El Esquema Nacional de Seguridad, hecho por una plataforma y revisado por expertos · soporte 24/7 +34 637 165 328 marcosmata@fulkro.es
La plataformaCómo funcionaPor qué FulkroPentest y nubeEl ENSComparativaPreguntas Reserva una demo
+34 637 165 328 marcosmata@fulkro.es
Inicio/Guía del ENS
Guía del ENS · 2026

Qué es el Esquema Nacional de Seguridad y por qué te lo piden para competir.

El Esquema Nacional de Seguridad (RD 311/2022) ya no es un trámite opcional: en buena parte de los concursos públicos es la puerta de entrada. Aquí lo explicamos claro, sin jerga y con lo que de verdad afecta a tu empresa.

Saber en qué nivel estásVer por qué Fulkro →

En esta guía

1 · Qué es el ENS 2 · A quién obliga 3 · Por qué es requisito en las licitaciones 4 · Los tres niveles: Básica, Media y Alta 5 · Cómo se certifica (paso a paso) 6 · ENS vs ISO 27001 7 · Vigencia y mantenimiento 8 · Dónde encaja Fulkro

Qué es el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) es el marco que fija los requisitos de seguridad de la información que deben cumplir los sistemas que tratan información o prestan servicios para el sector público en España. Está regulado por el Real Decreto 311/2022, de 3 de mayo, que sustituyó al antiguo RD 3/2010 y endureció notablemente las exigencias.

En la práctica, el ENS define un catálogo de medidas de seguridad organizadas en tres marcos —organizativo, operacional y de protección— y obliga a categorizar cada sistema según el impacto que tendría un incidente sobre cinco dimensiones: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. De esa categorización sale el nivel exigible: Básica, Media o Alta.

Lo importante para una empresa: el ENS no es solo cosa de la Administración. Si prestas servicios tecnológicos al sector público —o aspiras a hacerlo— el cumplimiento del ENS te alcanza directamente.

A quién obliga

El ENS aplica al conjunto del sector público, pero también a las empresas privadas que prestan servicios a la Administración cuando esos servicios implican tratar información o sistemas sujetos al Esquema. Es decir: si tu producto o servicio toca datos o infraestructura del cliente público, la cadena de cumplimiento llega hasta ti.

Esto incluye, entre otros muchos perfiles:

  • Empresas de software, SaaS y desarrollo a medida que dan servicio a organismos públicos.
  • Proveedores de cloud, hosting, centros de datos y servicios gestionados.
  • Consultoras tecnológicas, integradores e ingenierías que operan sistemas de la Administración.
  • Empresas de ciberseguridad, soporte, mantenimiento y operación de infraestructuras.
  • Cualquier compañía que quiera presentarse a concursos públicos donde el pliego exige ENS.

Por qué es requisito de entrada en las licitaciones

Aquí está el motivo por el que esta página existe. Cada vez más pliegos de contratación pública exigen el cumplimiento del ENS, y lo hacen de una forma que conviene entender bien, porque cambia las reglas del juego.

Según ha venido confirmando el Tribunal Administrativo Central de Recursos Contractuales (TACRC), el ENS puede figurar en los pliegos como requisito de habilitación, como criterio de solvencia técnica, como criterio de adjudicación o como condición de ejecución. La diferencia es enorme:

  • Cuando se exige como habilitación o solvencia técnica, hay que acreditarlo con la oferta. Se verifica antes de adjudicar, y no tenerlo significa quedar excluido sin que la mesa de contratación llegue siquiera a valorar tu propuesta económica o técnica.
  • Cuando aparece como condición de ejecución, puede que te dejen concursar, pero tendrás que estar al día del ENS para empezar a ejecutar el contrato. Llegar tarde aquí también te puede costar el contrato.
El error que cuesta contratos

Muchas empresas se enteran de que necesitan el ENS cuando ya han leído el pliego y quedan días para presentar. Para entonces, en la mayoría de los casos, ya es tarde: certificarse desde cero con la consultoría tradicional lleva meses. El que llega con el ENS hecho compite; el que no, ni entra.

Conclusión sencilla: el ENS ha dejado de ser "un papel más" para convertirse en la llave que abre o cierra el acceso al concurso. Tenerlo resuelto con antelación es ventaja competitiva pura.

