Si tu empresa trabaja o quiere trabajar con la Administracion Publica espanola, la pregunta no es si necesitas el ENS, sino cuanto va a costarte y cuanto vas a tardar. Esta guia tiene los números reales que no vas a encontrar facilmente en internet.
Que es la certificación ENS
El Esquema Nacional de Seguridad (ENS) es el marco de ciberseguridad obligatorio para las Administraciones Publicas espanolas, establecido por el Real Decreto 311/2022. Regula como deben proteger sus sistemas de información y los datos que gestionan.
A diferencia de ISO 27001, que es una norma internacional voluntaria, el ENS tiene rango normativo en Espana. Su incumplimiento implica consecuencias directas: contratos perdidos, inhabilitacion de sistemas en auditorías del CCN (Centro Criptologico Nacional) y, para las AAPP, responsabilidad administrativa.
La certificación ENS la emiten entidades auditoras acreditadas por ENAC (Entidad Nacional de Acreditacion) y tiene una validez de dos años, tras los cuales hay que renovarla.
Quien esta obligado a certificarse
La obligación directa es para las Administraciones Publicas: ministerios, comunidades autonomas, ayuntamientos, universidades publicas, hospitales del sistema público, organismos reguladores, etc.
Pero la obligación se extiende a las empresas privadas que prestan servicios a estas administraciones. Si tu empresa cumple alguno de estos criterios, necesitas ENS:
- Proveedor de software o SaaS para organismos publicos (hospitales, colegios, ayuntamientos, ministerios).
- Empresa de cloud computing que hospeda datos o sistemas de la administracion.
- Consultora IT o integradora con acceso a sistemas de información de organismos publicos.
- Proveedor de telecomunicaciones que da servicio a AAPP.
- Empresa de ciberseguridad contratada por organismos publicos para gestión de seguridad.
Requisito en licitaciones publicas: Cada vez mas pliegos de contratación pública en Espana exigen la certificación ENS como requisito de solvencia técnica. Sin ella, no se puede participar en determinadas licitaciones del sector público, independientemente del tamano o experiencia de la empresa.
Los tres niveles de certificación: Basico, Medio y Alto
El ENS no es una certificación unica. Los sistemas de información se categorizan en tres niveles segun el impacto que tendria un incidente de seguridad:
| Nivel | Criterio | Ejemplos tipicos | Controles |
|---|---|---|---|
| Basico | Impacto limitado en caso de incidente | Web informativa, portal de tramites simples, gestor documental interno | ~74 medidas |
| Medio | Impacto grave: perjuicio a intereses, personas o imagen institucional | Historia clinica electrónica, sistemas tributarios, plataformas de contratación publica | ~150 medidas |
| Alto | Impacto muy grave: perjuicio irreparable, riesgo para la seguridad nacional o personas | Sistemas criticos de defensa, infraestructuras criticas, sistemas de emergencias | ~200 medidas |
La mayoria de empresas privadas proveedoras de la administracion necesitan certificarse en Nivel Medio. El Nivel Alto es menos comun y normalmente se aplica a contratos con organismos de seguridad, defensa o infraestructura crítica nacional.
Cuanto cuesta certificarse en ENS
Los rangos de precio varian principalmente por el nivel de certificación, el número de sistemas en el alcance y el punto de partida en seguridad de la empresa:
| Nivel ENS | Coste primer ano (total) | Mantenimiento + renovacion (bienal) | Plazo estimado |
|---|---|---|---|
| Basico | 12.000 - 25.000 EUR | 6.000 - 12.000 EUR/ciclo 2 años | 3-6 meses |
| Medio | 25.000 - 45.000 EUR | 10.000 - 20.000 EUR/ciclo 2 años | 6-10 meses |
| Alto | 45.000 - 85.000+ EUR | 20.000 - 40.000 EUR/ciclo 2 años | 10-16 meses |
Sobre estos rangos: Son para empresas de 10-200 empleados con uno o varios sistemas en el alcance. Empresas con muchos servicios digitales diferentes o con infraestructura muy distribuida pueden superar el rango superior. Si partes con ISO 27001 ya implantada, el coste baja un 20-30% porque muchos controles ya estan cubiertos.
Desglose por partidas (referencia Nivel Medio, empresa 60 empleados)
| Partida | Rango | Notas |
|---|---|---|
| GAP analysis inicial | 2.500 - 5.000 EUR | Evaluacion del punto de partida vs. requisitos ENS Nivel Medio |
| Consultoria de implantacion | 12.000 - 22.000 EUR | Diseno de politicas, implantacion de controles, documentación del sistema |
| Pentest previo a auditoria | 3.000 - 7.000 EUR | Requerido o muy recomendable antes de la auditoría certificadora |
| Formación del equipo | 2.000 - 6.000 EUR | Bonificable con FUNDAE. Concienciacion, roles de seguridad, responsable de seguridad |
| Auditoria de certificación (ENAC) | 5.000 - 12.000 EUR | Realizada por entidad acreditada por ENAC. Precio varia segun entidad y alcance |
| Herramientas y licencias | 2.000 - 5.000 EUR/ano | SIEM, gestión de vulnerabilidades, inventario de activos. Muchas ya pueden estar disponibles |
El proceso de certificación paso a paso
El primer paso es determinar el nivel ENS que aplica a tus sistemas: Basico, Medio o Alto. Esto se hace mediante una evaluación del impacto potencial de un incidente de seguridad. El nivel lo determina el dimension mas crítica (confidencialidad, integridad o disponibilidad) de los datos que procesas.
