ENS para empresas privadas: guía práctica para dirección

17 de junio de 2026
Ciberseguridad, Ciso, Cumplimiento, España, Seguridad de Datos
ens-empresas-privadas-banner
NORMATIVA · ENS

ENS para empresas privadas:
guía práctica para dirección

El Esquema Nacional de Seguridad ya no es solo cosa de la Administración. Miles de empresas privadas están obligadas a cumplirlo sin saberlo. Esta guía explica cuándo aplica, qué niveles existen y qué hacer si tu empresa trabaja con el sector público.

📅 Actualizado: junio 2026 Lectura: 10 min 👤 Para: CEO / COO / CFO

El Esquema Nacional de Seguridad condiciona el acceso a contratos públicos y a la cadena de suministro de cualquier empresa que trabaje, directa o indirectamente, con la Administración. No es una certificación técnica más: es una condición de negocio que determina si puedes presentarte a una licitación, si puedes mantener un contrato vigente y si tus propios clientes pueden seguir trabajando contigo.

El error más frecuente entre directivos de pymes es pensar que el ENS “es cosa de la AAPP” y que no les afecta. En la práctica, el Real Decreto 311/2022 extiende su ámbito a empresas privadas en circunstancias muy concretas — y esas circunstancias se están generalizando en pliegos de contratación y en exigencias contractuales de clientes que ya son entidades obligadas.

ENS para empresas privadas: guía práctica para dirección
Contenido del artículo
1. ¿Cuándo aplica el ENS a una empresa privada? El criterio del artículo 2.3
2. ENS y licitaciones públicas: por qué sin certificación no puedes presentarte
3. Niveles del ENS: básico, medio y alto
4. ENS y tu cadena de suministro: cuándo te lo exige un cliente, no la ley
5. Diferencia entre ENS, NIS2 e ISO 27001
6. Qué exige el ENS en la práctica
7. Cuánto tiempo lleva certificarse y qué pasa si no lo tienes a tiempo

¿Cuándo aplica el ENS a una empresa privada? El criterio del artículo 2.3

Para una visión general de NIS2 y ENS conjuntamente, puedes consultar la guía introductoria del sitio sobre ambas normativas. Aquí vamos directos al criterio legal concreto que determina si tu empresa privada está dentro del ámbito del ENS.

El artículo 2.3 del Real Decreto 311/2022 es la disposición que extiende el ámbito subjetivo del Esquema Nacional de Seguridad más allá de la Administración Pública. Establece que el ENS resulta aplicable a entidades del sector privado cuando concurren dos condiciones simultáneamente:

Las dos condiciones del artículo 2.3

Primera: existe una relación contractual. La empresa privada presta servicios o provee soluciones a una entidad del sector público para el ejercicio de sus competencias y potestades administrativas. Segunda: el pliego lo recoge expresamente. Los pliegos de prescripciones administrativas o técnicas del contrato contemplan la necesidad de cumplir requisitos para asegurar la conformidad con el ENS de los sistemas de información en los que se sustentan los servicios prestados por el contratista.

El matiz que más confusión genera: no toda relación comercial con la Administración activa el ENS automáticamente. Haber vendido un producto puntual a un ayuntamiento o tener un contrato menor sin componente tecnológico no convierte a una empresa en entidad obligada. Lo que activa la obligación es que el pliego concreto exija expresamente la conformidad ENS para los sistemas que sustentan el servicio. Sin esa exigencia explícita en el pliego, no hay obligación automática derivada únicamente de la relación comercial.

En la práctica, esto afecta de forma directa a proveedores cloud (PaaS, IaaS, SaaS), empresas de desarrollo de software para AAPP, integradores de sistemas, proveedores de soporte técnico y mantenimiento, y cualquier empresa que aloje, procese o administre sistemas TIC que tratan información o sustentan servicios del sector público. Si tu empresa encaja en alguno de estos perfiles, el siguiente paso lógico es revisar los pliegos de tus contratos vigentes y futuros para confirmar si la exigencia ENS está presente.

ENS y licitaciones públicas: por qué sin certificación no puedes presentarte

El efecto del ENS sobre la contratación pública depende de cómo esté configurada la exigencia dentro del pliego. No es lo mismo que se exija como requisito de solvencia, que se valore como un mérito en la adjudicación o que se imponga como obligación durante la ejecución del contrato. Cada configuración tiene un efecto jurídico distinto, y confundirlas es el error más costoso para una pyme que se presenta a una licitación.

