El ENS es obligatorio: ¿afecta a tu empresa? Todo lo que necesitas saber

El ENS es obligatorio desde 2022: ¿qué cambió?

El Real Decreto 311/2022, de 3 de mayo, que aprueba el Esquema Nacional de Seguridad, supuso un punto de inflexión respecto a la normativa anterior. Si el RD 3/2010 ya establecía la obligatoriedad del ENS para las Administraciones Públicas, el RD 311/2022 hizo dos cosas clave que afectan directamente a las empresas privadas.

En primer lugar, amplió explícitamente el ámbito de aplicación a los proveedores privados de sistemas y servicios TIC. Antes, la obligación recaía principalmente sobre las propias administraciones; ahora, cualquier empresa privada que preste servicios tecnológicos al sector público está igualmente obligada a cumplir con el ENS en los sistemas afectados por esa prestación de servicios.

En segundo lugar, estableció un periodo transitorio de 24 meses para que las organizaciones se adaptaran a los nuevos requisitos. Ese periodo finalizó en mayo de 2024. A partir de ese momento, no hay margen de tolerancia: las empresas sin certificado ENS que presten servicios TIC a la Administración están en situación de incumplimiento legal.

Dato clave: el periodo transitorio del RD 311/2022 finalizó en mayo de 2024. No existe ningún mecanismo de prórroga adicional. Las empresas sin ENS que operen con la Administración Pública están en incumplimiento hoy.

Qué empresas están obligadas a certificarse en ENS

El artículo 2 del RD 311/2022 delimita el ámbito de aplicación. Más allá de las propias Administraciones Públicas, las empresas privadas afectadas son aquellas que:

Prestan servicios de tecnología de la información y comunicación a organismos del sector público español. Esto incluye desarrollo de software, mantenimiento de aplicaciones, servicios cloud (IaaS, PaaS, SaaS), gestión de infraestructura, servicios de ciberseguridad, telecomunicaciones y cualquier otro servicio TIC.
Suministran soluciones tecnológicas para sistemas de información de las Administraciones Públicas, aunque no gestionen directamente dichos sistemas.
Proveen sistemas de comunicaciones utilizados por organismos del sector público.
Manejan, almacenan o transmiten datos de titularidad o responsabilidad de una Administración Pública, aunque sea de manera parcial o temporal.

En la práctica, esto afecta a un espectro muy amplio de empresas: consultoras tecnológicas, integradores de sistemas, ISVs (fabricantes de software independientes), proveedores de servicios gestionados (MSP), empresas de hosting y cloud, operadores de telecomunicaciones con contratos públicos y empresas de formación tecnológica para empleados públicos, entre otras.

La pregunta que toda empresa debería hacerse es: ¿alguno de nuestros clientes es un organismo del sector público y el servicio que prestamos implica acceso, tratamiento o gestión de sus sistemas de información o datos? Si la respuesta es sí, el ENS te aplica.

¿Tienes dudas sobre si el ENS te aplica? En 5 días hábiles te damos una respuesta clara y gratuita. Pide presupuesto →

Qué tipo de contratos públicos exigen el certificado ENS

El ENS aparece como requisito en los pliegos de contratación de la Administración Pública en diversas formas. Lo más habitual es encontrarlo como:

Requisito de aptitud o solvencia técnica: en los pliegos de cláusulas administrativas particulares se exige que el licitador acredite el cumplimiento del ENS en la categoría aplicable al objeto del contrato. Sin esta acreditación, la oferta es excluida en la fase de verificación de requisitos previos, antes incluso de que se evalúe el precio o la propuesta técnica.

Condición de ejecución del contrato: en algunos casos, el ENS no se exige en la fase de licitación sino como condición para iniciar o mantener la prestación del servicio. El contratista debe obtener la certificación dentro de un plazo establecido en el pliego o en el propio contrato.

Criterio de valoración: menos frecuente pero posible, el ENS (o su categoría) puede usarse como criterio de valoración que otorga puntuación adicional a los licitadores certificados en una categoría superior a la mínima exigida.

Los contratos que más frecuentemente incluyen requisitos ENS son los de servicios TIC en general (desarrollo, mantenimiento, soporte), contratos de servicios cloud para la Administración, contratos de telecomunicaciones, servicios de ciberseguridad y monitorización, y contratos de consultoría tecnológica y transformación digital del sector público.

La Plataforma de Contratación del Sector Público (PLACE) publica todos los pliegos. Un análisis de los contratos adjudicados en los últimos dos años en categorías TIC muestra que más del 78% de los contratos superiores a 50.000 euros incluyen algún requisito ENS.

Consecuencias de no tener el ENS: contratos perdidos y sanciones

Las consecuencias del incumplimiento del ENS son múltiples y tienen distintos grados de gravedad:

Exclusión de licitaciones: es la consecuencia más inmediata y frecuente. Si el pliego exige el certificado ENS y no lo aportas, tu oferta es excluida automáticamente. No hay posibilidad de subsanar este requisito una vez que el plazo de presentación ha cerrado.

Resolución de contratos vigentes: si tienes contratos activos con Administraciones Públicas y no cumples con el ENS, el organismo contratante puede iniciar un expediente de incumplimiento que derive en la resolución del contrato, con las penalizaciones económicas correspondientes.