Una vez conocido el nivel, se evalua el estado actual frente a los requisitos del ENS. El resultado es una lista de brechas: controles que faltan, politicas por documentar, medidas técnicas pendientes. Este analisis define el alcance real del proyecto y permite dar un presupuesto preciso.
Se implantan los controles identificados en el GAP analysis. Esto incluye medidas organizativas (politicas, procedimientos, roles), técnicas (cifrado, accesos, monitorización) y fisicas (control de acceso a instalaciones). Para Nivel Medio, son aproximadamente 150 medidas, aunque no todas requieren el mismo esfuerzo.
Documento formal que justifica que medidas se aplican, cuales no y por que. Es uno de los documentos clave que revisa el auditor certificador. Debe estar bien redactado y justificado.
Revision interna de que el sistema implantado funciona como esta documentado. Genera evidencias para la auditoría certificadora. Si se detectan no conformidades, se corrigen antes de llamar al auditor externo.
La entidad acreditada por ENAC realiza la auditoría en dos fases: revisión documental y auditoría en campo. Si no hay no conformidades mayores, emite la certificación ENS. Esta certificación tiene validez de dos años, con seguimiento intermedio obligatorio.
Plazos realistas
El cuello de botella mas habitual es la fase de implantacion de controles técnicos, especialmente si hay que implantar sistemas de monitorización (SIEM), gestión de vulnerabilidades o revisión completa de politicas de acceso. La auditoría en si no suele ser el problema: el problema es llegar a ella con todo en orden.
Error frecuente: Subestimar el volumen de documentación que exige el ENS. No basta con implantar controles técnicos. El auditor revisara que cada medida tiene su politica, su procedimiento operativo y sus registros de evidencia. Muchas empresas llegan a la auditoría con la tecnologia bien configurada pero sin la documentación que lo acredita.
ENS e ISO 27001: diferencias y complementariedad
Una confusion habitual: muchas empresas creen que ISO 27001 equivale al ENS o que una sustituye a la otra. No es correcto.
| ENS | ISO 27001 | |
|---|---|---|
| Tipo | Marco normativo espanol (RD 311/2022) | Norma internacional voluntaria |
| Obligatoriedad | Obligatorio para AAPP y sus proveedores | Voluntario (exigible por contratos privados) |
| Ambito | Sector público espanol y su cadena de suministro | Cualquier organización, sector público o privado, a nivel mundial |
| Renovacion | Cada 2 años (con seguimiento anual) | Cada 3 años (con auditorías de seguimiento anuales) |
| Entidad certificadora | Acreditada por ENAC en Espana | Cualquier entidad acreditada internacionalmente (AENOR, Bureau Veritas, SGS, TUV...) |
Dicho esto, tener ISO 27001 acelera considerablemente la certificación ENS. Los controles técnicos y organizativos se solapan en un 60-70%. Una empresa con ISO 27001 ya tiene la cultura de seguridad, la documentación de politicas y los controles basicos implantados. Eso reduce el trabajo de implantacion ENS y el tiempo total del proyecto.
La estrategia optima para empresas que quieren trabajar tanto con el sector público espanol como con clientes privados exigentes: certificar ISO 27001 primero y usar ese SGSI como base para el ENS. Dos certificaciones con gran parte del trabajo compartido.
Evaluacion gratuita: ENS e ISO 27001
Si no sabes que nivel ENS te corresponde o quieres saber cuanto falta para certificarte, hacemos una evaluación inicial sin coste. En una sesion te damos el nivel que aplica, el GAP analysis basico y un presupuesto orientativo.
Solicitar evaluación gratuitaPreguntas frecuentes
Cuanto cuesta exactamente certificarse en ENS?
Para Nivel Medio, el rango habitual en el primer ano es 25.000-45.000 EUR para una empresa de 10-200 empleados. Eso incluye GAP analysis, consultoria, pentest previo, formación (bonificable con FUNDAE) y auditoría certificadora. Nivel Basico puede estar en 12.000-25.000 EUR.
Mi empresa es privada. Necesito ENS?
Depende de si prestas servicios digitales a organismos publicos. Si vendes software, cloud, servicios IT o gestión de datos a ayuntamientos, ministerios, hospitales publicos, universidades publicas u otros organismos, probablemente si. Revisa el pliego de tus contratos actuales o futuros: muchos ya lo exigen explicitamente.
ISO 27001 es equivalente al ENS?
No, pero ayuda mucho. Son marcos distintos: ISO 27001 es internacional y voluntario; ENS es espanol y obligatorio para el sector público. Tener ISO 27001 cubre el 60-70% del trabajo necesario para ENS, pero no lo sustituye.
Cuanto tiempo tiene validez la certificación ENS?
Dos años. Hay una auditoría de seguimiento intermedia (al ano) y al finalizar el ciclo se realiza una nueva auditoría de renovacion. El coste de renovacion es inferior al del primer proceso porque el sistema ya esta implantado.
La formación para ENS se puede bonificar con FUNDAE?
Si. La formación en ciberseguridad necesaria para implantar y mantener el ENS (concienciacion del personal, roles de seguridad, responsable del sistema) es bonificable con el crédito FUNDAE anual. En muchos casos cubre el 100% de la partida de formación.
Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.