Qué es la declaración de conformidad ENS

La declaración de conformidad ENS es un documento elaborado y firmado por la propia organización en el que se afirma que sus sistemas de información cumplen con los requisitos del Esquema Nacional de Seguridad. Es, en esencia, una autodeclaración: no requiere que ningún tercero independiente verifique que los controles están realmente implantados.

El RD 311/2022 contempla este mecanismo exclusivamente para sistemas de categoría Básica. Para emitirla válidamente, la organización debe haber realizado previamente un análisis de riesgos, haber implantado las medidas de seguridad del Anexo II del RD 311/2022 aplicables a la categoría Básica, y haber documentado todo ello de forma coherente y verificable.

El proceso de elaboración incluye: identificar los sistemas en alcance, valorar los activos y determinar la categoría (que debe resultar Básica), implementar los controles requeridos, documentar el estado de cada control y firmar la declaración ante el responsable de seguridad de la organización. La declaración debe incluir una referencia explícita al RD 311/2022, la descripción del sistema en alcance y la fecha de elaboración.

Desde el punto de vista legal, la declaración de conformidad tiene el mismo valor que cualquier otra declaración responsable en el ordenamiento administrativo español: quien la firma asume la responsabilidad de su veracidad y puede incurrir en responsabilidad administrativa o penal si resulta falsa. No es un documento menor ni una formalidad vacía.

Qué es el certificado ENS

El certificado ENS es el documento expedido por una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación) que acredita que el sistema de información auditado cumple con los requisitos del ENS en la categoría y dimensiones declaradas. A diferencia de la declaración de conformidad, el certificado requiere una auditoría independiente realizada por profesionales externos que comprueban de forma objetiva e imparcial el estado real de los controles.

El proceso de certificación incluye dos fases de auditoría: la revisión documental (en la que los auditores analizan la política de seguridad, el análisis de riesgos, los procedimientos y los registros de controles) y la auditoría técnica in situ o remota (en la que se comprueban los controles técnicos implementados: configuraciones, accesos, logs, cifrado, continuidad). Una vez completada la auditoría sin no conformidades abiertas, la entidad emite el certificado.

El certificado ENS tiene una vigencia de 2 años a partir de la fecha de emisión. Transcurrido ese plazo, debe renovarse mediante una nueva auditoría. Entre las entidades acreditadas por ENAC para emitir certificados ENS figuran Bureau Veritas, AENOR, SGS, Applus+ y BSI, entre otras. El certificado identifica explícitamente la organización certificada, los sistemas en alcance, la categoría, las dimensiones de seguridad evaluadas, la fecha de emisión y la fecha de caducidad, y puede verificarse en el registro público del CCN.

Diferencias clave: tabla comparativa

Criterio Declaración de conformidad Certificado ENS
Quién la emite La propia organización (autoevaluación) Entidad acreditada por ENAC (tercero independiente)
Auditoría externa No requerida Obligatoria
Categorías aplicables Solo Básica Básica, Media y Alta
Vigencia formal No establecida (revisión continua) 2 años
Registro público CCN No Sí, verificable
Aceptación en pliegos Cada vez más limitada Universalmente aceptada
Credibilidad ante el cliente público Limitada Alta
¿Tu pliego pide certificado o declaración? Avson GRC analiza tu caso en 24 horas. Trabajamos con empresas en toda España, en formato presencial y remoto. Consultar ahora →

¿Qué piden los pliegos en la práctica?

La práctica real de contratación pública en España muestra una tendencia inequívoca hacia el certificado emitido por entidad acreditada, incluso para sistemas de categoría Básica. Esta tendencia se ha acelerado desde la entrada en vigor del RD 311/2022 y los plazos transitorios que ya han concluido.

Los Ministerios y organismos de la Administración General del Estado, los grandes hospitales públicos, las universidades públicas y las comunidades autónomas más avanzadas en madurez digital exigen sistemáticamente el certificado de entidad acreditada en sus pliegos. La Administración local presenta mayor heterogeneidad, pero los ayuntamientos grandes también tienden al certificado.

Los pliegos suelen referirse al certificado ENS usando expresiones como: "certificado ENS emitido por entidad de certificación acreditada por ENAC", "certificación de conformidad con el ENS emitida por tercero independiente" o "certificado de seguridad del ENS". Cuando aparece la expresión "declaración de conformidad" de forma explícita, sí suele admitirse ese mecanismo para categoría Básica, pero cada vez es menos frecuente.

Un error muy habitual es leer el pliego rápidamente y asumir que cualquier "documento ENS" sirve. Los pliegos más modernos son explícitos: exigen el certificado y especifican que la entidad emisora debe estar acreditada por ENAC. Presentar únicamente la declaración de conformidad en esos casos es motivo de exclusión automática.

¿Cuándo tiene sentido la declaración de conformidad?

La declaración de conformidad tiene sentido en un número reducido de situaciones. El primer escenario es el de la empresa que quiere establecer una base de cumplimiento interno antes de iniciar el proceso de certificación: la declaración actúa como un objetivo intermedio que fuerza a la organización a implementar los controles y a documentarlos, facilitando después la transición al certificado.

El segundo escenario es el de contratos con organismos públicos de pequeño tamaño —algunos ayuntamientos rurales, entidades locales menores— que aún no exigen el certificado formal y aceptan la declaración. Es importante verificar caso a caso, porque la tendencia es hacia el certificado.

El tercer escenario es la urgencia extrema: una empresa que tiene un contrato en tramitación con un plazo muy ajustado y cuyos controles están implementados pero aún no ha pasado por la auditoría externa. En ese caso, la declaración puede ser una solución temporal, siempre que el pliego la acepte explícitamente.

