¿ISO 27001 vale para ENS o son cosas distintas?

ISO 27001 cubre 70-80% de obligaciones ENS, pero no es sustitutivo. ENS añade especificidades: notificación CCN-CERT, metodología MAGERIT sugerida, guías STIC obligadas, controles concretos. Buena estrategia: implementar ISO 27001 como base y completar específicos ENS. Algunas certificadoras ofrecen auditorías combinadas que ahorran tiempo.

Para categoría básica: declaración de conformidad firmada por organismo competente (en algunos casos puede ser autoevaluación documentada). Para media y alta: auditoría externa obligatoria por entidad acreditada por ENAC en esquema ENS. Lista pública en ENAC y CCN. Renovación cada 2 años.

¿Cuánto cuesta certificarse en ENS?

Pyme básica desde cero: 15-30 k euros total (consultoría + auditoría/declaración). Pyme media: 25-50 k euros. Pyme alta: 40-80 k euros. Recurrente anual: 25-50% del coste inicial. Pyme con ISO 27001 ya implantada: 30-50% menos por solapamiento.

¿Y si subcontrato la operación a un proveedor cloud certificado ENS?

Eso reduce tu carga (heredas controles del proveedor sobre infraestructura) pero no te exime. Sigues siendo responsable de tus servicios y datos. AWS, Azure, Google Cloud, OVH, Stackscale y otros tienen ENS Alta o Media certificada. Documentar que partes hereda tu sistema y qué partes son responsabilidad propia es básico.

¿Cuánto tarda en preparar oferta para una licitación pública con ENS?

Una vez certificada o con declaración válida: la oferta se prepara como cualquier licitación, presentando certificado o declaración como anexo. Si no tienes ENS al licitar: o pierdes posición fuerte o te comprometes a obtenerlo en plazo (riesgo grande si no lo consigues). Adecuación antes de licitar es lo recomendable.

¿Se notifica al CCN-CERT cada incidente?

Según gravedad. Hay clasificación (CCN-STIC 817) con tipos y niveles. Incidentes con impacto operativo o de seguridad relevante deben notificarse en plazo (24h-72h según gravedad). Pyme con ENS tiene que tener proceso operativo de detección, clasificación y notificación. Lume gestor incidentes ayuda.

¿ENS se integra con AI Act?

AI Act y ENS son marcos distintos pero compatibles. ENS exige seguridad de sistemas (incluidos IA). AI Act añade obligaciones específicas IA (transparencia, gestión riesgos IA, supervisión humana). Pyme con IA usada en servicios a admin pública debe combinar ENS + AI Act + RGPD. Ver AI Act pymes 2026 .

Compliance · Sector público

ENS para pymes: la llave para vender a administración pública.

Esquema Nacional de Seguridad en pyme española 2026: qué obliga, qué categorías existen, cuánto cuesta adecuarse, plazos realistas y errores típicos al cruzar al sector público.

Hablar con un consultor

Actualizado mayo 2026

Por qué importa

Sin ENS, vender a administración pública española está cerrado.

El Esquema Nacional de Seguridad (ENS) es el marco español de seguridad de la información para sistemas de las administraciones públicas y sus proveedores. Real Decreto 311/2022 lo actualiza con categorías de seguridad (básica, media, alta) y obligaciones de adecuación. Ver qué es ENS.

Para una pyme privada que presta servicios a administración pública (consultoría, SaaS, integración, soporte, hosting), el ENS no es opcional. Si tu solución toca datos o sistemas de la administración, hay que cumplirlo. Sin certificación o declaración de conformidad ENS, los pliegos públicos te dejan fuera.

Lo que muchas pymes descubren tarde: ENS se parece a ISO 27001 pero no es lo mismo. Hay solapamiento (70-80%) pero también obligaciones específicas que solo cubre ENS. Trabajo combinado bien hecho ahorra dinero. Ver también NIS2, ISO 27001 y SOC 2 pyme.

Las tres categorías

ENS clasifica sistemas en básico, medio y alto

Categoría básica

Sistemas con bajo impacto potencial en caso de incidente. La mayoría de servicios administrativos comunes. Requisitos: documentación política, controles básicos, gestión de incidentes. Certificación o declaración de conformidad por organismo acreditado o entidad reconocida.

Categoría media

Sistemas con impacto medio (datos sensibles a cierto nivel, servicios relevantes). Catálogo controles ampliado. Obligación de auditoría externa por organismo certificador acreditado por ENAC. Renovación cada 2 años.

Categoría alta

Sistemas críticos con impacto alto (datos especialmente protegidos, infraestructuras críticas, servicios esenciales). Catálogo controles máximo. Auditoría externa cada 2 años. Suele alinearse con NIS2 entidades esenciales. Ver qué es NIS2.

Qué pide en la práctica

Bloques de obligaciones agrupados.

1. Política de seguridad y organización. Política firmada por dirección, comité de seguridad, responsable seguridad nombrado. Funciones, roles, responsabilidades documentados. Reunión revisión anual mínimo.

2. Análisis y gestión de riesgos. Metodología documentada (MAGERIT, ISO 27005). Análisis riesgos por activo, valoración impacto, plan tratamiento. Revisión anual. Sin esto no se puede demostrar adecuación a auditor.

