'un incident de seguretat sobre la confidencialitat, integritat i disponibilitat de la informacio.
Avaluacio de l'estat actual enfront dels requisits del nivell determinat. El resultat es un mapa de bretxes: controls absents, politiques sense documentar, mesures tecniques pendents.
Identificacio i valoracio d'actius, amenaces i vulnerabilitats. Definicio del Pla de Tractament de Riscos (PTR) i la Declaracio d'Aplicabilitat (DOA).
S'implanten els controls de l'Annex II de l'ENS que apliquen al nivell certificat: mesures de marc organitzatiu (politiques, rols), operacional (gestio d'actius, continuitat) i de proteccio (xifratge, accessos, monitorizacio).
Verificacio que el sistema implantat funciona com esta documentat i genera les evidencies necessaries per a l'auditor extern.
L'auditor extern acreditat per ENAC revisa la documentacio i verifica in situ que els controls estan implantats i funcionen. Si no hi ha no conformitats majors, s'emet el certificat ENS. Validesa: dos anys amb seguiment anual.
Terminis realistes
ENS i ISO 27001: diferencies i sinergies
| ENS | ISO 27001 | |
|---|---|---|
| Naturalesa | Marc normatiu espanyol (RD 311/2022) | Norma internacional voluntaria |
| Obligatoriedad | Obligatori per a les AAPP i els seus prove茂dors digitals | Voluntari (exigible contractualment) |
| Validesa certificat | 2 anys amb seguiment anual | 3 anys amb auditories anuals |
| Solapament de controls | 60-70% de controls compartits | |
Avaluacio gratuita: ENS i ISO 27001
Si no saps quin nivell ENS t'aplica o quant falta per certificar-te, fem una avaluacio inicial sense cost. En una sessio: nivell que aplica, GAP analysis basic i pressupost orientatiu.
Sol路licitar avaluacio gratuitaPreguntes frequents
Quant costa exactament certificar-se en ENS Nivell Mitja?
Per a una empresa de 10-200 empleats, el rang habitual el primer any es 25.000-45.000 EUR. Inclou GAP analysis, consultoria d'implantacio, pentest previ, formacio (bonificable amb FUNDAE) i auditoria certificadora. Amb ISO 27001 ja implantada, pots reduir aquest cost un 25-35%.
La meva empresa es privada. Necessito ENS?
Si prestes serveis digitals a organismes publics (programari, cloud, IT, ciberseguretat), probablement si. L'exigencia de l'ENS en licitacions publiques va en augment. Revisa els plecs dels teus contractes actuals o futurs.
La formacio per a ENS es pot bonificar amb FUNDAE?
Si. La formacio en ciberseguretat necessaria per implantar l'ENS es bonificable. Una empresa de 50-100 empleats sol tenir credit FUNDAE suficient per cobrir el 100% de la partida de formacio.