ENS 2025: requisitos por categoría (BÁSICA, MEDIA, ALTA) para cloud
El ENS ya no es solo para la administracion publica
El Real Decreto 311/2022 (que actualizo el Esquema Nacional de Seguridad original de 2010) extendio el alcance del ENS a todos los proveedores de tecnologia que prestan servicios al sector publico. Eso incluye proveedores cloud, empresas de software, integradores de sistemas y consultoras tecnologicas.
En 2025, el Centro Criptologico Nacional (CCN) ha publicado nuevas guias tecnicas (serie CCN-STIC 800) que concretan los requisitos para proveedores de servicios cloud. No son opcionales si tu empresa vende o quiere vender al sector publico espanol.
Que ha cambiado
Tres cambios principales afectan a los proveedores cloud.
Clasificacion de servicios cloud por nivel. El CCN ahora clasifica los servicios cloud en tres categorias segun el nivel de seguridad que requieren: basico, medio y alto. Un servicio de almacenamiento de documentos no clasificados puede requerir nivel basico. Un servicio que procesa datos personales de ciudadanos requiere medio. Cualquier cosa que toque datos de seguridad nacional o datos sensibles del sector publico requiere alto.
El nivel determina los controles que debes implementar. El nivel alto exige cifrado en transito y en reposo con algoritmos aprobados por el CCN, autenticacion multifactor para todo acceso administrativo, registro de auditoria de todas las operaciones durante un minimo de 5 anos, y centros de datos en territorio de la UE.
Cadena de suministro. El ENS ahora exige que los proveedores de primer nivel verifiquen que sus subcontratistas (proveedores de infraestructura, servicios de terceros) tambien cumplen. Si tu servicio cloud corre sobre AWS o Google Cloud, necesitas documentar que el proveedor de infraestructura subyacente tiene las certificaciones adecuadas. AWS tiene certificacion ENS nivel alto. Google Cloud tiene nivel medio (y esta en proceso para alto). Azure tiene nivel alto.
Notificacion de incidentes. Los plazos de notificacion se han endurecido. Incidentes de nivel alto deben notificarse al CCN-CERT en 24 horas (antes eran 72). Incidentes de nivel medio en 48 horas. Y la notificacion no es un email generico; requiere un informe estructurado con evaluacion de impacto, medidas de contencion y plan de remediacion.
A quien afecta directamente
Si tu empresa cumple alguno de estos criterios, necesitas prestar atencion:
- Vendes software o servicios cloud a cualquier administracion publica espanola (estatal, autonomica o local)
- Eres subcontratista de un integrador que vende al sector publico
- Operas infraestructura que aloja datos del sector publico
- Quieres licitar en contratos publicos que incluyen componente tecnologico
El tamano de la empresa no importa. Una startup de 5 personas que vende un SaaS de gestion documental a un ayuntamiento esta sujeta a los mismos requisitos que un proveedor grande.
Que hacer
La certificacion ENS es un proceso formal auditado por entidades acreditadas (ENAC). Pero antes de llegar ahi, hay pasos previos.
Determina tu nivel requerido. Depende del tipo de datos que manejas y del nivel de seguridad exigido por tus clientes publicos. Si no estas seguro, el CCN publica la guia CCN-STIC 803 con criterios de clasificacion detallados.
Haz un gap analysis. Compara tus controles actuales con los requisitos del nivel que necesitas. Las guias CCN-STIC 804 (medidas de seguridad) y 808 (auditorias) detallan los controles especificos. Muchas empresas descubren que ya cumplen un 60-70% de los controles de nivel basico simplemente por tener buenas practicas de seguridad.
Implementa los controles faltantes. Los gaps mas comunes que vemos en pymes tecnologicas son: falta de politica formal de seguridad documentada, ausencia de registro de auditoria centralizado, y falta de plan de continuidad de negocio probado. Ninguno requiere tecnologia cara; requieren proceso y documentacion.
Certifica. La auditoria ENS la realiza una entidad acreditada. El proceso tipico dura 2-4 meses para nivel basico y 4-8 meses para medio. El coste varia entre 5.000 y 25.000 euros dependiendo del alcance y la complejidad.
El catalogo STIC como acelerador
El CCN mantiene el Catalogo de Productos y Servicios STIC (CPSTIC), una lista de productos tecnologicos que han sido evaluados y aprobados para su uso en el sector publico. Estar en este catalogo no es obligatorio, pero es una ventaja competitiva enorme en licitaciones.
El proceso de inclusion es independiente de la certificacion ENS, pero complementario. Requiere una evaluacion tecnica del producto por parte del CCN, que puede durar entre 3 y 6 meses.
Si tu empresa trabaja con el sector publico o planea hacerlo, el ENS no es un coste a evitar. Es una barrera de entrada que, una vez superada, te diferencia de competidores que no la tienen. Para empresas que necesitan ENS junto con ISO 27001 y SOC 2, tenemos una guia de certificacion unificada que detalla los solapamientos entre frameworks. Y con los nuevos requisitos de cadena de suministro, cada vez mas empresas privadas que trabajan con el sector publico van a exigir certificacion ENS a sus proveedores tambien.
