Auditoría ENS: Proceso Paso a Paso, Entidades Acreditadas y Cómo Prepararse

Q: ¿Cuánto tiempo dura la auditoría ENS?

La duración de la auditoría varía según la categoría y el tamaño del sistema en alcance. Para categoría Básica en una pyme, la auditoría documental y la visita técnica pueden completarse en 2-3 días hábiles. Para categoría Media en una empresa mediana con varios sistemas en alcance, puede extenderse a 5-8 días hábiles repartidos entre revisión documental y auditoría in situ. La categoría Alta requiere habitualmente entre 2 y 4 semanas de auditoría intensiva.

Q: ¿Cuánto cuesta la auditoría externa ENS?

El coste de la auditoría externa varía según la entidad certificadora, la categoría del sistema y el tamaño del alcance. Como referencia orientativa, una auditoría de certificación para ENS Básico en una pyme puede costar entre 3.000 y 6.000 euros; para ENS Medio, entre 6.000 y 15.000 euros; y para ENS Alto, entre 15.000 y 40.000 euros o más, dependiendo de la complejidad. Estos costes son independientes de los honorarios de la consultora de implantación.

Q: ¿Con qué frecuencia hay que repetir la auditoría ENS?

El certificado ENS tiene una vigencia de 2 años. Por tanto, la auditoría de renovación debe realizarse antes de la fecha de caducidad del certificado. Adicionalmente, el RD 311/2022 exige que los sistemas con ENS se sometan a auditorías de mantenimiento periódicas (al menos anuales) para verificar que los controles se mantienen en el nivel requerido, aunque estas auditorías internas no sustituyen a la auditoría de certificación bienal.

Qué es la auditoría de certificación ENS

La auditoría de certificación ENS es el proceso mediante el cual una entidad independiente acreditada por ENAC verifica que los sistemas de información de una organización cumplen con los requisitos del Esquema Nacional de Seguridad establecidos en el RD 311/2022. Es el paso previo e imprescindible para obtener el certificado ENS, y su resultado determina si la organización supera o no el proceso de certificación.

Es importante distinguir entre dos tipos de auditoría en el contexto del ENS. La auditoría interna es la que realiza la propia organización —o una consultora en su nombre— para evaluar el estado de los controles y preparar la certificación. Tiene un carácter preparatorio y no produce el certificado. La auditoría de certificación es la que realiza la entidad acreditada por ENAC, y su informe positivo es el que habilita la emisión del certificado.

El objeto de la auditoría es verificar que la organización ha implementado las medidas de seguridad del Anexo II del RD 311/2022 correspondientes a la categoría declarada (Básica, Media o Alta) y que dichas medidas funcionan de forma efectiva y sostenida, no solo en papel. Esta distinción entre "estar documentado" y "funcionar en la práctica" es la que provoca la mayoría de las no conformidades.

Quién puede realizar la auditoría ENS

Solo pueden emitir el certificado ENS las entidades de certificación acreditadas por ENAC (Entidad Nacional de Acreditación) bajo el esquema específico de certificación del Esquema Nacional de Seguridad. ENAC es el organismo nacional de acreditación en España, reconocido por el Reglamento (CE) 765/2008, y la acreditación garantiza la competencia técnica e imparcialidad de la entidad certificadora.

Entre las entidades acreditadas por ENAC para el ENS figuran algunas de las principales firmas de certificación de nivel internacional: Bureau Veritas, AENOR, SGS, Applus+ y BSI Group, entre otras. El CCN publica en su web el listado actualizado de entidades habilitadas. La elección de la entidad certificadora es libre, pero conviene tener en cuenta su experiencia en el sector de actividad de la organización y los plazos disponibles para la auditoría.

Una consultora de implantación como Avson GRC no puede emitir el certificado ENS porque no es una entidad de certificación; su función es preparar a la organización para superar la auditoría con la máxima probabilidad de éxito. La relación entre consultora y entidad certificadora es de complementariedad, no de sustitución.

Fases de la auditoría ENS

La auditoría de certificación ENS se estructura en cuatro fases diferenciadas, con objetivos y metodología distintos en cada una:

Fase 1: revisión documental

Los auditores analizan la documentación del sistema de gestión de seguridad: Política de Seguridad de la Información, análisis de riesgos, Declaración de Aplicabilidad, Plan de Tratamiento de Riesgos, procedimientos operativos (gestión de incidentes, copias de seguridad, control de accesos, gestión de parches, continuidad del servicio) y registros de actividad. Esta fase se realiza habitualmente en remoto, antes de la visita presencial.

Fase 2: visita in situ (o auditoría técnica remota)

Los auditores comprueban que los controles documentados están realmente implementados. Entrevistan al personal clave (responsable de seguridad, administradores de sistemas, responsable de continuidad), inspeccionan las instalaciones físicas (control de acceso a CPD, protección de equipos, sistemas de detección de incendios y agua), y realizan comprobaciones técnicas en los sistemas: configuraciones de seguridad, registros de autenticación, cifrado de datos en tránsito y en reposo, gestión de vulnerabilidades y test de restauración de copias de seguridad.

