Cada ano mas licitaciones publicas incluyen la certificación ENS como requisito de solvencia técnica. Empresas de software, integradores IT y proveedores cloud se encuentran de repente con que no pueden optar a un contrato público sin ella. Esta guia responde a la pregunta que todo el mundo tiene pero pocos responden con números reales: cuanto cuesta y cuanto tarda.
Que es el ENS
El Esquema Nacional de Seguridad (ENS) es el marco normativo espanol de ciberseguridad para el sector público, regulado por el Real Decreto 311/2022. Define los principios y requisitos que deben cumplir las Administraciones Publicas para proteger la información que manejan y los servicios que prestan.
El ENS establece que cualquier sistema de información que soporte servicios de la Administracion debe estar categorizado, con sus riesgos evaluados y sus medidas de seguridad implantadas y auditadas de forma independiente.
La certificación ENS la emiten entidades auditoras acreditadas por ENAC (Entidad Nacional de Acreditacion). Tiene validez de dos años con seguimiento anual obligatorio.
Quien supervisa el cumplimiento: El Centro Criptologico Nacional (CCN-CERT), dependiente del CNI, es el organismo técnico de referencia del ENS en Espana. Publica las guias (series CCN-STIC) y realiza auditorías propias en organismos publicos. Su aprobacion de herramientas y proveedores tiene peso real en los procesos de certificación.
Quien esta obligado a certificarse
La obligación directa recae sobre las Administraciones Publicas espanolas: ministerios, comunidades autonomas, ayuntamientos, organismos publicos, universidades publicas, centros sanitarios del sistema nacional de salud.
Pero el alcance va mas alla. Las empresas privadas que prestan servicios a estas administraciones y tienen acceso a sus sistemas o datos deben acreditar el cumplimiento del ENS. En la practica, esto afecta a:
- Empresas de software y SaaS que venden aplicaciones a organismos publicos.
- Proveedores cloud que hospedan sistemas o datos de la administracion.
- Consultoras IT con acceso a infraestructura de organismos publicos.
- Integradores de sistemas que gestionan entornos tecnológicos de AAPP.
- Empresas de ciberseguridad contratadas para gestión de seguridad por organismos publicos.
Si tu empresa aparece en contratos publicos, lo mas probable es que el ENS ya sea un requisito o que lo sea pronto. Los pliegos de contratación pública lo incluyen con frecuencia creciente.
Los tres niveles de certificación: Basico, Medio y Alto
Los sistemas de información se categorizan en tres niveles segun el impacto que tendria un incidente de seguridad sobre la disponibilidad, integridad o confidencialidad de la información:
| Nivel | Definicion | Ejemplos | Medidas aprox. |
|---|---|---|---|
| Basico | Impacto limitado: perjuicio menor a las operaciones o imagen | Webs informativas, gestores documentales internos, portales de tramites simples | ~74 medidas |
| Medio | Impacto grave: perjuicio significativo a operaciones, intereses o personas | Historia clinica electrónica, sistemas tributarios, plataformas de contratación publica, registros civiles | ~150 medidas |
| Alto | Impacto muy grave: dano irreparable, riesgo para seguridad nacional o vidas | Sistemas criticos de defensa, infraestructuras criticas nacionales, sistemas de emergencias | ~200 medidas |
La mayoria de empresas privadas proveedoras del sector público necesitan Nivel Medio. El Nivel Alto aplica a contratos con organismos de seguridad nacional, defensa o infraestructura critica, y es menos frecuente en el mercado privado.
Cuanto cuesta certificarse en ENS
| Nivel ENS | Coste primer ano | Renovacion bienal | Plazo estimado |
|---|---|---|---|
| Basico | 12.000 - 22.000 EUR | 5.000 - 10.000 EUR | 3-5 meses |
| Medio | 25.000 - 45.000 EUR | 10.000 - 18.000 EUR | 6-9 meses |
| Alto | 45.000 - 85.000+ EUR | 20.000 - 40.000 EUR | 10-16 meses |
Si ya tienes ISO 27001: El coste del primer ano puede reducirse un 25-35% porque gran parte de los controles ya estan implantados y documentados. Los plazos también se acortan significativamente. ISO 27001 y ENS comparten el 60-70% de los controles técnicos y organizativos.
Desglose por partidas (referencia Nivel Medio, empresa 60 empleados)
| Partida | Rango | Notas |
|---|---|---|
| GAP analysis inicial | 2.000 - 5.000 EUR | Evaluacion del punto de partida vs. requisitos ENS Nivel Medio |
| Consultoria de implantacion | 12.000 - 22.000 EUR | Diseno de politicas, implantacion de controles, documentación del SGSI adaptado al ENS |
| Pentest previo a auditoria | 3.000 - 7.000 EUR | Muy recomendable antes de la auditoría certificadora. Algunos niveles lo exigen |
| Formación del equipo | 2.000 - 5.000 EUR | Bonificable al 100% con FUNDAE en la mayoria de casos |
| Auditoria de certificación (ENAC) | 5.000 - 12.000 EUR | Realizada por entidad acreditada por ENAC. Precio varia segun entidad y alcance |
| Herramientas y licencias | 2.000 - 5.000 EUR/ano | SIEM, gestión de vulnerabilidades, inventario. Reducible si ya hay herramientas propias |
El proceso de certificación ENS paso a paso
Se evalua el impacto potencial de un incidente sobre la confidencialidad, integridad y disponibilidad de la información que gestiona el sistema. El nivel mas alto de las tres dimensiones determina el nivel ENS del sistema. Este paso es obligatorio y documentado.