🚫
Requisito de solvencia técnica
Cuando el pliego configura la conformidad ENS como requisito de solvencia, su acreditación debe aportarse junto con la oferta y verificarse antes de la adjudicación. No tener la certificación en este escenario significa exclusión del procedimiento, con independencia de cualquier otra ventaja competitiva que ofrezca la empresa licitadora. No es un punto que se pierde: es la puerta que no se abre.
📊
Criterio de adjudicación
En otros casos, la conformidad ENS se valora como un mérito adicional dentro de los criterios de adjudicación, no como condición de acceso al procedimiento. Aquí no tener la certificación no excluye a la empresa de competir, pero sí la sitúa en desventaja frente a competidores que sí pueden acreditarla, especialmente si el criterio tiene un peso significativo en la puntuación técnica.
📝
Obligación de ejecución contractual
Por último, el ENS puede imponerse como obligación que debe cumplirse durante la vigencia del contrato, una vez adjudicado, sin haber sido requisito de acceso a la licitación. En este escenario el riesgo no es perder la licitación, sino incumplir el contrato ya en marcha si la certificación no se obtiene en el plazo acordado — lo que puede derivar en penalizaciones contractuales o en la resolución del contrato.

El primer paso práctico ante cualquier pliego con mención al ENS es identificar en qué categoría de las tres anteriores se encuadra la exigencia. La redacción concreta del pliego es la única fuente fiable: las suposiciones genéricas sobre "qué suele exigirse" llevan a errores de planificación que se descubren demasiado tarde.

Niveles del ENS: básico, medio y alto

El ENS no asigna un nivel de seguridad a la empresa, sino a cada sistema de información concreto. La categoría se determina evaluando el impacto que tendría un incidente de seguridad sobre cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Cada dimensión recibe un nivel de impacto —bajo, medio o alto— y la categoría final del sistema corresponde al valor más alto obtenido entre las cinco, no a una media ni a una elección de la empresa.

Para la dirección de una pyme, lo relevante no son los detalles técnicos de cada dimensión, sino lo que cada nivel implica en términos de esfuerzo, gobernanza y evidencia documental exigible:

🟢
Nivel Básico
Es el estrato de cumplimiento inicial, diseñado para sistemas cuyo compromiso no supondría un perjuicio grave para la empresa ni para terceros. Es el nivel de esfuerzo más asumible para una pyme: las medidas exigidas son proporcionadas y compatibles con la estructura operativa de una empresa sin equipo de seguridad dedicado.
🟡
Nivel Medio
Es el nivel más habitual entre proveedores TIC que trabajan con la Administración: empresas de desarrollo de software, integradores y proveedores cloud suelen encontrarse en esta categoría cuando alguna de las cinco dimensiones de sus sistemas alcanza un impacto medio. Exige procesos más formalizados, documentados y con capacidad de demostrar repetibilidad ante una auditoría.
🔴
Nivel Alto
Es el nivel menos frecuente entre pymes y normalmente está ligado a contratos con organismos de seguridad, defensa o infraestructuras críticas nacionales. Implica el conjunto más exigente de medidas, con controles de auditoría, gestión de incidentes y trazabilidad reforzados frente a los niveles inferiores.

El nivel que corresponde a tu empresa no es una decisión interna: depende del análisis de impacto sobre los sistemas concretos que sustentan el servicio prestado a la Administración. Conocer el nivel antes de presentarte a una licitación o de negociar un contrato evita comprometerte a un calendario de certificación que no se ajusta a la realidad de tu organización.

ENS y tu cadena de suministro: cuándo te lo exige un cliente, no la ley

Esta es, probablemente, la situación más frecuente y menos comprendida entre pymes españolas: una empresa puede no tener ninguna relación contractual directa con la Administración Pública y, aun así, recibir la exigencia del ENS por la vía de su propio cliente.

El artículo 2.3 del RD 311/2022 extiende la cautela del ENS a la cadena de suministro de los contratistas "en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos". En la práctica, esto significa que si tu cliente es un integrador, una consultora TIC o un proveedor de servicios gestionados que sí está obligado por el ENS porque presta servicios directamente a la AAPP, ese cliente puede trasladarte la exigencia a ti como su subcontratista, aunque tú nunca firmes nada directamente con la Administración.

Ejemplos concretos de este efecto cascada: una empresa de hosting que alberga sistemas de un proveedor TIC de la Administración; una pyme de soporte técnico que da mantenimiento a la infraestructura de un integrador con contrato público; un desarrollador de software subcontratado para construir un módulo que terminará integrado en un sistema sometido al ENS; un proveedor de gestión documental que procesa expedientes que, en última instancia, pertenecen a un organismo público. En ninguno de estos casos hay relación contractual directa con la AAPP — y en todos ellos puede aplicar la exigencia ENS por vía contractual.

Para una pyme que se encuentra en esta situación, la primera señal de alarma no es una notificación oficial: es un cuestionario de seguridad inesperado, una nueva cláusula en la renovación de un contrato de servicios, o una solicitud de evidencias de cumplimiento que antes no se pedían. Gestionar esta relación contractual en cascada —entender qué nivel corresponde, qué evidencias hay que generar y cómo responder sin comprometer plazos— es exactamente el tipo de función que normalmente recae en un responsable de seguridad, interno o externo (CISO/vCISO), capaz de interpretar la exigencia del cliente y traducirla en un plan de acción concreto.

