Renovación del certificado ENS: plazos, proceso y lo que debes saber

¿Cada cuánto hay que renovar el certificado ENS?

El certificado ENS tiene una vigencia de 2 años a partir de la fecha de emisión. Este plazo está establecido en el esquema de certificación del ENS aprobado por el Centro Criptológico Nacional (CCN) y no admite excepciones ni prórrogas automáticas.

Transcurridos los 2 años, el certificado caduca y la organización deja de poder acreditar su conformidad con el ENS. Esto significa que, en la práctica, cada empresa certificada en ENS vive en un ciclo continuo de dos fases: implementación y primera certificación (una vez) y mantenimiento y renovación periódica (cada dos años, indefinidamente).

Esta cadencia bienal no es arbitraria. El panorama de amenazas de ciberseguridad evoluciona de forma muy rápida: nuevas vulnerabilidades, nuevos tipos de ataque, cambios en la arquitectura tecnológica de las organizaciones y actualizaciones en la propia normativa ENS. La renovación periódica garantiza que el nivel de seguridad se mantiene real y actualizado, no solo documentado.

A modo de comparación, la ISO 27001 tiene una vigencia de 3 años (con auditorías de seguimiento anuales), lo que hace que la cadencia de renovación del ENS sea más exigente en términos de frecuencia.

Qué implica la renovación del certificado ENS

La renovación del certificado ENS no es simplemente rellenar un formulario ni pagar una tasa. Implica someterse a una nueva auditoría completa realizada por una entidad de certificación acreditada por ENAC, similar en profundidad a la auditoría de primera certificación.

La auditoría de renovación examina:

Que el sistema de seguridad sigue siendo conforme con los requisitos ENS de la categoría aplicable
Que los controles implementados siguen siendo operativos y eficaces (no solo documentados)
Que el análisis de riesgos se ha actualizado para reflejar cambios en el sistema, los activos o el contexto de amenazas
Que se han gestionado adecuadamente los incidentes de seguridad producidos durante el periodo de vigencia del certificado
Que los cambios tecnológicos u organizativos relevantes (nuevos sistemas, cambios de alcance, externalización de servicios) han sido gestionados bajo el marco ENS
Que la formación y concienciación del personal en seguridad se ha mantenido activa
Que el ciclo de mejora continua del sistema de seguridad funciona (revisiones internas, auditorías internas, acciones correctivas)

Si durante la auditoría de renovación se detectan no conformidades, la organización dispone de un plazo para subsanarlas. Si las no conformidades son graves, el certificado puede no renovarse hasta que se corrijan.

Diferencia entre renovación y nueva certificación

Aunque el proceso es similar, existe una diferencia práctica importante entre una renovación y una nueva certificación desde cero.

En una renovación, la organización ya tiene el sistema de seguridad implementado y operativo. La auditoría parte de un estado de conformidad previo y verifica el mantenimiento y la mejora continua. El trabajo preparatorio es menor porque los controles, la documentación y los procedimientos ya existen. Lo que hay que demostrar es que se han mantenido activos y actualizados.

En una nueva certificación desde cero, todo hay que construirlo: análisis de riesgos, políticas, procedimientos, controles técnicos, formación del personal. El esfuerzo es significativamente mayor.

La implicación práctica es que el coste de una renovación bien mantenida es considerablemente menor que el de una primera certificación. Sin embargo, si la organización ha descuidado el mantenimiento del sistema de seguridad durante los dos años de vigencia del certificado, la renovación puede ser tan costosa como una primera certificación.

Avson GRC ofrece mantenimiento continuo del ENS entre renovaciones. Tu certificado siempre al día, sin sorpresas. Consultar →

Plazos: cuándo iniciar el proceso de renovación

El error más frecuente es iniciar el proceso de renovación demasiado tarde. La recomendación general es comenzar con 3-4 meses de antelación a la fecha de caducidad del certificado. Este plazo es necesario por varias razones:

La actualización del análisis de riesgos y la documentación requiere tiempo.
Los auditores de las entidades certificadoras tienen agendas con semanas o meses de antelación. Si esperas a los últimos días, puede no haber disponibilidad en la fecha que necesitas.
Si en la auditoría de renovación se detectan no conformidades, necesitas tiempo para subsanarlas antes de que el certificado caduque.
En algunos casos, la organización ha experimentado cambios significativos (nuevos sistemas, cambio de alcance, nuevos controles técnicos) que requieren trabajo adicional de documentación y evidencias.