Para evaluar tu nivel de cumplimiento actual, nuestro equipo de cloud y DevOps realiza assessments ENS adaptados a proveedores cloud. Tambien puedes explorar nuestros servicios gestionados que incluyen cumplimiento ENS como parte del servicio.
Preguntas frecuentes
- ¿Qué es el ENS (Esquema Nacional de Seguridad)?
- El Esquema Nacional de Seguridad es el marco de ciberseguridad obligatorio para los sistemas de información del sector público español y sus proveedores tecnológicos, establecido por el Real Decreto 311/2022. Define controles de seguridad vinculantes en tres categorías de riesgo y está supervisado por el Centro Criptológico Nacional (CCN). A diferencia de marcos voluntarios como ISO 27001, la certificación ENS es un requisito legal para contratar con cualquier administración pública española.
- ¿Qué categoría ENS corresponde a mi producto SaaS?
- La categoría depende de la sensibilidad de los datos que procesa tu servicio. BÁSICA cubre datos administrativos no clasificados con impacto bajo si se comprometen. MEDIA aplica cuando se gestionan datos personales de ciudadanos, datos de servicios sociales o sistemas cuya interrupción cause una perturbación significativa. ALTA aplica a sistemas que manejan información clasificada, infraestructura crítica o datos de seguridad nacional. La CCN-STIC 803 recoge los criterios de clasificación oficiales, y la propia evaluación de seguridad de tu cliente público suele determinar el nivel exigido.
- ¿Cuál es la diferencia entre BÁSICA, MEDIA y ALTA?
- Las tres categorías suponen requisitos de control crecientes. BÁSICA exige política de seguridad documentada, control de accesos y registros de auditoría básicos. MEDIA añade autenticación multifactor obligatoria para acceso administrativo, respuesta a incidentes formal y verificación de cadena de suministro. ALTA requiere algoritmos criptográficos aprobados por el CCN, registros de auditoría conservados durante al menos 5 años, centros de datos en territorio de la UE y notificación de incidentes al CCN-CERT en 24 horas. La CCN-STIC 884 es la referencia definitiva para los controles cloud específicos de cada nivel.
- ¿Cuándo tienen que cumplir el ENS 2025 los proveedores cloud?
- El Real Decreto 311/2022 entró en vigor en mayo de 2022, con un periodo transitorio que concluyó en 2024. Los proveedores que liciten en nuevos contratos públicos necesitan certificación ENS activa en la categoría requerida. Los contratos existentes solían incluir una cláusula de cumplimiento con plazo fijado por el organismo contratante. En la práctica, el CCN está aplicando el cumplimiento en los nuevos procesos de licitación desde 2025.
- ¿Quién puede realizar una auditoría ENS?
- Las auditorías ENS deben ser realizadas por entidades acreditadas por ENAC (Entidad Nacional de Acreditación). Las autoevaluaciones internas están permitidas para el análisis de brechas, pero no producen una certificación válida. Para las categorías MEDIA y ALTA es obligatorio un auditor externo acreditado. El CCN publica en el portal CCN-CERT el listado de entidades de auditoría acreditadas.
- ¿Qué ocurre si mi servicio cloud no tiene certificación ENS?
- Los proveedores sin certificación quedan excluidos de los contratos de licitación pública que exigen cumplimiento ENS, lo que cubre prácticamente todos los contratos tecnológicos con la administración pública española. Con la transposición española de la Directiva NIS2 (2022/2555), las sanciones por incumplimiento pueden alcanzar los 10 millones de euros o el 2 % de la facturación global anual. Además, los contratistas principales exigen cada vez más la certificación ENS a sus subcontratistas cloud como obligación de cadena de suministro.
- ¿Cuánto cuesta la certificación ENS?
- Los costes de certificación oscilan entre 5.000-10.000 € para alcance BÁSICA, 15.000-25.000 € para MEDIA y 25.000-50.000 €+ para ALTA, según el ámbito del sistema y el auditor acreditado. El coste más elevado suele ser la preparación interna: remediación de brechas, documentación y trabajo de auditoría. Muchas pymes tecnológicas completan la preparación para BÁSICA en 3-6 meses con personal propio.
- ¿Es suficiente con ISO 27001 o sigo necesitando certificación ENS por separado?
- ISO 27001 no sustituye al ENS. Aunque el solapamiento de controles es significativo —especialmente en gestión de riesgos, gestión de activos y respuesta a incidentes—, el ENS tiene requisitos específicos para España que ISO 27001 no cubre: algoritmos criptográficos aprobados por el CCN, requisitos concretos de retención de registros de auditoría y obligaciones de notificación al CCN-CERT. Dicho esto, una certificación ISO 27001 existente puede acelerar notablemente la preparación ENS, reduciendo el esfuerzo de remediación de brechas en nivel MEDIA en un 40-60 %.