Evaluacion del estado actual frente a los requisitos del nivel determinado. El resultado es un mapa de brechas: controles ausentes, politicas sin documentar, medidas técnicas pendientes. Define el alcance real del proyecto y permite un presupuesto preciso.
Identificacion y valoracion de activos, amenazas y vulnerabilidades. Definicion del Plan de Tratamiento de Riesgos (PTR) y la Declaracion de Aplicabilidad (DOA). Estos documentos son fundamentales para la auditoría certificadora.
Se implantan los controles del Anexo II del ENS que aplican al nivel certificado. Incluye medidas de marco organizativo (politicas, roles), operaciónal (gestión de activos, continuidad) y de protección (cifrado, accesos, monitorización).
Verificacion de que el sistema implantado funciona como esta documentado y genera las evidencias necesarias. Detectar no conformidades antes del auditor externo ahorra tiempo y dinero.
El auditor externo acreditado por ENAC revisa la documentación y verifica en campo que los controles estan implantados y funcionan. Si no hay no conformidades mayores, emite el certificado ENS. Validez: dos años con seguimiento anual.
Plazos realistas
El cuello de botella habitual no es la documentación sino la implantacion de controles técnicos: sistemas de monitorización, gestión de vulnerabilidades, politicas de cifrado, revisión de accesos. Si la empresa ya tiene estos controles operativos, los plazos se acortan notablemente.
ENS e ISO 27001: diferencias y sinergias
| ENS | ISO 27001 | |
|---|---|---|
| Naturaleza | Marco normativo espanol (RD 311/2022) | Norma internacional voluntaria |
| Obligatoriedad | Obligatorio para AAPP y sus proveedores digitales | Voluntario (exigible contractualmente) |
| Ambito | Sector público espanol y cadena de suministro | Cualquier organización a nivel mundial |
| Validez certificado | 2 años con seguimiento anual | 3 años con auditorías anuales |
| Entidad certificadora | Acreditada por ENAC (Espana) | Acreditada internacionalmente (AENOR, Bureau Veritas, TUV...) |
| Solapamiento de controles | 60-70% de controles compartidos | |
La estrategia mas eficiente para empresas que quieren operar en el mercado público espanol y en el privado: certificar ISO 27001 primero y usar ese SGSI como base para el ENS. El solapamiento del 60-70% significa que buena parte del trabajo ya esta hecho cuando empiezas el ENS.
Evaluacion gratuita: ENS e ISO 27001
Si no tienes claro que nivel ENS te corresponde o cuanto falta para certificarte, hacemos una evaluación inicial sin coste. En una sesion: nivel que aplica, GAP analysis basico y presupuesto orientativo.
Solicitar evaluación gratuitaPreguntas frecuentes
Cuanto cuesta exactamente certificarse en ENS Nivel Medio?
Para una empresa de 10-200 empleados, el rango habitual en el primer ano es 25.000-45.000 EUR. Incluye GAP analysis, consultoria de implantacion, pentest previo, formación (bonificable con FUNDAE) y auditoría certificadora. Si ya tienes ISO 27001, puedes reducir este coste un 25-35%.
Mi empresa es privada. Necesito ENS?
Si prestas servicios digitales a organismos publicos (software, cloud, IT, ciberseguridad), probablemente si. La exigencia del ENS en licitaciones publicas va en aumento. Revisa los pliegos de tus contratos actuales o futuros: muchos ya lo incluyen como requisito de solvencia técnica.
Cuanto tiempo tarda el proceso completo?
Nivel Medio desde cero: 6-9 meses. Con ISO 27001 implantada: 4-6 meses. Nivel Basico: 3-5 meses. El factor que mas influye en el plazo es el estado de los controles técnicos de la empresa al inicio del proyecto.
Con que frecuencia hay que renovar la certificación ENS?
La certificación tiene validez de dos años. Hay una auditoría de seguimiento al ano (menos costosa) y una auditoría de renovacion completa al finalizar el ciclo. El coste de renovacion es inferior al del primer proceso.
La formación para ENS se puede bonificar con FUNDAE?
Si. La formación en ciberseguridad necesaria para implantar el ENS es bonificable. Una empresa de 50-100 empleados suele tener crédito FUNDAE suficiente para cubrir el 100% de la partida de formación sin coste adicional.
Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.