Diferencia entre ENS, NIS2 e ISO 27001: qué normativa aplica a tu empresa

Las tres normativas comparten objetivo —proteger la información y los sistemas frente a incidentes de seguridad— pero difieren en ámbito, obligatoriedad y origen. La pregunta relevante para una pyme no es "cuál es mejor", sino cuál te exige tu situación contractual concreta:

Criterio ENS NIS2 ISO 27001
Ámbito de aplicación AAPP y su cadena de suministro contractual Sectores críticos privados (energía, salud, TIC, etc.) Cualquier organización, sin restricción sectorial
Obligatoriedad Obligatorio si el pliego lo exige (art. 2.3) Obligatorio por ley si entras en sector + umbral Voluntario, certificable
Origen Marco normativo español (RD 311/2022) Directiva europea, transpuesta en España Estándar internacional (ISO/IEC)
Activador típico para una pyme Contrato o subcontrato con la AAPP Pertenecer a un sector regulado o ser proveedor de uno Exigencia de un cliente o decisión estratégica propia
Relación con las otras dos Comparte buena parte de los controles de gestión de riesgos con NIS2 e ISO 27001 Ver guía completa de adaptación a NIS2 Puede facilitar la adecuación a ENS y NIS2, pero no las sustituye

En la práctica, una misma pyme puede encontrarse sujeta a más de un marco simultáneamente: por ejemplo, una empresa de servicios TIC que es proveedora de un organismo público (ENS) y que, además, opera en un sector regulado por NIS2 como cliente final. En ese escenario, lo razonable es identificar primero qué requisitos coinciden entre ambos marcos para evitar duplicar trabajo, y abordar después las exigencias específicas de cada normativa por separado.

Qué exige el ENS en la práctica: política de seguridad, comité y evidencias

Más allá de los controles técnicos del Anexo II, el ENS exige una estructura de gobernanza concreta que recae en buena parte sobre la dirección de la empresa, no únicamente sobre el equipo técnico. Se apoya en tres pilares:

Política de seguridad aprobada por la dirección

El artículo 12 del RD 311/2022 exige que la política de seguridad sea aprobada formalmente por el órgano que ostente las máximas competencias ejecutivas de la organización. No basta con que el departamento técnico redacte el documento: tiene que estar respaldado y aprobado al máximo nivel, con el contenido mínimo que marca el propio artículo 12.

Designación formal de responsables

El ENS exige nombrar formalmente, como mínimo, un responsable de seguridad y un responsable del sistema (en organizaciones pequeñas, ambos roles pueden recaer en la misma persona, pero deben estar designados explícitamente). El responsable de seguridad es quien mantiene la política, supervisa su cumplimiento y actúa como interlocutor ante auditorías. Esta función no requiere necesariamente una contratación interna a tiempo completo: para muchas pymes, cubrir este rol mediante un CISO externo o vCISO es la fórmula más eficiente, ya que aporta experiencia especializada sin el coste de una incorporación a jornada completa.

Declaración de aplicabilidad documentada

Una vez categorizado el sistema (básico, medio o alto), la empresa debe formalizar una declaración de aplicabilidad: el documento donde se listan las medidas de seguridad del Anexo II que resultan de obligado cumplimiento tras el análisis de riesgos, justificando explícitamente cualquier exclusión. Esta declaración es, junto con la política de seguridad, el documento que un auditor revisará primero.

Cuánto tiempo lleva certificarse y qué pasa si no lo tienes a tiempo

La pregunta sobre el plazo de certificación no tiene una respuesta única, y cualquier cifra genérica de "X meses" que encuentres en internet debe tomarse con cautela. El tiempo real depende de tres factores que varían de una empresa a otra:

El punto de partida. Una empresa que ya tiene políticas documentadas, responsables designados y controles técnicos razonables tiene una brecha mucho menor que una que empieza desde cero. El alcance. El número de sistemas que entran dentro del perímetro de certificación multiplica directamente el trabajo de categorización, documentación y auditoría. El nivel exigido. Un sistema de nivel básico requiere un conjunto de medidas mucho más reducido que uno de nivel alto, lo que afecta directamente al tiempo de implantación.

Por eso, en lugar de prometer un plazo cerrado, lo honesto es decir que depende del punto de partida, el alcance y el nivel exigido — el mismo enfoque que aplicamos al hablar de plazos de adaptación a NIS2.

