ENS obligatorio para proveedores de la Administración Pública: ¿te afecta?
Si tu empresa vende servicios o productos tecnológicos a la Administración Pública (ayuntamientos, comunidades autónomas, ministerios, universidades públicas), el Esquema Nacional de Seguridad (ENS) es cada vez más exigible. Muchos pliegos de condiciones incluyen la certificación ENS como requisito de admisión o como criterio de valoración. Pero, ¿es realmente obligatorio para todos los proveedores? ¿Cómo saber si te afecta? Te lo cuento.
Antes de seguir, recuerda que en Audidat te ayudamos con un Diagnóstico Express gratuito de 45 minutos para evaluar si tu empresa debe certificarse. Y si decides dar el paso, el inicio en menos de 48h hábiles desde firma de contrato.
¿Cuándo el ENS es obligatorio para un proveedor privado?
La normativa del ENS (Real Decreto 311/2022) establece que todos los sistemas de información que traten datos de la Administración o que sean necesarios para la prestación de servicios electrónicos deben cumplir el ENS. Esto afecta a:
- Sistemas de proveedores que gestionen datos de carácter personal cedidos por la AAPP.
- Sistemas que soporten servicios electrónicos esenciales para la ciudadanía (cita previa, registro, etc.).
- Proveedores tecnológicos que accedan a información clasificada o sensible.
En la práctica, la obligatoriedad aparece cuando el contrato público así lo exige. Desde 2020, la mayoría de los pliegos de servicios TIC con valor superior a 50.000€ ya incluyen el ENS como requisito.
¿Qué contratos públicos exigen ENS?
Analizando la LCSP (Ley de Contratos del Sector Público) y la instrucción de la Dirección General de Contratación Pública, estos son los casos más frecuentes:
- Servicios de alojamiento y cloud para AAPP: ENS nivel alto obligatorio para sistemas de categoría alta.
- Desarrollo de software a medida: ENS nivel medio obligatorio para aplicaciones que manejen datos de nivel medio.
- Consultoría tecnológica con acceso a sistemas públicos: ENS nivel básico o medio según la criticidad.
- Suministro de equipos con software embebido que conecte con redes corporativas públicas: ENS nivel básico.
También hay licitaciones donde no es obligatorio pero da puntos. En esos casos, la certificación puede ser la diferencia entre ganar o perder.
Cómo saber si un pliego te exige ENS
No todos los pliegos lo mencionan explícitamente como "certificación ENS". Busca estas frases en el PCAP (Pliego de Cláusulas Administrativas Particulares):
- "Esquema Nacional de Seguridad"
- "Real Decreto 311/2022"
- "Cumplimiento de medidas de seguridad según ENS"
- "Declaración de aplicabilidad del ENS"
- "Certificación de conformidad con el ENS" (la más exigente)
¿Cómo certificarse siendo pyme? Opciones simplificadas
El ENS puede ser complejo, pero para pymes hay vías simplificadas:
- Certificación por alcance reducido: solo el sistema que presta servicio a la AAPP, no toda la empresa.
- Uso de herramientas de cumplimiento: plantillas y software de gestión del ENS.
- Servicios externos de Oficial de Seguridad: externaliza la función a un consultor como Audidat.
Muchas pymes consiguen el nivel básico en 4-6 meses y el nivel medio en 6-9 meses.
¿Quieres saber si estás afectado y qué nivel necesitas? Haz clic en este enlace para más información y solicitar tu diagnóstico.
Preguntas frecuentes sobre ENS y proveedores de la Administración
¿Un proveedor de limpieza o seguridad privada necesita certificación ENS?
Depende. Si solo accede a instalaciones físicas pero no a sistemas informáticos, no. Pero si maneja bases de datos o aplicaciones (ej. sistema de control de accesos digital), entonces sí podría serle exigido.
¿Qué ocurre si me presento a una licitación sin ENS pero el pliego lo exige?
Quedas excluido automáticamente en la fase de admisión. No te evaluarán siquiera la oferta económica. Por eso es clave leer el pliego antes de presentarse.
¿Puedo acreditar el ENS con una declaración responsable en lugar de certificado?
Depende del pliego. Algunos admiten declaración responsable bajo tu responsabilidad, pero la mayoría pide certificado de entidad acreditada (ENAC). La declaración puede ser para ENS básico en contratos de bajo valor.
¿El ENS es obligatorio para subcontratistas de un proveedor principal?
Sí. Si el proveedor principal tiene la obligación de ENS, debe extenderla a sus subcontratistas que traten los mismos datos o sistemas. Los pliegos suelen exigir que el subcontratista también esté certificado o se comprometa a estarlo.
¿Cuánto tarda una pyme en obtener la certificación ENS desde cero?
Con dedicación intensiva y apoyo externo: nivel básico en 4 meses, nivel medio en 6-8 meses. Con menos dedicación (parcial), puede alargarse a 12 meses.
¿Los Consorcios o UTE también necesitan ENS?
Cada miembro de la UTE que vaya a tratar los sistemas debe tener su propia certificación (o el consorcio puede certificarse como entidad ad hoc, pero es más complejo). Mejor que cada socio aporte su certificación individual.