¿Qué es el ENS y por qué cualquier pyme que vende a la Administración Pública lo necesita?
Esquema Nacional de Seguridad: marco obligatorio para sistemas que tratan información del sector público español. Tres niveles (BÁSICO, MEDIO, ALTO) según riesgo.
Actualizado mayo 2026
ENS: el marco de seguridad obligatorio para el sector público español.
El Esquema Nacional de Seguridad (ENS) es el marco normativo español que establece los principios y requisitos de seguridad para la protección de la información tratada y los servicios prestados por el sector público. Está regulado por el Real Decreto 311/2022, que actualiza el ENS para alinearlo con NIS2, RGPD y el escenario actual de amenazas.
Aplica a todas las administraciones públicas (estatal, autonómica, local, universidades), pero su alcance se extiende vía contratación pública: cualquier proveedor que preste servicios a la administración debe cumplir el ENS en el alcance del contrato. Para una pyme TIC, ENS es la puerta de entrada a vender a ayuntamientos, comunidades autónomas, ministerios y entes públicos.
Define tres niveles según el impacto potencial sobre confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad: BÁSICO (impacto limitado), MEDIO (impacto grave) y ALTO (impacto muy grave). Cada nivel exige un conjunto de medidas en cinco marcos (Organizativo, Operacional, Protección de Instalaciones, Personal y Servicios).
Se relaciona con ISO 27001 (controles muy solapados, ENS sirve para sector público español, ISO para mercado privado/internacional), con NIS2 (ENS reformulado en 2022 para alinearse) y con RGPD (controles ENS sostienen las obligaciones RGPD del sector público).
Los tres niveles de ENS y cuándo aplica cada uno
La clasificación se hace por dimensión de seguridad y por impacto potencial.
Nivel BÁSICO
Impacto limitado en caso de incidente. Aplica a sistemas con información no sensible (web institucional, sede electrónica básica). 40 medidas obligatorias en RD 311/2022.
Nivel MEDIO
Impacto grave. Aplica a la mayoría de servicios de la administración (gestión expedientes, padrones, tributos). ~75 medidas obligatorias. Es el más habitual en contratos con AAPP.
Nivel ALTO
Impacto muy grave. Aplica a sistemas críticos: defensa, seguridad nacional, datos médicos a gran escala, infraestructuras críticas. ~100 medidas obligatorias, las más exigentes.
Cinco dimensiones
Cada activo se clasifica en 5 dimensiones (Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad) con nivel BÁSICO/MEDIO/ALTO en cada una. El nivel global del sistema es el máximo de las dimensiones.
Cinco marcos de medidas
Las medidas se agrupan en: Marco Organizativo (políticas), Operacional (procedimientos), Protección Instalaciones, Personal, Servicios. Cada marco define controles específicos por nivel.
Categorización formal
El responsable de la información debe firmar la categorización del sistema (qué nivel se aplica en cada dimensión). Este documento es la base de toda la implantación posterior.
Cómo certificarse en ENS (sello CCN o auditoría)
Cuatro fases. Plazo realista 4-9 meses según nivel y madurez previa.
Categorización del sistema
Identificar el sistema en alcance, clasificarlo en las 5 dimensiones de seguridad, determinar nivel global (BÁSICO/MEDIO/ALTO). Documento firmado por responsable de la información. 2-4 semanas.
Análisis de riesgos y declaración de aplicabilidad
Análisis formal con metodología (MAGERIT, ISO 31000). Declaración de aplicabilidad de medidas según nivel. Plan de adecuación con calendario. 4-6 semanas.
Implantación de medidas
Desplegar las medidas obligatorias del nivel: políticas, MFA, cifrado, copias de seguridad, gestión de incidentes, formación, registros. Plataformas tipo Pilar Basic ayudan a documentar. 3-6 meses.
Auditoría y certificación
En nivel MEDIO/ALTO: auditoría obligatoria por entidad ENS-acreditada (renovable cada 2 años). En BÁSICO basta autoevaluación. Sello Conformidad ENS del CCN. Publicación en sede electrónica. 1-2 meses.
Cinco señales de que tu pyme necesita ENS
Vendes a la administración pública
Cualquier contrato con AAPP que implique tratamiento de información o prestación de servicios TIC exige certificación o conformidad ENS. Sin ella, no pasas a la fase técnica de las licitaciones.
Eres ente del sector público
Universidades, empresas públicas, agencias, organismos autónomos están obligados directamente por el RD 311/2022. No es opcional.
Subcontratas servicios a AAPP
Si eres proveedor de un proveedor de AAPP que presta servicios TIC, te pueden exigir ENS en cascada. Cláusulas habituales en contratos públicos.
Manejas datos de ciudadanos a gran escala
SaaS para padrones, identidad digital, sanidad pública, expedientes electrónicos. Aunque no seas administración directa, si tus clientes lo son, ENS te aplica.
Quieres vender internacionalmente desde España
ENS funciona mal como argumento fuera de España. Para vender a Europa: <a href="/glosario/que-es-iso-27001" class="text-magnetia-red underline">ISO 27001</a>. Para USA: <a href="/glosario/que-es-soc-2" class="text-magnetia-red underline">SOC 2</a>. ENS solo cubre mercado español público.
ENS en el ecosistema regulatorio español y europeo.
ENS vs ISO 27001: solapan en ~70% de controles. Tener ISO 27001 facilita ENS pero no lo sustituye — ENS exige certificación específica con auditor acreditado. Muchas pymes TIC obtienen ambos: ISO para mercado privado/internacional, ENS para sector público español.
ENS vs NIS2: la reforma de 2022 alinea ENS con NIS2 en ciertos puntos (notificación incidentes, gestión cadena suministro). Si tu pyme está en NIS2 + vende a AAPP, ENS cubre buena parte del trabajo NIS2.
En proyectos con IA con AAPP, el ENS aplica a las herramientas de IA, datasets y entornos. Si entregas un asistente IA a un ministerio, su servicio asociado debe certificarse ENS al nivel correspondiente. LLMOps con disciplina facilita demostrar trazabilidad, control de cambios y monitorización exigidas por ENS.
En Magnetia ayudamos a pymes TIC españolas a preparar ENS en proyectos con sector público, coordinando con auditoras acreditadas. Combinable con consultoría IA y automatización. Ver comparativa de marcos de seguridad.
Dudas que nos hacéis llegar
¿Te piden ENS para licitar con la administración?
Hacemos diagnóstico ENS BÁSICO/MEDIO/ALTO y plan realista. Coordinamos con auditoras acreditadas. Si ya tienes ISO 27001, el camino es mucho más corto.