Cómo certificarse en ENS: Todo lo que debes saber

De Carles Latorre

certificarse-ens

El Esquema Nacional de Seguridad (ENS) es el marco normativo desarrollado en España que establece los principios, requisitos y medidas que deben aplicar las administraciones públicas y las entidades que trabajan con ellas para proteger la información y garantizar la seguridad de los servicios digitales.

Tal y como explicamos en nuestro artículo ¿Qué es el ENS?, su cumplimiento no debe entenderse como un trámite administrativo, sino como una medida estructural para reducir riesgos, asegurar la continuidad operativa y demostrar solvencia en materia de ciberseguridad.

Ahora bien, no todas las organizaciones están obligadas a certificarse en el ENS. Según el Real Decreto 311/2022, que sustituyó al anterior Real Decreto 3/2010 para adaptarse a un entorno marcado por el cloud y las amenazas avanzadas, deben cumplirlo todas las administraciones públicas, así como aquellas empresas privadas que prestan servicios o suministran soluciones a organismos públicos. En cambio, organizaciones como hospitales privados o empresas biotecnológicas solo estarán obligadas si forman parte del sector público o trabajan directamente con él, aunque sí pueden adoptarlo de forma voluntaria como buena práctica.

Para adaptarse a la realidad de cada sistema, el ENS establece tres niveles de seguridad —bajo, medio y alto— en función del impacto que tendría un incidente. Además, distingue entre distintas dimensiones de seguridad (Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad), a cada una de las cuales se le asigna un nivel BAJO, MEDIO o ALTO según el análisis de riesgos (Anexo I). A partir de la combinación de estos niveles por dimensión, se determina la categoría global del sistema (BÁSICA, MEDIA o ALTA). Este punto es importante: el nivel no se asigna a la empresa en su conjunto, sino a cada sistema de información, tras un proceso de categorización basado en el análisis de riesgos.

Desde el punto de vista normativo, el ENS se estructura en principios básicos, requisitos mínimos y un conjunto de medidas de seguridad. Estas medidas, 73 en total, se agrupan en tres grandes marcos. Por un lado, el marco organizativo, que define cómo se gobierna la seguridad dentro de la entidad a través de políticas, procedimientos y responsabilidades.

Por otro, el marco operacional, centrado en cómo se gestionan los sistemas en el día a día, incluyendo aspectos como el análisis de riesgos, la gestión de cambios o la monitorización. Por último, las medidas de protección, que recogen controles técnicos concretos como el control de accesos, el uso de criptografía o la protección de las comunicaciones.

Requisitos para certificarse en el ENS

El Esquema Nacional de Seguridad está estructurado en tres bloques: los principios básicos (artículos del 4 al 10 del Real Decreto 311/2022), los requisitos mínimos (de los artículos 11 al 26) y un conjunto de 73 medidas categorizadas en tres marcos: el organizativo, el operacional y las medidas de protección [1][2][3].

¿Qué dicen estos marcos?

Marco organizativo

Comprende un conjunto de medidas relacionadas con la organización global de la seguridad, es decir, políticas, normativas, procedimientos, etc.

Marco operacional

Este marco propone una serie de procesos del sistema a implementar dentro del sistema de información, como el análisis de riesgos, la gestión de la capacidad o el control de cambios.

Medidas de protección

Estas medidas se centran en proteger los activos mediante controles concretos, como el etiquetado de la información, la criptografía o el cifrado.

Por tanto, para cumplir con la normativa vigente, toda entidad debe contemplar los siguientes elementos fundamentales:

  • La elaboración de una política de seguridad de la información es el primer paso obligatorio para definir el compromiso de la dirección y las responsabilidades de todos los miembros de la organización.

  • La designación formal de roles específicos, incluyendo el responsable de la información, el responsable del servicio, el responsable de seguridad y el responsable del sistema, garantiza una segregación de funciones efectiva y una toma de decisiones informada.

  • El establecimiento de un proceso continuo de gestión de riesgos permite identificar vulnerabilidades de manera proactiva y aplicar medidas de seguridad proporcionales según el análisis de impacto realizado. Este proceso debe apoyarse en una correcta categorización del sistema de información, que determine el nivel de seguridad aplicable. Asimismo, es necesario documentar la declaración de aplicabilidad (art. 28.2), en la que se justifican las medidas del ENS que resultan de aplicación en función del contexto y los riesgos identificados.