Lo que nunca tiene sentido es usar la declaración de conformidad como sustituto permanente del certificado cuando la empresa tiene vocación de licitadora habitual. El coste de perder una sola licitación importante supera con creces el coste de obtener el certificado.

Riesgos de presentar la declaración cuando el pliego pide certificado

Presentar una declaración de conformidad en un proceso de licitación que exige certificado tiene consecuencias concretas. El primer riesgo es la exclusión directa: la mesa de contratación descalificará la oferta por no cumplir los requisitos técnicos mínimos del pliego. No hay recurso posible si el pliego era claro.

El segundo riesgo es la pérdida de contratos en renovación: si la empresa ya tiene un contrato vigente y el organismo actualiza sus requisitos de seguridad exigiendo el certificado en la renovación, la empresa puede perder esa renovación. Es más habitual de lo que parece en contratos de mantenimiento y soporte IT a largo plazo.

El tercer riesgo afecta a la reputación: en un mercado de proveedores TIC para la Administración relativamente pequeño, una exclusión por requisitos de cumplimiento normativo genera una percepción negativa que puede afectar a futuras relaciones comerciales.

Por último, existe un riesgo jurídico: si la empresa presenta una declaración de conformidad que no refleja fielmente el estado de sus controles, incurre en una declaración falsa con potenciales consecuencias administrativas y, en casos extremos, penales.

Más de 90 empresas ya tienen su certificado ENS con Avson. Tiempo medio: 3,5 meses. Garantía de éxito por escrito. Toda España. Empezar ahora →

Cómo obtener el certificado ENS con garantía

El proceso para pasar de cero —o de una declaración de conformidad existente— al certificado ENS tiene unas fases bien definidas. El punto de partida es el análisis GAP, que evalúa el estado actual de los controles frente a los requisitos ENS de la categoría aplicable y cuantifica el trabajo pendiente.

Con los resultados del análisis GAP, se elabora un plan de adecuación detallado que cubre la documentación necesaria —política de seguridad, análisis de riesgos, procedimientos operativos, plan de continuidad, gestión de incidentes— y la implantación de controles técnicos: doble factor de autenticación, cifrado, monitorización, gestión de parches y copias de seguridad verificadas.

Antes de la auditoría de certificación, se realiza una auditoría interna previa para identificar y corregir cualquier desviación. Es el ensayo general que garantiza que la organización llega a la auditoría externa sin sorpresas.

En Avson GRC acompañamos el proceso completo desde el diagnóstico inicial hasta la recepción del certificado, trabajando con empresas en toda España tanto de forma presencial como en formato remoto. Nuestra garantía es simple: si siguiendo nuestro plan de adecuación no superas la auditoría, la repetimos sin coste adicional. Es una garantía que hemos dado en más de 90 proyectos y que, hasta la fecha, no hemos tenido que ejecutar.

Artículos relacionados

ENS

Certificación ENS: todo lo que necesitas saber

ENS · Guía

Qué es el ENS: guía completa del Esquema Nacional de Seguridad

ENS

ENS Media y Alta: requisitos adicionales y cómo certificarse

ENS · Auditoría

Auditoría ENS: proceso, entidades acreditadas y cómo prepararse

Preguntas frecuentes sobre la declaración de conformidad ENS

¿Puede una empresa de cualquier tamaño hacer la declaración de conformidad?
Sí. El RD 311/2022 no establece ningún requisito de tamaño para emitir la declaración de conformidad. Cualquier empresa que haya implementado los controles ENS de categoría Básica puede elaborarla. Sin embargo, el tamaño no exime de la responsabilidad de que los controles estén realmente implantados: la declaración es una afirmación jurídica que puede verificarse en una auditoría posterior.
¿La declaración de conformidad tiene fecha de caducidad?
El RD 311/2022 no fija una vigencia máxima explícita para la declaración de conformidad, pero exige que se mantenga actualizada y que refleje el estado real del sistema. Cualquier cambio significativo en el sistema obliga a revisar y actualizar la declaración. Muchas organizaciones la revisan anualmente como mínimo.
¿Los pliegos siempre especifican si quieren certificado o declaración?
No siempre con la claridad deseable. Algunos pliegos usan expresiones ambiguas como 'acreditación ENS' o 'cumplimiento ENS' sin especificar. En esos casos, lo más prudente es solicitar al organismo contratante que aclare si acepta la declaración de conformidad o si exige el certificado de entidad acreditada. Presentar la declaración cuando se exige el certificado es motivo de exclusión.
¿Si tengo la declaración, puedo convertirla en certificado fácilmente?
Si la declaración se elaboró correctamente y los controles están realmente implementados, el camino hacia el certificado es mucho más corto que partir de cero. Lo que añade el proceso de certificación es la auditoría de una entidad acreditada por ENAC. Con Avson GRC, las empresas que parten de una declaración sólida tardan habitualmente entre 6 y 8 semanas en obtener el certificado.
¿La declaración de conformidad vale para ENS Medio?
No. La declaración de conformidad solo es válida para sistemas de categoría Básica. Para categorías Media y Alta, el RD 311/2022 exige obligatoriamente la auditoría de una entidad acreditada por ENAC y la obtención del certificado formal. No existe la opción de autodeclaración para estas categorías.

¿Necesitas el certificado ENS con urgencia?

Pide presupuesto · Sin compromiso · Respuesta en 24 horas · Empresas en toda España

Solicitar presupuesto sin compromiso →