La línea temporal recomendada es:

M-4 (cuatro meses antes de la caducidad)

Contactar con la consultora GRC y con la entidad de certificación. Reservar fechas de auditoría. Iniciar revisión del análisis de riesgos.

M-3

Actualizar el análisis de riesgos con los cambios producidos en los dos años. Revisar y actualizar políticas, procedimientos y documentación. Verificar que todos los controles siguen siendo operativos.

M-2

Realizar auditoría interna previa. Identificar y subsanar desviaciones. Recopilar evidencias de los controles del período de vigencia.

M-1

Auditoría de renovación por la entidad certificadora. Resolución de no conformidades si las hubiera.

M-0 (antes de la caducidad)

Emisión del nuevo certificado ENS con vigencia de otros 2 años. Continuidad sin interrupciones.

Qué pasa si el certificado ENS caduca

La caducidad del certificado ENS sin renovación tiene consecuencias que pueden ser graves para la empresa:

Imposibilidad de acreditar cumplimiento: sin certificado vigente, la empresa no puede presentar documentación válida de conformidad con el ENS en licitaciones públicas. Esto se traduce en exclusión directa de cualquier proceso de contratación que exija el ENS.

Riesgo en contratos activos: si la empresa tiene contratos en vigor con Administraciones Públicas que incluyan requisitos ENS, la caducidad del certificado puede constituir un incumplimiento contractual. El organismo contratante puede requerir la renovación bajo amenaza de penalizaciones o resolución del contrato.

Pérdida de renovaciones de contratos: en los procesos de renovación de contratos, la verificación del certificado ENS vigente es sistemática. La caducidad impide la renovación.

Impacto reputacional: la información sobre certificados vigentes ENS es públicamente accesible en el registro del CCN. Clientes, socios y competidores pueden verificar el estado del certificado.

Si el certificado ya ha caducado, no es el fin: la empresa puede iniciar un proceso de nueva certificación. Sin embargo, dependiendo del tiempo transcurrido y del mantenimiento realizado, puede acercarse en esfuerzo y coste a una primera certificación.

Mantenimiento continuo del ENS entre renovaciones

La clave para que la renovación sea un proceso ágil y económico es mantener el sistema de seguridad activo durante todo el período de vigencia del certificado. No hacerlo es el error más costoso que puede cometer una empresa certificada.

El mantenimiento continuo del ENS incluye:

Gestión de cambios: cualquier cambio significativo en los sistemas en alcance (nuevos servicios, nuevos proveedores, cambios de infraestructura, actualizaciones de software) debe evaluarse desde la perspectiva de seguridad ENS y documentarse.
Gestión de vulnerabilidades: para ENS Media y Alta, el análisis de vulnerabilidades debe realizarse con periodicidad definida (típicamente trimestral o semestral). Los hallazgos deben gestionarse con plan de remediación y evidencias.
Actualización del análisis de riesgos: al menos anualmente, el análisis de riesgos debe revisarse para reflejar cambios en el contexto de amenazas, nuevos activos o cambios en la valoración de activos existentes.
Auditoría interna anual: aunque no es obligatoria por el esquema ENS, realizar una auditoría interna anual es la mejor forma de detectar desviaciones antes de que se conviertan en no conformidades en la auditoría de renovación.
Formación continua: el personal debe recibir formación y concienciación en seguridad de la información de forma periódica, con registro de asistencia.
Gestión y registro de incidentes: todos los incidentes de seguridad deben registrarse, analizarse y resolverse con documentación de la respuesta. El auditor de renovación revisará el registro de incidentes del período.

Costes de la renovación del certificado ENS

El coste de la renovación tiene dos componentes principales:

Coste de consultoría de preparación: si la empresa ha mantenido activo el sistema de seguridad, el esfuerzo de preparación para la renovación es menor que el de la primera certificación. Para una empresa con buen mantenimiento, este coste suele ser entre el 40% y el 60% del coste del proyecto inicial.