  • La implementación de mecanismos de protección perimetral, cifrado de datos y gestión de identidades asegura que solo el personal autorizado acceda a los recursos críticos del sistema de información. Además, la formación y concienciación en ciberseguridad del personal es un aspecto clave para reducir el riesgo humano, uno de los principales vectores de ataque en la actualidad.

  • La realización periódica de auditorías de seguridad, tanto internas como externas, es un requisito indispensable para verificar la eficacia de los controles aplicados y mantener la conformidad del sistema. En este sentido, el artículo 31 del Real Decreto 311/2022 establece la necesidad de auditorías regulares al menos cada dos años, así como auditorías extraordinarias cuando se produzcan cambios significativos en los sistemas [1].

  • La notificación obligatoria de incidentes de seguridad al CCN-CERT en los plazos establecidos garantiza una respuesta coordinada y la mitigación de posibles daños colaterales en la infraestructura nacional.

  • La complejidad de estos requerimientos varía según el nivel de seguridad asignado al sistema. El Esquema Nacional de Seguridad exige una precisión técnica elevada en la configuración de los activos, donde cada medida debe estar respaldada por evidencias que soporten una auditoría de conformidad exitosa. La falta de alguno de estos pilares puede invalidar la declaración de conformidad.

Conviene matizar que la supervisión del cumplimiento del ENS corresponde al Centro Criptológico Nacional (CCN) y, en el ámbito de la certificación, a las entidades acreditadas por ENAC. La Agencia Española de Protección de Datos (AEPD) solo sería competente en caso de que un incumplimiento del ENS derivase en una brecha de datos personales, en cuyo caso podrían aplicarse las sanciones previstas en el RGPD (art. 83) [4].

¿Cómo funciona la certificación ENS?

Para poder obtener esta certificación, es importante seguir un proceso estructurado alineado con lo establecido en la guía CCN-STIC 809 [2]:

  1. Categorización del sistema (Anexo I)
     Determinación del nivel de seguridad del sistema en cada dimensión y de su categoría global (BÁSICA, MEDIA o ALTA).

  2. Análisis de riesgos (op.pl.1)
     Evaluación detallada de amenazas, vulnerabilidades e impacto sobre los sistemas de información.

  3. Declaración de aplicabilidad (art. 28.2)
     Identificación y justificación de las medidas ENS aplicables.

  4. GAP analysis
     Análisis de brechas entre la situación actual y los requisitos del ENS.

  5. Plan de acción
     Definición de medidas correctivas, técnicas y organizativas.

  6. Implementación
     Despliegue de controles, procedimientos y medidas de seguridad.

  7. Auditoría o autoevaluación (art. 38)
     Los sistemas de categoría MEDIA o ALTA requieren auditoría externa para su certificación, mientras que los de categoría BÁSICA pueden optar por una autoevaluación para la declaración de conformidad [1].

  8. Mantenimiento y vigilancia continua (art. 31)
     Seguimiento continuo del sistema, revisiones periódicas y actualización de medidas.

¿Qué se evalúa en la certificación ENS?

La certificación del Esquema Nacional de Seguridad analiza aspectos como:

  • Gestión de riesgos y protección de la información
  • Control de accesos y autenticación de usuarios
  • Monitorización y respuesta ante incidentes de seguridad
  • Continuidad del negocio y recuperación ante desastres

Preguntas frecuentes sobre el ENS

¿Cuánto tiempo se tarda en obtener la certificación ENS?

El tiempo de adecuación depende de la madurez previa de la organización y del nivel de seguridad objetivo. Para una empresa mediana que busca el nivel medio, el proceso suele oscilar entre los 6 y los 12 meses. Este plazo incluye la fase de diagnóstico, el despliegue de medidas técnicas, la generación de evidencias y la realización de la auditoría externa.

¿Cuáles son las sanciones por no cumplir con el ENS?

Las sanciones directas pueden derivar de la Ley 40/2015, de Régimen Jurídico del Sector Público o, más frecuentemente, del RGPD y la LOPDGDD cuando el incumplimiento conlleva una brecha de datos personales. En estos casos, las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global (art. 83 RGPD) [4]. Además, la exclusión de licitaciones públicas supone un impacto económico indirecto relevante.

¿Qué relación tiene el ENS con la Directiva NIS2?

Más allá de su función como marco de seguridad para el sector público, el ENS está llamado a desempeñar un papel central en el cumplimiento de la Directiva europea NIS2 (Directiva (UE) 2022/2555), que refuerza las obligaciones de ciberseguridad para entidades esenciales e importantes en toda la Unión Europea.