Fase 3: informe de auditoría

Tras la visita, la entidad certificadora elabora un informe detallado con los hallazgos: controles que cumplen, no conformidades menores (desviaciones que no afectan al cumplimiento global pero deben corregirse) y no conformidades mayores (incumplimientos que impiden la certificación hasta que se subsanan). La organización dispone de un plazo —habitualmente 30 a 90 días— para corregir las no conformidades y presentar evidencias de subsanación.

Fase 4: certificación

Si el informe de subsanación es satisfactorio, la entidad certificadora emite el certificado ENS con una vigencia de 2 años. El certificado se registra en el sistema del CCN y puede ser verificado públicamente por los organismos públicos que liciten.

Avson GRC prepara a tu empresa para la auditoría ENS con una tasa de éxito del 100%. Trabajamos con empresas en toda España, presencial y remoto. Pide presupuesto →

Qué comprueban los auditores en cada dimensión

El ENS evalúa los sistemas en cinco dimensiones de seguridad, y los auditores comprueban controles específicos en cada una de ellas:

Confidencialidad: los auditores verifican que solo las personas autorizadas acceden a la información. Comprueban el control de accesos (matrices de permisos, principio de mínimo privilegio), el cifrado de datos sensibles tanto en tránsito como en reposo, la clasificación de la información y los procedimientos de gestión de usuarios (altas, bajas y cambios de permisos).
Integridad: se verifica que la información no puede modificarse de forma no autorizada o inadvertida. Los auditores comprueban los controles de integridad de datos, el registro de auditoría (logs de acceso y modificación), la gestión de cambios en sistemas y la separación de entornos de desarrollo y producción.
Disponibilidad: se verifica la capacidad de los sistemas para estar operativos cuando se necesitan. Los auditores comprueban los planes de continuidad del servicio, la frecuencia y verificación de las copias de seguridad, los procedimientos de recuperación ante desastres y las métricas de disponibilidad históricas.
Autenticidad: los auditores verifican que se puede confirmar la identidad de los actores que interactúan con el sistema. Comprueban los mecanismos de autenticación (especialmente la autenticación multifactor, obligatoria en categoría Media y Alta), la gestión de certificados digitales y los controles de acceso físico.
Trazabilidad: se verifica que todas las acciones relevantes sobre el sistema quedan registradas y son atribuibles a un usuario concreto. Los auditores comprueban los sistemas de logging, la integridad de los logs (que no puedan ser manipulados), la retención de registros y los procedimientos de revisión periódica de logs.

Los errores más frecuentes que provocan no conformidades

Tras acompañar a más de 90 empresas en sus procesos de certificación ENS, en Avson GRC hemos identificado los errores que con más frecuencia provocan no conformidades en la auditoría:

Documentación desactualizada: la Política de Seguridad o el análisis de riesgos se elaboraron hace más de un año y no reflejan cambios significativos en los sistemas (nuevos servidores, migración a cloud, nuevos empleados). Los auditores comprueban las fechas de revisión de todos los documentos.
Copias de seguridad no verificadas: existen procedimientos de backup documentados pero nunca se ha realizado una prueba de restauración real. Es uno de los hallazgos más habituales y más graves.
Gestión de parches deficiente: los sistemas tienen vulnerabilidades críticas conocidas sin parchear, o no existe un proceso formal de gestión de actualizaciones de seguridad con plazos máximos establecidos.
Control de accesos inadecuado: usuarios con privilegios de administrador innecesarios, cuentas de exempleados activas, ausencia de revisiones periódicas de permisos o contraseñas débiles sin política de complejidad.
Ausencia de doble factor de autenticación: obligatorio para accesos privilegiados en categoría Media y para todos los accesos remotos. Es un hallazgo frecuente en empresas con infraestructura heredada.
Plan de continuidad no probado: el plan existe en papel pero nunca se ha ejecutado un simulacro, o el último simulacro data de hace más de 12 meses.
Formación en seguridad no documentada: el personal recibe formación informal pero no existe registro de las sesiones, los contenidos ni los asistentes.

Cómo preparar la documentación antes de la auditoría

La preparación documental es la parte del proceso sobre la que más control tiene la organización antes de la auditoría. Un conjunto de documentos bien elaborado y coherente entre sí es el mejor punto de partida para una auditoría exitosa.

El inventario de activos debe estar completo y actualizado: hardware, software, datos, servicios y personas vinculadas al sistema en alcance. Cada activo debe tener un responsable asignado y una valoración de su criticidad en las dimensiones de seguridad.

El análisis de riesgos debe cubrir las amenazas relevantes para el sector y los activos identificados, con la probabilidad e impacto de cada amenaza y las medidas de tratamiento aplicadas o previstas. La metodología debe ser reconocible (MAGERIT, ISO 27005 o metodología propia documentada) y los resultados deben estar actualizados respecto al alcance real del sistema.