Imposibilidad de renovar contratos: los contratos públicos se renuevan periódicamente. En la fase de renovación o prórroga, cada vez más Administraciones verifican el cumplimiento ENS del contratista. Sin certificado, la renovación puede denegarse.

Responsabilidad frente a incidentes de seguridad: si un incidente de seguridad afecta a datos o sistemas de la Administración gestionados por un proveedor sin ENS, la responsabilidad del proveedor se agrava considerablemente. La falta de certificación puede ser considerada negligencia en el cumplimiento de las obligaciones contractuales y legales.

Impacto reputacional: en un mercado donde cada vez más empresas están certificadas, no tener el ENS genera desconfianza. Los departamentos de compras de las Administraciones Públicas —y de las grandes empresas privadas que exigen ENS a sus proveedores— lo perciben como una señal de madurez en seguridad insuficiente.

Cada mes sin ENS es un contrato potencialmente perdido. El proceso con Avson dura 3-4 meses. Empezar ahora →

¿Y si soy subcontratista de una empresa certificada?

Esta es una duda muy habitual entre las empresas que participan en proyectos públicos como subcontratistas de primer o segundo nivel. La respuesta depende de varios factores:

Si como subcontratista accedes, manejas, almacenas o procesas datos o sistemas de la Administración Pública —aunque sea de manera indirecta o parcial— el ENS también te aplica. La cadena de custodia de la seguridad se extiende a lo largo de toda la cadena de suministro.

En la práctica, el contratista principal (la empresa certificada en ENS) es responsable de garantizar que sus subcontratistas también cumplen con los requisitos de seguridad aplicables. Cada vez más contratos públicos incluyen cláusulas que obligan al contratista principal a exigir el ENS a sus subcontratistas críticos.

La mejor forma de proteger tu posición como subcontratista —y de ganar nuevas oportunidades como tal— es obtener tu propio certificado ENS. Eso te hace más atractivo para las empresas certificadas que necesitan subcontratar, porque simplifica la cadena de responsabilidades de seguridad.

Plazos: ¿cuándo hay que tener el certificado?

La respuesta corta es: ahora mismo. El periodo transitorio del RD 311/2022 finalizó en mayo de 2024. Desde esa fecha, no existe ningún plazo adicional de adaptación.

Sin embargo, la realidad práctica es algo más matizada. Existen tres situaciones distintas:

Empresas con contratos activos sin ENS: técnicamente están en incumplimiento. La velocidad con la que el organismo contratante actúa varía, pero el riesgo de requerimiento o resolución del contrato existe y es creciente. La solución es iniciar el proceso de certificación de forma inmediata.

Empresas que van a licitar próximamente: si el pliego exige el ENS, necesitas el certificado antes de la fecha de presentación de ofertas. Los procesos de licitación suelen anunciarse con 15-30 días de antelación. Con 3-4 meses de proceso de certificación, debes empezar mucho antes de que salga la licitación que te interesa.

Empresas que aún no tienen contratos públicos pero quieren tenerlos: el momento óptimo para certificarse es antes de que surja la oportunidad, no después. El coste de oportunidad de perder una licitación por no tener el ENS es casi siempre superior al coste de la certificación.

Preguntas frecuentes

¿Desde cuándo es obligatorio el ENS?

El ENS es obligatorio desde la aprobación del RD 3/2010, pero fue el RD 311/2022 el que extendió la obligación a los proveedores privados y estableció un periodo transitorio de 24 meses que concluyó en mayo de 2024. Desde esa fecha, no hay ningún margen adicional.

¿Qué pasa si no tengo el ENS y presento a una licitación?

Tu oferta será excluida automáticamente en la fase de verificación de requisitos mínimos. El ENS figura como requisito eliminatorio en los pliegos de prescripciones técnicas de la mayoría de contratos TIC con la Administración Pública española. No existe posibilidad de subsanación posterior.

¿Tengo que certificarme si solo soy subcontratista?

Depende de si accedes a datos o sistemas de la Administración. Si lo haces, el ENS te aplica. Además, los contratistas principales exigen cada vez más el ENS a sus subcontratistas para cumplir con sus propias obligaciones contractuales. Tener el ENS es una ventaja competitiva importante en la cadena de subcontratación pública.

¿Qué categoría ENS necesito?

La categoría (Básica, Media o Alta) depende de la valoración del impacto potencial de un incidente de seguridad en los sistemas en alcance. La mayoría de pymes TIC proveedoras del sector público necesitan ENS Básica o Media. El presupuesto sin compromiso de Avson determina exactamente qué categoría te aplica.

¿Puedo usar una Declaración de Conformidad en lugar del certificado?

Solo si la categoría de tus sistemas es Básica y el pliego específico lo acepta. Cada vez más Administraciones exigen el certificado completo emitido por entidad acreditada ENAC, incluso para categoría Básica. Si hay duda, lo más seguro es obtener el certificado completo.

¿Cuánto tiempo lleva obtener el ENS si empiezo ahora?

Con Avson GRC, el proceso completo dura entre 3 y 4 meses desde el diagnóstico inicial hasta la emisión del certificado. El plazo depende principalmente de la categoría del sistema, el número de sistemas en alcance y la disponibilidad del equipo interno para implementar controles y generar evidencias.

¿Listo para certificarte en ENS?

Pide presupuesto · Sin compromiso · Respuesta en 24 horas

Solicitar presupuesto sin compromiso →

El ENS es obligatorio: ¿tu empresa necesita certificarse?