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado por el Consejo de Ministros en enero de 2025 para transponer la NIS2 al ordenamiento español, establece que las medidas de gestión de riesgos exigidas por la Directiva podrán demostrarse mediante los perfiles de cumplimiento del ENS. En concreto, las entidades clasificadas como esenciales deberán acreditar su cumplimiento mediante certificación, mientras que las entidades importantes podrán optar entre la certificación o una autoevaluación [1][2].

Desde el Centro Criptológico Nacional (CCN), se ha manifestado que una entidad que disponga de una certificación ENS de categoría Media o Alta cubriría, en gran medida, los requisitos de gestión de riesgos de ciberseguridad del artículo 21 de la Directiva NIS2. Para facilitar esta alineación, el CCN ha publicado la guía CCN-STIC 892, que incluye un Perfil de Cumplimiento Específico para organizaciones NIS2 y un mapeo detallado entre ambas normativas [3][4].

Esto significa que las organizaciones que ya han invertido en su adecuación al ENS parten con una ventaja significativa de cara a la NIS2, evitando duplicidades y aprovechando el trabajo realizado.

No obstante, conviene tener en cuenta tres aspectos importantes:

En primer lugar, el Anteproyecto está en tramitación parlamentaria, por lo que su texto definitivo podría variar. En segundo lugar, la certificación ENS cubre las medidas técnicas y operativas, pero la NIS2 impone obligaciones adicionales, como la notificación de incidentes significativos en plazos de 24 y 72 horas o la responsabilidad directa de los órganos de dirección, que deben abordarse de forma específica. En tercer lugar, el ENS no es la única vía reconocida; el Anteproyecto también admite normas técnicas europeas e internacionales equivalentes como mecanismo de acreditación [2].

Nota: la información sobre el Anteproyecto de Ley refleja el estado del texto a fecha de marzo de 2026. Se recomienda consultar el BOE para verificar el estado de tramitación de la norma definitiva.

 

REFERENCIAS:

[1] Gobierno de España, Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad. Boletín Oficial del Estado (BOE).

[2] CCN-CERT, Guía CCN-STIC 809 — Declaración de conformidad con el ENS.

[3] Centro Criptológico Nacional (CCN), Portal del Esquema Nacional de Seguridad (ENS). Disponible en: https://ens.ccn.cni.es

[4] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), artículo 83.

[5] Gobierno de España, Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, Consejo de Ministros, 14 de enero de 2025. Disponible en: https://www.dsn.gob.es/en/node/24160

[6] ÉCIJA / ASEPEC, Nota informativa: Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad — Novedades para QTSP, febrero de 2025. Disponible en: https://www.asepec.es/wp-content/uploads/2025/02/ECIJA_ASEPEC_Nota_Informativa_Anteproyecto_Ley_Tansposicion_NIS2-.pdf

[7] Javier Candau, Impacto de la transposición de la Directiva NIS2 en España, Red Seguridad, abril de 2025. Disponible en: https://www.redseguridad.com/especialidades-tic/normativa-y-certificacion/transposicion-de-la-directiva-nis2-en-espana-javier-candau-ccn_20250428.html

[8] CCN-CERT, Guía CCN-STIC 892 — Perfil de Cumplimiento Específico para organizaciones en el ámbito de aplicación de la Directiva NIS2. Disponible en: https://www.ccn-cert.cni.es/es/seguridad-al-dia/novedades-ccn-cert/12945

[9] CCN-CERT, Actualización de la guía CCN-STIC 890 — Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad, julio de 2025. Disponible en: https://www.ccn-cert.cni.es/en/updated-security/portal-news/13090

 
Artículo anterior
← Checklist para migrar tu empresa a la nube sin errores
Guía: Cómo preparar tu empresa para certificaciones de ciberseguridad
guia-certificacion-empresas
Ciberseguridad

Guía: Cómo preparar tu empresa para certificaciones de ciberseguridad

23.3.2026 5 min lectura
¿Cómo prepararse para una auditoría de cumplimiento ENS?
preparacion-ens
Ciberseguridad

¿Cómo prepararse para una auditoría de cumplimiento ENS?

19.2.2026 4 min lectura
Consecuencias de no tener ciberseguridad en tu empresa
Ciberseguridad
Ciberseguridad

Consecuencias de no tener ciberseguridad en tu empresa

28.11.2024 3 min lectura

Suscríbete a nuestra newsletter y mantente al día de las novedades en tecnología y ciberseguridad.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera