¿Qué es El Esquema Nacional de Seguridad?

por | Dic 26, 2025 | Sin categoría, Transformación Digital | 0 Comentarios

Queremos compartir, con gran alegría, que en La Rueca acabamos de certificarnos en el ENS y queremos aprovechar para resolver las dudas que muchas entidades podrían tener alrededor de este tema que, aunque puede sonar técnico, es cada vez más relevante si trabajas con la administración pública, gestionas datos o aspiras a licitar.

¿Pero qué es eso del ENS, por qué importa y qué significa para las entidades sociales?

Hay siglas que nos suenan un poco lejanas hasta que un día se convierten en un requisito que sí o sí tenemos que entender, como el ENS (Esquema Nacional de Seguridad)

Pero antes de entrar en tecnicismos, vamos a lo esencial. El ENS es un marco legal español que establece cómo se debe proteger la información y los sistemas que gestionan datos y servicios digitales, especialmente en el entorno público y con quienes trabajan con él. Su objetivo es claro, asegurar que los datos sean accesibles, confidenciales, íntegros, trazables, auténticos y estén disponibles cuando los necesitemos. Más info en: ens.ccn.cni.es

En otras palabras, no es un formulario más, ni un “certificado bonito” en la pared. Es una forma de garantizar que, cuando manejamos datos —propios o de otras personas— lo hacemos con medidas de seguridad que realmente funcionan, y que las herramientas y procesos que utilizamos no ponen en riesgo la confianza del sector o de las personas con las que trabajamos.

¿De dónde viene el ENS y qué lo regula?

El ENS se ha ido construyendo desde hace años, con la intención de crear una política de seguridad sólida para la administración electrónica en España. Originalmente surgió con el Real Decreto 3/2010 y se fue actualizando hasta llegar al Real Decreto 311/2022, que es la regulación vigente hoy.

Este marco se apoya también en leyes más amplias sobre procedimiento administrativo y modernización del sector público, y su actualización responde a la necesidad de adaptarse a nuevos riesgos, tecnologías y escenarios en los que la seguridad digital es central.

¿A quién afecta realmente el ENS?

Es un punto que genera mucha confusión, no solo las administraciones públicas deben cumplirlo. Si prestas servicios o soluciones tecnológicas a la administración —por ejemplo, sistemas de información, plataformas digitales, servicios en la nube o tienes acceso a datos públicos—, también puedes estar dentro del ámbito del ENS.

Esto significa que, aunque seas una entidad social o una organización sin ánimo de lucro, si estás en procesos de contratación pública o colaboras con administraciones en ámbitos digitales, el ENS te puede afectar. Y desde mayo de 2024, la certificación de conformidad del ENS es requisito para participar en licitaciones públicas relacionadas con estos servicios.

¿Por qué el ENS ahora aparece en licitaciones públicas?

Hasta hace poco, el ENS era algo más “interno” de las administraciones. Pero con la evolución de la digitalización y la importancia —cada vez mayor— de asegurar que los datos se gestionan de forma responsable y segura, cada vez más procesos de contratación exigen evidencia de cumplimiento del ENS como condición de participación.

En la práctica, esto quiere decir que si tu entidad quiere presentarse a ciertos concursos o contratos públicos, especialmente aquellos que implican el uso de medios electrónicos, gestión de datos sensibles o prestación de servicios digitales, podrías necesitar demostrar que tus sistemas cumplen con el ENS.

No hacerlo puede significar directamente quedarse fuera del proceso de licitación o ver reducidas oportunidades de colaboraciones con administraciones públicas.

¿Cómo está organizado el ENS y qué implica en la práctica?

El ENS no es un documento único de “cosas que hay que hacer”. Está estructurado como un marco de principios, requisitos y medidas de seguridad, que se aplican de manera proporcional según la criticidad de los sistemas y la información con la que trabajas.