Los tres niveles: Básica, Media y Alta

El Anexo II del RD 311/2022 define 73 medidas de seguridad. No todas aplican igual en todos los niveles: a mayor nivel, más medidas exigibles y con más rigor. De forma orientativa:

  • Básica — para sistemas de impacto limitado. Se aplica un subconjunto de esas medidas (las correspondientes a un impacto limitado). Es la puerta de entrada al grueso de licitaciones, y no exige auditoría externa: se acredita mediante una declaración de conformidad (autoevaluación).
  • Media — el nivel más demandado en contratos públicos relevantes. Bastantes más medidas y con más rigor que en Básica. Requiere certificación mediante auditoría de una entidad de certificación acreditada por ENAC.
  • Alta — para información sensible y servicios críticos. Las 73 medidas, con los controles más estrictos. Requiere auditoría ENAC y, además, test de intrusión (pentest) externo independiente.

¿Qué nivel necesitas tú? Depende del tipo de información y de los servicios de tus contratos, y a veces lo fija directamente el pliego. Es lo primero que determinamos en el diagnóstico, sin coste.

Cómo se certifica (paso a paso)

El camino, simplificado, es siempre el mismo:

  1. Categorización del sistema. Se determina el nivel (Básica/Media/Alta) según el impacto en las cinco dimensiones de seguridad.
  2. Análisis de riesgos y plan de adecuación. Se identifican las brechas frente a las medidas exigibles y se traza el plan para cerrarlas.
  3. Implantación. Se redactan políticas y procedimientos, se aplican los controles técnicos y organizativos y se genera la declaración de aplicabilidad.
  4. Evidencias. Se recopila la prueba documental y técnica de que cada medida está realmente implantada.
  5. Auditoría (Media y Alta). Una entidad acreditada por ENAC revisa el sistema. En Básica se sustituye por una declaración de conformidad.
  6. Certificación y distintivo. Si todo encaja, se obtiene la certificación de conformidad con el ENS y el distintivo correspondiente.
Quién emite el certificado

La certificación ENS para Media y Alta la emite una entidad de certificación independiente acreditada por ENAC, no la consultora que te implanta. Eso garantiza imparcialidad. Fulkro implanta, prepara y te acompaña hasta el final; el certificado lo firma un tercero acreditado, y su coste se factura aparte.

Esquema Nacional de Seguridad vs. ISO 27001

Es la duda más habitual. Resumen claro:

  • La ISO 27001 no es obligatoria para cumplir el ENS, y tenerla no equivale a tener el ENS.
  • Son marcos distintos pero muy solapados: comparten del orden del 60–70 % de los controles de gestión de seguridad de la información.
  • Si ya tienes ISO 27001, partes con muchísimo trabajo hecho y la adecuación al ENS es más rápida. Si no la tienes, no pasa nada: el ENS se puede abordar directamente.

En contratación pública lo que te van a pedir es el ENS, porque es el marco de referencia legal del sector público español. La ISO suma como complemento, pero no sustituye.

Vigencia y mantenimiento

La certificación ENS no es para siempre. Con carácter general, el certificado tiene una vigencia de dos años y su renovación exige una nueva auditoría externa. A diferencia de la ISO 27001, no conlleva auditorías de vigilancia anuales. Aun así, la seguridad es un proceso vivo: cambian los sistemas, las amenazas y la normativa.

Por eso, además de la implantación, conviene un mantenimiento continuo que mantenga las evidencias al día, gestione los cambios y te lleve sin sustos al siguiente hito de auditoría. Es justo lo que cubren nuestros planes de mantenimiento.

El ENS en 2026: la puerta a NIS2

El ENS ya no vive aislado. Con la transposición de la directiva europea NIS2 en marcha en España, los marcos convergen: el ENS está alineado con NIS2 y con los estándares internacionales (ISO 27001, NIST), y el propio CCN lo posiciona como la base de cumplimiento del ecosistema público español. En la práctica, implantar bien el ENS hoy significa que gran parte del camino hacia NIS2 ya lo tienes andado: análisis de riesgos, gobernanza, gestión de incidentes, continuidad y cadena de suministro. Es una inversión que rinde dos veces.

Dónde encaja Fulkro

Todo lo anterior —categorizar, analizar riesgos, redactar decenas de documentos, recopilar evidencias, simular la auditoría y entregársela ordenada al auditor— es lo que la consultoría tradicional hace a mano, despacio y caro.

Fulkro lo hace sobre una plataforma propia que automatiza el trabajo pesado y lo combina con la revisión de expertos: misma calidad de entrega, pero en semanas en lugar de meses, con un precio a tu medida y con un nivel de completitud y trazabilidad que el PowerPoint de turno no alcanza. Tú ves el avance en tiempo real desde tu portal; el auditor recibe el dossier por un acceso de solo lectura.

¿Tienes un concurso que exige el Esquema Nacional de Seguridad?

Cuéntanos a qué concursas y te decimos en qué nivel estás, qué te falta y cuánto cuesta. Diagnóstico sin coste ni compromiso.

Contáctanos Ver preguntas frecuentes