Cumplimiento · Esquema Nacional de Seguridad
Adecuación al ENS para empresas
Te acompañamos en la adecuación al Esquema Nacional de Seguridad (RD 311/2022) para que tu empresa pueda trabajar con la Administración con todas las garantías. Diseñamos tu plan de adecuación ENS por fases, lo implantamos con la división Summum Sistemas y preparamos tu auditoría. Si tienes un bono de Kit Consulting concedido y en plazo, lo aplicamos a la consultoría del proyecto; y te avisamos en cuanto se abra una nueva convocatoria.
¿Qué es el ENS?
¿Qué es el ENS y por qué adecuarte?
El Esquema Nacional de Seguridad para empresas es el marco que fija las medidas mínimas de seguridad para proteger la información y los servicios que se prestan al sector público. Está regulado por el Real Decreto 311/2022, de 3 de mayo, y organiza la protección en torno a cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Adecuarte es un requisito legal, y además demuestra ante tus clientes que gestionas su información con rigor.
Proteges tu información
Implantas controles reales sobre tus datos y sistemas, no un papel para el cajón. Reduces el riesgo de incidentes y la exposición ante ciberataques.
Generas confianza
Demostrar conformidad con el ENS transmite a tus clientes y a la Administración que cumples un estándar exigente de seguridad de la información.
Puedes licitar con la Administración
Muchos pliegos exigen el ENS. Adecuarte abre la puerta a contratos públicos y a seguir prestando servicio a tus clientes del sector público.
Ganas resiliencia
El enfoque de mejora continua y defensa en profundidad del ENS deja a tu organización mejor preparada para detectar, resistir y recuperarse de un incidente.
Ámbito de aplicación
¿A quién aplica el ENS?
El ENS obliga a todo el sector público, pero su alcance no termina ahí. El Real Decreto 311/2022 extiende las exigencias a las empresas privadas que prestan servicios o aportan soluciones a la Administración por relación contractual. Si tu empresa está en la cadena de suministro de un organismo público —como proveedor TIC, integrador o licitador—, el ENS te afecta de forma directa. Buena parte de esas empresas son proveedores del sector industrial que compiten por contratos con administraciones e infraestructuras críticas. En el ámbito sanitario conviene distinguir: los hospitales y centros de salud del sistema público están obligados directamente, por ser sector público; los centros concertados y los proveedores privados del sistema de salud entran por su relación contractual.
El RD 311/2022 entró en vigor el 5 de mayo de 2022 y su disposición transitoria única fijó un plazo general de adecuación de 24 meses, que finalizó el 5 de mayo de 2024. Es decir, el plazo ya venció: las organizaciones obligadas deben estar adecuadas y mantener su conformidad en el tiempo. Si todavía no lo estás, conviene actuar cuanto antes para no perder contratos ni quedar fuera de futuras licitaciones.
RD 311/2022
de 3 de mayo, que regula el Esquema Nacional de Seguridad (BOE-A-2022-7191).
5-may-2024
fin del plazo general de adecuación (disposición transitoria única, 24 meses).
5 dimensiones
confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (CIDAT).
Anexos I-IV
categorización, medidas de seguridad, auditoría y glosario del ENS.
¿Tu organismo o empresa trabaja con la Administración pública? En el blog explicamos cómo implantar el ENS para trabajar con la Administración paso a paso.
Cómo te acompañamos
Tu plan de adecuación ENS, fase a fase
Nuestro acompañamiento ENS es un proyecto ordenado, no una entrega suelta. Combinamos la consultoría ENS con la implantación técnica de Summum Sistemas, siguiendo las guías del Centro Criptológico Nacional (CCN-STIC). Estas son las fases del plan de adecuación:
| Fase | Qué hacemos | Resultado |
|---|---|---|
| 01 | Diagnóstico y análisis de diferencias (gap). Revisamos tu situación actual frente al ENS y categorizamos tus sistemas según el Anexo I. | Informe de diagnóstico y categoría aplicable. |
| 02 | Análisis de riesgos con metodología MAGERIT. Identificamos amenazas, valoramos el impacto en las dimensiones CIDAT y priorizamos. | Mapa de riesgos y medidas proporcionadas. |
| 03 | Plan de adecuación ENS (guía CCN-STIC 806) y Declaración de Aplicabilidad (DdA) con las medidas del Anexo II que aplican a tu categoría. | Plan de adecuación y DdA documentados. |
| 04 | Implantación de las medidas del Anexo II con Summum Sistemas: políticas, controles técnicos, organización y configuración segura de tus sistemas. | Medidas técnicas y organizativas en marcha. |
| 05 | Preparación de la auditoría o certificación. Recopilamos evidencias, repasamos la documentación y te dejamos listo para la entidad acreditada. | Expediente de evidencias listo para auditar. |
Importante: Summum te acompaña en la preparación y la implantación. La auditoría y la certificación oficial de conformidad las realiza una entidad acreditada independiente; nosotros dejamos tu proyecto en las mejores condiciones para superarla.
