ENS 2025: nuevos requisitos para proveedores cloud

El ENS ya no es solo para la administracion publica

El Real Decreto 311/2022 (que actualizo el Esquema Nacional de Seguridad original de 2010) extendio el alcance del ENS a todos los proveedores de tecnologia que prestan servicios al sector publico. Eso incluye proveedores cloud, empresas de software, integradores de sistemas y consultoras tecnologicas.

En 2025, el Centro Criptologico Nacional (CCN) ha publicado nuevas guias tecnicas (serie CCN-STIC 800) que concretan los requisitos para proveedores de servicios cloud. No son opcionales si tu empresa vende o quiere vender al sector publico espanol.

Que ha cambiado

Tres cambios principales afectan a los proveedores cloud.

Clasificacion de servicios cloud por nivel. El CCN ahora clasifica los servicios cloud en tres categorias segun el nivel de seguridad que requieren: basico, medio y alto. Un servicio de almacenamiento de documentos no clasificados puede requerir nivel basico. Un servicio que procesa datos personales de ciudadanos requiere medio. Cualquier cosa que toque datos de seguridad nacional o datos sensibles del sector publico requiere alto.

El nivel determina los controles que debes implementar. El nivel alto exige cifrado en transito y en reposo con algoritmos aprobados por el CCN, autenticacion multifactor para todo acceso administrativo, registro de auditoria de todas las operaciones durante un minimo de 5 anos, y centros de datos en territorio de la UE.

Cadena de suministro. El ENS ahora exige que los proveedores de primer nivel verifiquen que sus subcontratistas (proveedores de infraestructura, servicios de terceros) tambien cumplen. Si tu servicio cloud corre sobre AWS o Google Cloud, necesitas documentar que el proveedor de infraestructura subyacente tiene las certificaciones adecuadas. AWS tiene certificacion ENS nivel alto. Google Cloud tiene nivel medio (y esta en proceso para alto). Azure tiene nivel alto.

Notificacion de incidentes. Los plazos de notificacion se han endurecido. Incidentes de nivel alto deben notificarse al CCN-CERT en 24 horas (antes eran 72). Incidentes de nivel medio en 48 horas. Y la notificacion no es un email generico; requiere un informe estructurado con evaluacion de impacto, medidas de contencion y plan de remediacion.

A quien afecta directamente

Si tu empresa cumple alguno de estos criterios, necesitas prestar atencion:

• Vendes software o servicios cloud a cualquier administracion publica espanola (estatal, autonomica o local)
• Eres subcontratista de un integrador que vende al sector publico
• Operas infraestructura que aloja datos del sector publico
• Quieres licitar en contratos publicos que incluyen componente tecnologico

El tamano de la empresa no importa. Una startup de 5 personas que vende un SaaS de gestion documental a un ayuntamiento esta sujeta a los mismos requisitos que un proveedor grande.

Que hacer

La certificacion ENS es un proceso formal auditado por entidades acreditadas (ENAC). Pero antes de llegar ahi, hay pasos previos.

Determina tu nivel requerido. Depende del tipo de datos que manejas y del nivel de seguridad exigido por tus clientes publicos. Si no estas seguro, el CCN publica la guia CCN-STIC 803 con criterios de clasificacion detallados.

Haz un gap analysis. Compara tus controles actuales con los requisitos del nivel que necesitas. Las guias CCN-STIC 804 (medidas de seguridad) y 808 (auditorias) detallan los controles especificos. Muchas empresas descubren que ya cumplen un 60-70% de los controles de nivel basico simplemente por tener buenas practicas de seguridad.

Implementa los controles faltantes. Los gaps mas comunes que vemos en pymes tecnologicas son: falta de politica formal de seguridad documentada, ausencia de registro de auditoria centralizado, y falta de plan de continuidad de negocio probado. Ninguno requiere tecnologia cara; requieren proceso y documentacion.

Certifica. La auditoria ENS la realiza una entidad acreditada. El proceso tipico dura 2-4 meses para nivel basico y 4-8 meses para medio. El coste varia entre 5.000 y 25.000 euros dependiendo del alcance y la complejidad.

El catalogo STIC como acelerador

El CCN mantiene el Catalogo de Productos y Servicios STIC (CPSTIC), una lista de productos tecnologicos que han sido evaluados y aprobados para su uso en el sector publico. Estar en este catalogo no es obligatorio, pero es una ventaja competitiva enorme en licitaciones.

El proceso de inclusion es independiente de la certificacion ENS, pero complementario. Requiere una evaluacion tecnica del producto por parte del CCN, que puede durar entre 3 y 6 meses.

Si tu empresa trabaja con el sector publico o planea hacerlo, el ENS no es un coste a evitar. Es una barrera de entrada que, una vez superada, te diferencia de competidores que no la tienen. Para empresas que necesitan ENS junto con ISO 27001 y SOC 2, tenemos una guia de certificacion unificada que detalla los solapamientos entre frameworks. Y con los nuevos requisitos de cadena de suministro, cada vez mas empresas privadas que trabajan con el sector publico van a exigir certificacion ENS a sus proveedores tambien.

Para evaluar tu nivel de cumplimiento actual, nuestro equipo de cloud y DevOps realiza assessments ENS adaptados a proveedores cloud. Tambien puedes explorar nuestros servicios gestionados que incluyen cumplimiento ENS como parte del servicio.