Cada ano mas licitaciones publicas incluyen la certificacion ENS como requisito de solvencia tecnica. Empresas de software, integradores IT y proveedores cloud se encuentran de repente con que no pueden optar a un contrato publico sin ella. Esta guia responde a la pregunta que todo el mundo tiene pero pocos responden con numeros reales: cuanto cuesta y cuanto tarda.
Que es el ENS
El Esquema Nacional de Seguridad (ENS) es el marco normativo espanol de ciberseguridad para el sector publico, regulado por el Real Decreto 311/2022. Define los principios y requisitos que deben cumplir las Administraciones Publicas para proteger la informacion que manejan y los servicios que prestan.
El ENS establece que cualquier sistema de informacion que soporte servicios de la Administracion debe estar categorizado, con sus riesgos evaluados y sus medidas de seguridad implantadas y auditadas de forma independiente.
La certificacion ENS la emiten entidades auditoras acreditadas por ENAC (Entidad Nacional de Acreditacion). Tiene validez de dos anos con seguimiento anual obligatorio.
Quien supervisa el cumplimiento: El Centro Criptologico Nacional (CCN-CERT), dependiente del CNI, es el organismo tecnico de referencia del ENS en Espana. Publica las guias (series CCN-STIC) y realiza auditorias propias en organismos publicos. Su aprobacion de herramientas y proveedores tiene peso real en los procesos de certificacion.
Quien esta obligado a certificarse
La obligacion directa recae sobre las Administraciones Publicas espanolas: ministerios, comunidades autonomas, ayuntamientos, organismos publicos, universidades publicas, centros sanitarios del sistema nacional de salud.
Pero el alcance va mas alla. Las empresas privadas que prestan servicios a estas administraciones y tienen acceso a sus sistemas o datos deben acreditar el cumplimiento del ENS. En la practica, esto afecta a:
- Empresas de software y SaaS que venden aplicaciones a organismos publicos.
- Proveedores cloud que hospedan sistemas o datos de la administracion.
- Consultoras IT con acceso a infraestructura de organismos publicos.
- Integradores de sistemas que gestionan entornos tecnologicos de AAPP.
- Empresas de ciberseguridad contratadas para gestion de seguridad por organismos publicos.
Si tu empresa aparece en contratos publicos, lo mas probable es que el ENS ya sea un requisito o que lo sea pronto. Los pliegos de contratacion publica lo incluyen con frecuencia creciente.
Los tres niveles de certificacion: Basico, Medio y Alto
Los sistemas de informacion se categorizan en tres niveles segun el impacto que tendria un incidente de seguridad sobre la disponibilidad, integridad o confidencialidad de la informacion:
| Nivel | Definicion | Ejemplos | Medidas aprox. |
|---|---|---|---|
| Basico | Impacto limitado: perjuicio menor a las operaciones o imagen | Webs informativas, gestores documentales internos, portales de tramites simples | ~74 medidas |
| Medio | Impacto grave: perjuicio significativo a operaciones, intereses o personas | Historia clinica electronica, sistemas tributarios, plataformas de contratacion publica, registros civiles | ~150 medidas |
| Alto | Impacto muy grave: dano irreparable, riesgo para seguridad nacional o vidas | Sistemas criticos de defensa, infraestructuras criticas nacionales, sistemas de emergencias | ~200 medidas |
La mayoria de empresas privadas proveedoras del sector publico necesitan Nivel Medio. El Nivel Alto aplica a contratos con organismos de seguridad nacional, defensa o infraestructura critica, y es menos frecuente en el mercado privado.
Cuanto cuesta certificarse en ENS
| Nivel ENS | Coste primer ano | Renovacion bienal | Plazo estimado |
|---|---|---|---|
| Basico | 12.000 - 22.000 EUR | 5.000 - 10.000 EUR | 3-5 meses |
| Medio | 25.000 - 45.000 EUR | 10.000 - 18.000 EUR | 6-9 meses |
| Alto | 45.000 - 85.000+ EUR | 20.000 - 40.000 EUR | 10-16 meses |
Si ya tienes ISO 27001: El coste del primer ano puede reducirse un 25-35% porque gran parte de los controles ya estan implantados y documentados. Los plazos tambien se acortan significativamente. ISO 27001 y ENS comparten el 60-70% de los controles tecnicos y organizativos.
Desglose por partidas (referencia Nivel Medio, empresa 60 empleados)
| Partida | Rango | Notas |
|---|---|---|
| GAP analysis inicial | 2.000 - 5.000 EUR | Evaluacion del punto de partida vs. requisitos ENS Nivel Medio |
| Consultoria de implantacion | 12.000 - 22.000 EUR | Diseno de politicas, implantacion de controles, documentacion del SGSI adaptado al ENS |
| Pentest previo a auditoria | 3.000 - 7.000 EUR | Muy recomendable antes de la auditoria certificadora. Algunos niveles lo exigen |
| Formacion del equipo | 2.000 - 5.000 EUR | Bonificable al 100% con FUNDAE en la mayoria de casos |
| Auditoria de certificacion (ENAC) | 5.000 - 12.000 EUR | Realizada por entidad acreditada por ENAC. Precio varia segun entidad y alcance |
| Herramientas y licencias | 2.000 - 5.000 EUR/ano | SIEM, gestion de vulnerabilidades, inventario. Reducible si ya hay herramientas propias |
El proceso de certificacion ENS paso a paso
Se evalua el impacto potencial de un incidente sobre la confidencialidad, integridad y disponibilidad de la informacion que gestiona el sistema. El nivel mas alto de las tres dimensiones determina el nivel ENS del sistema. Este paso es obligatorio y documentado.