3. Catálogo de medidas según categoría. Anexo II del ENS detalla controles por categoría (básica, media, alta) en cinco familias: marco organizativo, marco operacional, medidas de protección, monitorización. Implementación documentada con evidencias.

4. Gestión de incidentes. Procedimiento detección, escalado, contención, recuperación. Notificación al CCN-CERT (Centro Criptológico Nacional) según gravedad y categoría. Plazos específicos. Registro auditado.

5. Adecuación y mejora continua. Plan de adecuación periódica, auditorías internas o externas según categoría, plan de mejora continua, formación equipo. ENS no es proyecto puntual, es ciclo continuo. Ver automatización procesos con IA para apoyo operativo.

Plan 9-12 meses

Cómo adecuar una pyme al ENS desde cero

Mes 1 · Diagnóstico y categoría

Determinar alcance: qué sistemas se adecuan al ENS (los que tocan datos/servicios de admin pública). Análisis impacto y categorización (básica, media o alta) según naturaleza de servicios prestados.

Mes 2-3 · Política, organización y análisis riesgos

Redactar política seguridad, nombrar responsable seguridad, comité, roles. Análisis riesgos con MAGERIT u otra metodología reconocida. Documentar metodología y resultado por activo crítico.

Mes 4-7 · Implementación controles

Implementar medidas Anexo II ENS según categoría. Si ya tienes ISO 27001 base, reutilizas el 70%. Faltarán controles específicos ENS (notificación CCN-CERT, criptografía exigida, etc).

Mes 8-9 · Auditoría interna y declaración

Auditoría interna para detectar gaps. Categoría básica: declaración de conformidad firmada por organismo competente. Media y alta: auditoría externa por entidad certificadora acreditada por ENAC.

Mes 10-12 · Certificación y operativa

Certificado emitido (validez 2 años). Operación continua: gestión incidentes, monitorización, formación, auditoría interna anual. Renovación bienal con auditoría completa. Plan mejora continua activo.

Errores típicos

Lo que vemos romperse al adecuarse al ENS

Confundir ENS con ISO 27001

Empresa con ISO 27001 cree que ya cumple ENS automáticamente. No es así. Solapamiento alto pero hay obligaciones específicas (notificación CCN-CERT, MAGERIT como metodología sugerida, controles concretos de criptografía). Auditor rechaza si solo presentas ISO.

Categorizar de menos para ahorrar

Pyme prefiere categoría básica para evitar auditoría externa. Si los servicios tocan datos sensibles o críticos, la categoría correcta es media o alta. Auditor o cliente pueden rechazar la declaración como inadecuada, y vuelves a empezar con sobre-coste.

No usar CCN-CERT y CCN-STIC

CCN-STIC son las guías técnicas oficiales del Centro Criptológico Nacional. Son referencia obligada para configuraciones, criptografía, hardening. Pyme que ignora STIC suele implementar controles incorrectos y falla auditoría.

Cero formación equipo

Plan ENS perfecto en papel y empleados sin formación en seguridad básica. Una phishing exitosa demuestra que la adecuación es cosmética. ENS exige formación demostrable, no solo papeles.

15-60 k

Coste adecuación pyme

9-12 meses

Plazo realista desde cero

2 años

Validez certificación

70-80%

Solapamiento con ISO 27001

Antes de licitar

Checklist mínima para pyme que quiere vender a admin pública

Decisión adecuación ENS tomada

Si tu plan es vender a administración pública: empezar adecuación 9-12 meses antes de la primera licitación seria. Sin ENS, pliego te deja fuera o te penaliza fuertemente.

Categoría correctamente asignada

Análisis impacto serio para clasificar bien (básica, media, alta). Sub-categorizar para ahorrar es trampa que se paga doble. Asesor especializado ENS al inicio vale lo que cobra.

Política, organización y análisis riesgos

Política firmada, responsable seguridad nombrado, análisis riesgos MAGERIT documentado. Sin estos tres pilares, ninguna implementación técnica vale para auditor.

Guías CCN-STIC aplicadas

Configuraciones, criptografía, hardening según STIC relevantes. CCN-STIC 803 para auditoría, STIC 805 política seguridad, STIC 808 criptografía, etc. Documentar aplicación.

Plan formación documentado

Formación anual obligatoria equipo en seguridad. Plan formación, registros asistencia, evaluación. ENS exige formación demostrable, no asumida. Ver <a href="/blog/rgpd-pyme-2026-practico" class="text-magnetia-red underline">RGPD pyme 2026 práctico</a>.

Preguntas frecuentes

Dudas que nos hacéis llegar

Si presta servicios que tratan información o sistemas de la administración, sí. Suministro de bienes sin acceso a sistemas: no necesariamente. La regla práctica: si el pliego menciona compliance ENS o si vas a operar sistemas o datos de admin, necesitas adecuación ENS al menos básica.

ENS pyme y admin pública

¿Quieres licitar con administración pública sin que ENS te deje fuera?

Diagnóstico, categorización, plan de adecuación realista y soporte hasta auditoría. Combinado con ISO 27001 si tiene sentido, sin pagar dos veces lo mismo.

Pedir propuesta Contactar →