Si tu empresa trabaja —o quiere trabajar— con la Administración Pública, hay tres letras que te van a pedir tarde o temprano: ENS. En esta guía te explicamos qué es, a quién obliga (también a empresas privadas), las categorías y cómo adecuarte, sin tecnicismos.
¿Qué es el ENS?
El Esquema Nacional de Seguridad (regulado por el Real Decreto 311/2022) es el marco de seguridad obligatorio para el sector público español. Establece los principios y medidas que deben cumplir los sistemas que manejan información de la Administración.
¿A quién obliga? (también a empresas privadas)
Aquí está la clave que mucha gente no sabe: el ENS no es solo para los organismos públicos. También obliga a las empresas privadas que les prestan servicios. Si licitas, contratas o trabajas con cualquier administración —ayuntamiento, comunidad autónoma, ministerio…—, te exigirán estar adecuado al ENS. Sin ello, te quedas fuera del concurso.
Las tres categorías: básica, media y alta
La categoría depende del impacto que tendría un incidente de seguridad sobre la información y los servicios:
| Categoría | Exigencia | Cómo se acredita |
|---|---|---|
| Básica | La menos exigente | Autoevaluación |
| Media | Intermedia | Certificación por entidad acreditada |
| Alta | La más exigente | Certificación por entidad acreditada |
¿Quién emite el certificado?
Igual que en la ISO 27001: en media y alta, el certificado lo emite una entidad de certificación acreditada, no la consultora que te prepara. Nosotros te acompañamos hasta la certificación; quien la emite es una entidad independiente.
Cómo adecuarse, paso a paso
- Categorización: determinar si tu caso es básico, medio o alto.
- Análisis de riesgos de los sistemas implicados.
- Aplicar las medidas de seguridad que exige el ENS para tu categoría.
- Declaración de aplicabilidad y documentación.
- Autoevaluación (básica) o auditoría de certificación (media/alta).
ENS e ISO 27001: muy parecidos
El ENS y la ISO 27001 comparten gran parte de los controles. Si ya tienes una, adecuarte a la otra es mucho más rápido. Y si te piden cumplir NIS2, ambas te adelantan camino. Mismo esfuerzo, varios objetivos.
¿Te piden el ENS para trabajar con la Administración?
Te acompañamos a adecuarte al ENS (básica, media o alta) a precio cerrado y hasta la certificación con una entidad acreditada. Empieza por un diagnóstico gratis.
Pedir presupuesto de ENS …o haz el diagnóstico de exposición gratis →Preguntas frecuentes
¿Quién está obligado a cumplir el ENS?
Las administraciones públicas y las empresas privadas que les prestan servicios. Si trabajas o licitas con el sector público, te lo exigirán.
¿Quién certifica el ENS?
En categoría básica basta una autoevaluación. En media y alta, certifica una entidad acreditada independiente, no el consultor.
¿Qué categoría me corresponde?
Depende del impacto que tendría un incidente sobre la información y servicios. La categorización es el primer paso del proyecto.
¿ENS o ISO 27001?
No es uno u otro: comparten muchos controles. Si ya tienes una, la otra sale más rápida. El ENS es específico para trabajar con la Administración española.
Guía informativa y orientativa. ¿Tu caso concreto? soporte@nexoseguridad.com.
En Nexo Seguridad ayudamos a PYMEs a protegerse y cumplir —auditoría, ISO 27001, NIS2, RGPD y ENS— con precio cerrado y sin tecnicismos. ¿Dudas con tu caso? Escríbenos a soporte@nexoseguridad.com.