Evaluacion del estado actual frente a los requisitos del nivel determinado. El resultado es un mapa de brechas: controles ausentes, politicas sin documentar, medidas tecnicas pendientes. Define el alcance real del proyecto y permite un presupuesto preciso.
Identificacion y valoracion de activos, amenazas y vulnerabilidades. Definicion del Plan de Tratamiento de Riesgos (PTR) y la Declaracion de Aplicabilidad (DOA). Estos documentos son fundamentales para la auditoria certificadora.
Se implantan los controles del Anexo II del ENS que aplican al nivel certificado. Incluye medidas de marco organizativo (politicas, roles), operacional (gestion de activos, continuidad) y de proteccion (cifrado, accesos, monitorizacion).
Verificacion de que el sistema implantado funciona como esta documentado y genera las evidencias necesarias. Detectar no conformidades antes del auditor externo ahorra tiempo y dinero.
El auditor externo acreditado por ENAC revisa la documentacion y verifica en campo que los controles estan implantados y funcionan. Si no hay no conformidades mayores, emite el certificado ENS. Validez: dos anos con seguimiento anual.
Plazos realistas
El cuello de botella habitual no es la documentacion sino la implantacion de controles tecnicos: sistemas de monitorizacion, gestion de vulnerabilidades, politicas de cifrado, revision de accesos. Si la empresa ya tiene estos controles operativos, los plazos se acortan notablemente.
ENS e ISO 27001: diferencias y sinergias
| ENS | ISO 27001 | |
|---|---|---|
| Naturaleza | Marco normativo espanol (RD 311/2022) | Norma internacional voluntaria |
| Obligatoriedad | Obligatorio para AAPP y sus proveedores digitales | Voluntario (exigible contractualmente) |
| Ambito | Sector publico espanol y cadena de suministro | Cualquier organizacion a nivel mundial |
| Validez certificado | 2 anos con seguimiento anual | 3 anos con auditorias anuales |
| Entidad certificadora | Acreditada por ENAC (Espana) | Acreditada internacionalmente (AENOR, Bureau Veritas, TUV...) |
| Solapamiento de controles | 60-70% de controles compartidos | |
La estrategia mas eficiente para empresas que quieren operar en el mercado publico espanol y en el privado: certificar ISO 27001 primero y usar ese SGSI como base para el ENS. El solapamiento del 60-70% significa que buena parte del trabajo ya esta hecho cuando empiezas el ENS.
Evaluacion gratuita: ENS e ISO 27001
Si no tienes claro que nivel ENS te corresponde o cuanto falta para certificarte, hacemos una evaluacion inicial sin coste. En una sesion: nivel que aplica, GAP analysis basico y presupuesto orientativo.
Solicitar evaluacion gratuitaPreguntas frecuentes
Cuanto cuesta exactamente certificarse en ENS Nivel Medio?
Para una empresa de 10-200 empleados, el rango habitual en el primer ano es 25.000-45.000 EUR. Incluye GAP analysis, consultoria de implantacion, pentest previo, formacion (bonificable con FUNDAE) y auditoria certificadora. Si ya tienes ISO 27001, puedes reducir este coste un 25-35%.
Mi empresa es privada. Necesito ENS?
Si prestas servicios digitales a organismos publicos (software, cloud, IT, ciberseguridad), probablemente si. La exigencia del ENS en licitaciones publicas va en aumento. Revisa los pliegos de tus contratos actuales o futuros: muchos ya lo incluyen como requisito de solvencia tecnica.
Cuanto tiempo tarda el proceso completo?
Nivel Medio desde cero: 6-9 meses. Con ISO 27001 implantada: 4-6 meses. Nivel Basico: 3-5 meses. El factor que mas influye en el plazo es el estado de los controles tecnicos de la empresa al inicio del proyecto.
Con que frecuencia hay que renovar la certificacion ENS?
La certificacion tiene validez de dos anos. Hay una auditoria de seguimiento al ano (menos costosa) y una auditoria de renovacion completa al finalizar el ciclo. El coste de renovacion es inferior al del primer proceso.
La formacion para ENS se puede bonificar con FUNDAE?
Si. La formacion en ciberseguridad necesaria para implantar el ENS es bonificable. Una empresa de 50-100 empleados suele tener credito FUNDAE suficiente para cubrir el 100% de la partida de formacion sin coste adicional.