La Declaración de Aplicabilidad debe incluir todos los controles del Anexo II del RD 311/2022 aplicables a la categoría, con su estado de implementación (implementado, en curso, no aplicable con justificación) y las referencias a la documentación o evidencias que demuestran su cumplimiento.

¿Tienes una auditoría ENS próxima? Realizamos un simulacro previo para detectar cualquier gap antes de que lo encuentren los auditores. Disponible para empresas de toda España. Solicitar simulacro →

Qué pasa si no superas la auditoría

No superar la auditoría en el primer intento no equivale a un fracaso definitivo; es parte del proceso para muchas organizaciones, especialmente las que se certifican por primera vez. El procedimiento de subsanación está regulado y ofrece una segunda oportunidad.

Cuando la auditoría detecta no conformidades menores —desviaciones que no comprometen la efectividad global del sistema de seguridad—, la organización puede corregirlas y presentar evidencias de subsanación dentro del plazo acordado (habitualmente 30-60 días). Si la subsanación es aceptada, el certificado se emite sin necesidad de repetir la auditoría completa.

Cuando se detectan no conformidades mayores —incumplimientos graves que comprometen la seguridad del sistema—, la organización debe subsanarlas y someterse a una nueva auditoría parcial o completa, según el criterio de la entidad certificadora. El plazo de subsanación es de 90 días en la mayoría de los casos.

Si transcurrido el plazo de subsanación los hallazgos no se han corregido satisfactoriamente, la entidad certificadora cierra el expediente con resultado negativo y la organización debe iniciar un nuevo proceso de certificación.

La garantía de Avson: si no superamos la auditoría, repetimos sin coste

En Avson GRC somos los únicos en el mercado que ofrecen una garantía de éxito por escrito en el proceso de certificación ENS. Si siguiendo nuestro plan de adecuación y nuestras recomendaciones tu empresa no supera la auditoría de certificación, volvemos a prepararte y repetimos el proceso sin coste adicional.

Esta garantía no es marketing: es el resultado de un proceso de trabajo riguroso que incluye un gap analysis exhaustivo al inicio, un plan de adecuación detallado y priorizado, la elaboración de toda la documentación requerida, la implementación asistida de los controles técnicos, una auditoría interna previa al estilo de la auditoría de certificación, y el acompañamiento durante la auditoría externa para responder las preguntas de los auditores y gestionar la entrega de evidencias.

Trabajamos con empresas en toda España, tanto de forma presencial —desplazándonos a las instalaciones del cliente— como en formato completamente remoto mediante herramientas colaborativas. Nuestra experiencia cubre todos los sectores que trabajan con la Administración Pública: tecnología, salud, educación, defensa, utilities, administración local y servicios financieros.

Preguntas frecuentes sobre la auditoría ENS

¿Cuánto tiempo dura la auditoría ENS?

La duración varía según la categoría y el tamaño del sistema en alcance. Para categoría Básica en una pyme, la auditoría documental y la visita técnica pueden completarse en 2-3 días hábiles. Para categoría Media en una empresa mediana, puede extenderse a 5-8 días hábiles. La categoría Alta requiere habitualmente entre 2 y 4 semanas de auditoría intensiva.

¿La auditoría ENS se hace de forma remota o presencial?

Ambas modalidades son válidas. La revisión documental siempre puede hacerse en remoto. La auditoría técnica in situ puede hacerse también en remoto mediante acceso controlado a los sistemas, aunque para categorías Media y Alta los auditores suelen preferir o exigir visita presencial para comprobar las instalaciones físicas, el control de accesos y la segregación de redes.

¿Qué documentos hay que tener listos para la auditoría ENS?

La documentación mínima incluye: Política de Seguridad de la Información aprobada por la dirección, análisis de riesgos actualizado, Declaración de Aplicabilidad, Plan de Tratamiento de Riesgos, procedimientos operativos de seguridad (gestión de incidentes, copias de seguridad, control de accesos, gestión de parches), registros de auditoría de los sistemas, plan de continuidad del servicio y documentación de formación del personal.

¿Cuánto cuesta la auditoría externa ENS?

El coste varía según la entidad certificadora, la categoría y el tamaño del alcance. Como referencia orientativa: ENS Básico en una pyme, entre 3.000 y 6.000 euros; ENS Medio, entre 6.000 y 15.000 euros; ENS Alto, entre 15.000 y 40.000 euros o más. Estos costes son independientes de los honorarios de la consultora de implantación.

¿Con qué frecuencia hay que repetir la auditoría ENS?

El certificado ENS tiene una vigencia de 2 años, por lo que la auditoría de renovación debe realizarse antes de la caducidad. Adicionalmente, el RD 311/2022 exige auditorías de mantenimiento periódicas (al menos anuales) para verificar que los controles se mantienen en el nivel requerido, aunque estas no sustituyen a la auditoría de certificación bienal.

¿Tienes una auditoría ENS por delante?

Te preparamos con garantía de éxito por escrito · Toda España · Respuesta en 24 horas

Solicitar presupuesto sin compromiso →

Auditoría ENS: qué es, cómo funciona y cómo preparar a tu empresa.