Coste de la auditoría de renovación: los honorarios de la entidad de certificación acreditada para realizar la auditoría de renovación. Son similares en magnitud a los de la primera auditoría, aunque en algunos casos pueden ser ligeramente menores si el alcance no ha variado y el historial de conformidad es bueno.

El factor más determinante del coste de renovación es el estado del mantenimiento durante los dos años de vigencia. Las empresas que han mantenido el sistema activo —actualizando análisis de riesgos, gestionando cambios, realizando auditorías internas— se renuevan de forma ágil y económica. Las que han descuidado el mantenimiento se encuentran con renovaciones tan costosas como una primera certificación.

Avson GRC ofrece servicio de mantenimiento continuo ENS: una suscripción anual que garantiza que el sistema de seguridad se mantiene al día durante todo el período de vigencia del certificado, con revisiones trimestrales, gestión de cambios y preparación para la auditoría de renovación. Es la forma más eficiente de gestionar el ciclo de vida del certificado ENS a largo plazo.

Relación vitalicia: somos el socio GRC a largo plazo de nuestros clientes. Gestión completa del ciclo de vida del certificado ENS. Más información →

Preguntas frecuentes sobre la renovación

¿Cada cuánto hay que renovar el certificado ENS?

El certificado ENS tiene una vigencia de 2 años a partir de la fecha de emisión. Transcurrido ese plazo, debe renovarse mediante una nueva auditoría de certificación realizada por una entidad acreditada ENAC. No hay prórrogas automáticas.

¿Qué pasa si el certificado ENS caduca sin renovación?

Si el certificado caduca, la empresa pierde su acreditación ENS y no puede acreditar el cumplimiento en nuevas licitaciones. Además, si tiene contratos activos con la AAPP que exigen ENS, puede incurrir en incumplimiento contractual. Es fundamental iniciar el proceso de renovación con 3-4 meses de antelación.

¿La renovación es tan costosa como la primera certificación?

Si la empresa ha mantenido activo el sistema de seguridad durante los dos años, no. El coste de renovación suele ser entre el 40% y el 60% del coste del proyecto inicial. Si el mantenimiento ha sido deficiente, la renovación puede acercarse en coste a una primera certificación.

¿Puedo cambiar de entidad de certificación en la renovación?

Sí. No hay obligación de renovar con la misma entidad que emitió el certificado original. La empresa puede elegir cualquier entidad de certificación acreditada ENAC para el esquema ENS. Sin embargo, cambiar de entidad implica que la nueva entidad debe revisar toda la documentación desde el principio, lo que puede alargarse el proceso.

¿Qué ocurre si durante la auditoría de renovación hay no conformidades?

Si se detectan no conformidades menores, la organización tiene un plazo (típicamente 90 días) para subsanarlas y presentar evidencias de corrección. Si las no conformidades son mayores, el certificado puede no renovarse hasta que se resuelvan. La entidad de certificación establece el plan de subsanación.

¿El alcance puede cambiar en la renovación?

Sí. En la renovación, la empresa puede ampliar o reducir el alcance del certificado. Si el nuevo alcance incluye sistemas adicionales, el proceso de auditoría será más extenso. Si se reduce el alcance, debe justificarse adecuadamente. Cualquier cambio de alcance debe comunicarse a la entidad de certificación con suficiente antelación.

¿Se acerca tu renovación ENS?

Planifícala con tiempo. Con Avson GRC, sin sorpresas ni lagunas de certificación.

Consultar sobre renovación →

Renovación del certificado ENS: todo lo que necesitas saber

¿Cada cuánto hay que renovar el certificado ENS?

Qué implica la renovación del certificado ENS

Diferencia entre renovación y nueva certificación

Plazos: cuándo iniciar el proceso de renovación

Qué pasa si el certificado ENS caduca

Mantenimiento continuo del ENS entre renovaciones

Costes de la renovación del certificado ENS

Artículos relacionados

Preguntas frecuentes sobre la renovación

¿Se acerca tu renovación ENS?

¿Tu empresa necesita certificarse?