Te aconsejamos que te empapes de toda la info que puedes encontrar en el Centro Criptológico Nacional: ens.ccn.cni.es

Niveles de seguridad

Existen tres niveles principales de seguridad:

  • Básico: para sistemas o información con menor impacto si algo falla
  • Medio: para datos o servicios con mayor relevancia operacional o de servicios públicos
  • Alto: para información crítica donde una brecha impide funciones esenciales o afecta derechos de las personas

No todo el mundo necesita cumplir con “alto” automáticamente. La clave está en analizar qué sistemas e información gestiona tu entidad, qué impacto tendría una incidencia y asignar un nivel acorde antes de aplicar las medidas de seguridad específicas para ese nivel.

Principios y medidas

El ENS establece que debemos trabajar bajo principios como:

  • Acceso, disponibilidad y continuidad
  • Confidencialidad e integridad
  • Autenticidad y trazabilidad
  • Revisión y mejora continua

Ese enfoque no es abstracto: tiene implicaciones prácticas en tu organización, desde definir políticas internas claras, hasta asegurar que tus sistemas están actualizados, que existe una gestión de incidencias o que los datos están protegidos con controles adecuados.

El proceso de adecuación

Adaptarse al ENS no es “pegar un sello”. Generalmente, el proceso incluye:

  • Elaborar un plan de adecuación con un análisis de riesgos, políticas de seguridad y medidas que debes implementar
  • Clasificar tus sistemas e información según el nivel de seguridad requerido
  • Documentar cómo cumples con las medidas propuestas, lo que puede requerir auditorías dependiendo del nivel (por ejemplo, medio o alto)

Para niveles medio y alto, se exige una auditoría formal por personal independiente que valide que las medidas están implementadas correctamente.

¿Qué ganamos con cumplir el ENS?

Si lo pensamos solo como un requisito de licitaciones, ya vale la pena. Pero hay más:

  • Genera confianza en tu organización porque demuestra que vas en serio con la protección de información y la seguridad digital
  • Te prepara para riesgos reales, porque no es solo burocracia: ayuda a identificar amenazas y gestionar adecuadamente tus datos
  • Posiciona a tu entidad como un socio tecnológico sólido, lo cual puede abrir puertas incluso en colaboraciones más allá de la administración pública

¿Y si apenas estamos empezando?

Puede dar vértigo, lo sabemos. Cumplir el ENS no es algo que se hace “de un día para otro”. Pero hay buenas noticias: en nuestro caso, hemos contado con una consultora que ha ido de nuestra mano para apoyarnos y servirnos de guía en el proceso.

Es un trabajo duro, y la consultora no hace lo que la entidad tiene que hacer. Es decir, hay que estar dispuestas a poner un poco «patas arriba» nuestras organizaciones. Pero contar con una consultora que sepa qué hacer y qué no hacer, y que te vaya ayudando, es un punto muy necesario.

En La Rueca hemos contado con el apoyo de la consultora Applicalia y con la certificadora Adok, que nos han hecho el camino mucho más agradable. ¡Gracias!

En La Rueca creemos que cumplir con el ENS no solo nos abre puertas en licitaciones públicas, sino que fortalece nuestra cultura de seguridad, transparencia y responsabilidad digital. Es una forma de decir con hechos que nos tomamos en serio la protección de datos y el uso responsable de la tecnología en el ejercicio de nuestra misión.

Si estás empezando, no estás sola. Contar con una hoja de ruta, apoyo experto y una mirada estratégica te ayuda a avanzar con sentido.
Y si tu entidad ya está en procesos de colaboración con administraciones, el ENS dejará de ser una “amenaza normativa” para convertirse en una palanca de crecimiento y confianza.

¿Tienes dudas? ¿Quieres que te aconsejemos? ¿Quieres preguntarnos algo?
Escríbenos a comunicacion@larueca.org y estaremos encantadas de ayudar a tu entidad.

Si te interesa la Tecnología Social, este es tu sitio. 🙂

Apúntate a nuestra newsletter

Te acercamos a la Tecnología Social desde todas sus perspectivas

Síguenos

En nuestras redes podrás tener información fresquita sobre La Rueca Asociación

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio esta protegido por reCAPTCHA y laPolítica de privacidady losTérminos del servicio de Googlese aplican.

El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.

Powered by  GDPR Cookie Compliance
Resumen de uso de Cookies

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.