Qué pasa si no lo tienes a tiempo

Si el ENS está configurado como requisito de solvencia técnica en el pliego y no puedes acreditarlo en el plazo de presentación de ofertas, la consecuencia directa es la exclusión del procedimiento concreto o, si el contrato ya estaba adjudicado bajo condición, la pérdida de ese contrato específico. Es importante matizar que esto no implica una inhabilitación general para participar en licitaciones futuras: una vez regularizada la situación y obtenida la certificación, la empresa puede volver a presentarse con normalidad a nuevos procedimientos.

Cuando la falta de concreción sobre el nivel exigido en un pliego genera dudas, lo razonable es solicitar una aclaración formal al órgano de contratación antes de presentar la oferta, en lugar de asumir un nivel por defecto que después no se corresponda con lo realmente exigido.

Más allá de la licitación concreta, no contar con el ENS cuando un cliente o un pliego lo exige puede tener consecuencias que van más allá de la pérdida de un contrato puntual, incluida la exposición de la dirección ante decisiones de gobernanza no documentadas. Para entender el alcance de esa responsabilidad en el marco normativo más amplio (NIS2), consulta el artículo sobre sanciones y responsabilidad de directivos.

Si quieres saber si tu empresa está realmente dentro del ámbito del ENS, qué nivel te correspondería y qué tiene sentido priorizar en tu situación concreta, agenda una llamada de diagnóstico gratuita de 15 minutos. Sin compromiso y sin tecnicismos.

Preguntas frecuentes sobre el ENS para empresas privadas

¿Una empresa privada puede certificarse en ENS sin tener contrato con la Administración?
Sí. La certificación es voluntaria para el sector privado puro y aporta diferenciación comercial en licitaciones futuras y en contratos con clientes que ya la valoran como garantía de madurez. No es obligatoria sin relación contractual con el sector público, pero tampoco está reservada a empresas que ya trabajan con él.
¿Qué pasa si el pliego no especifica el nivel de ENS exigido?
El órgano de contratación debe especificar la categoría de seguridad exigida cuando el ENS forma parte de los requisitos del contrato. Un pliego que no concreta esta información puede dar lugar a solicitudes de aclaración o, en casos graves, a recurso por falta de concreción. En la práctica, conviene pedir aclaración formal antes de presentar la oferta si el nivel no queda claro.
¿El ENS y el RGPD son la misma normativa?
No. El RGPD regula la protección de datos personales en toda la Unión Europea. El ENS regula la seguridad de los sistemas de información del sector público y sus proveedores en España. Las denominaciones básico, medio y alto no significan lo mismo en ambas normativas, aunque ambos marcos se complementan en la práctica.
¿Tener ISO 27001 me exime de certificarme en ENS?
No. ISO 27001 es un marco internacional voluntario que cubre buena parte del trabajo necesario para el ENS, pero no lo sustituye. El ENS es una exigencia española específica para el sector público y su cadena de suministro, con su propio proceso de categorización y declaración de aplicabilidad.
¿Quién determina si mi sistema necesita nivel básico, medio o alto?
La categoría se determina mediante un análisis de impacto sobre cinco dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. El nivel global del sistema corresponde al valor más alto obtenido entre todas las dimensiones evaluadas, no a una decisión arbitraria de la empresa.
¿Puedo perder un contrato ya adjudicado por no tener el ENS a tiempo?
Si el pliego exige la certificación como requisito de solvencia y no se acredita en el plazo de presentación de ofertas, la consecuencia es la exclusión del procedimiento o la pérdida del contrato concreto. No implica inhabilitación general para participar en licitaciones futuras una vez regularizada la situación.
¿El ENS aplica a empresas que dan soporte técnico a un ayuntamiento sin tener acceso a datos sensibles?
Puede aplicar si el servicio de soporte da acceso o gestiona sistemas que sustentan el ejercicio de competencias administrativas, con independencia de si los datos tratados son sensibles. El criterio determinante es la naturaleza del servicio prestado, no únicamente el tipo de información manejada.
¿Una empresa subcontratada por mi proveedor también necesita ENS?
Puede ser necesario. El Real Decreto 311/2022 extiende la cautela a toda la cadena de suministro del contratista cuando resulte necesario según el análisis de riesgos, de modo que la obligación puede trasladarse a subcontratistas que dan soporte a sistemas sometidos al ENS.
💬
Consulta gratuita · Sin compromiso ¿Tu empresa necesita
el ENS? Agenda una llamada de 15 minutos sin coste. Te decimos si tu empresa está dentro del ámbito del ENS, qué nivel correspondería en tu situación concreta y qué puedes hacer esta semana.
100 % gratuita Sin tecnicismos Respuesta en menos de 48 h
Agendar 15 min → Selecciona el hueco que mejor te encaje en el calendario.

¿Quieres revisar tu nivel de preparación frente a ENS y NIS2 a la vez? Descarga la checklist NIS2/ENS para dirección, gratuita y sin tecnicismos.

Ciberseguridad