Niveles y conformidad
Niveles ENS: básica, media y alta
La categoría de tus sistemas depende del impacto que tendría un incidente sobre las cinco dimensiones de seguridad (CIDAT). A mayor categoría, más medidas del Anexo II y más exigente es la vía de conformidad. Estas son las tres categorías y cómo se acredita cada una:
Categoría BÁSICA
Impacto limitado en las dimensiones CIDAT. La conformidad se acredita mediante declaración de conformidad (autoevaluación), sin auditoría externa obligatoria.
Declaración de conformidadCategoría MEDIA
Impacto grave. Requiere certificación de conformidad emitida por una entidad acreditada por ENAC y renovación bienal de la certificación.
Certificación acreditadaCategoría ALTA
Impacto muy grave. Como en la media, exige certificación por entidad acreditada por ENAC (conforme a UNE-EN ISO/IEC 17065) y renovación bienal, con el conjunto más amplio de medidas.
Certificación acreditadaDos vías de conformidad
La diferencia clave es cómo se demuestra la conformidad. En la categoría básica basta con una declaración de conformidad autoevaluada. En las categorías media y alta la conformidad debe acreditarse mediante certificación emitida por una entidad acreditada por la ENAC (Entidad Nacional de Acreditación), conforme a la norma UNE-EN ISO/IEC 17065:2012, con renovación cada dos años.
Qué hace Summum y qué no
Summum no certifica ni audita la conformidad: esa función corresponde en exclusiva a entidades acreditadas independientes. Nosotros te preparamos y acompañamos en toda la adecuación —diagnóstico, riesgos, plan, implantación y evidencias— para que llegues a la declaración o a la auditoría con todo en orden y sin sorpresas.
Inversión
¿Cuánto cuesta la adecuación al ENS?
Es la primera pregunta de casi todas las empresas y casi nadie la contesta. Vamos con lo que sí se puede decir: no hay tarifa única, porque el coste depende de la categoría de tus sistemas, del alcance que declares y de la madurez de seguridad de la que partas. Para que tengas una referencia, estos son los rangos de mercado que publica una consultora especializada del sector para el primer año de proyecto. No son tarifas de Summum: son estimaciones de terceros que te sirven para ordenar expectativas antes de pedir presupuesto a nadie.
| Categoría | Rango de mercado publicado (primer año) | Qué incluye ese rango |
|---|---|---|
| Básica | De 4.000 a 10.000 € | Consultoría e implantación. No exige auditoría externa: basta la declaración de conformidad. |
| Media | De 12.000 a 30.000 € | Incluye consultoría e implantación (8.000-20.000 €) y la auditoría de la entidad acreditada (4.000-9.000 €), que factura la propia certificadora, no Summum. |
| Alta | De 35.000 a 110.000 € o más | El conjunto más amplio de medidas del Anexo II más la auditoría acreditada. Proyectos largos y con más sistemas en alcance. |
Fuente: rangos orientativos publicados por la consultora Novaciber para pymes de 10 a 200 empleados. Consultado en julio de 2026. No son tarifas de Summum Marketing: son referencias de mercado de un tercero.
Lo interesante no es el número: es qué lo mueve. Cuatro factores explican casi toda la diferencia entre un proyecto de 8.000 € y uno de 60.000 €. El alcance (si declaras dos servicios o toda la organización). La categoría (cada salto añade medidas del Anexo II, no unas pocas). Tu punto de partida (si ya tienes políticas, inventario de activos y control de accesos, medio camino está hecho). Y cuánta implantación técnica real hace falta, que es la partida que más se subestima: el ENS no se aprueba con documentos, se aprueba con medidas funcionando. Ese es justo el trabajo que hace Summum Sistemas dentro del proyecto.
Añade a la cuenta dos cosas que se olvidan siempre: el mantenimiento anual (el ENS es mejora continua, no una foto) y la renovación bienal de la certificación en categorías media y alta. Y, si dispones de bono de Kit Consulting en plazo, réstale la parte de consultoría que cubra.
Financiación
Financia tu adecuación con el Kit Consulting
La adecuación al ENS es una inversión, y el Kit Consulting está pensado precisamente para financiar el asesoramiento especializado en ciberseguridad y cumplimiento (no la implantación técnica). Si ya tienes bono concedido y en plazo, lo aplicamos a la consultoría del proyecto. Si no, preparamos tu caso para la próxima convocatoria: cuando se abra, tendrás el diagnóstico y el alcance listos.
Empieza por nuestra página de bono de ciberseguridad, ISO 27001 y ENS, donde detallamos cómo financiar la consultoría con el Kit Consulting. Si quieres conocer el programa completo y sus módulos, visita la página del programa Kit Consulting. Y si buscas el sello de gestión de la seguridad, te ayudamos también con la consultoría ISO 27001.
¿Tu empresa está en Canarias?
Te facturamos sin IVA.
Tenemos oficina propia en Canarias. Para empresas establecidas en las islas, facturamos sin IVA: Canarias está fuera del territorio de aplicación del IVA: en su caso se aplica el IGIC, el impuesto propio del régimen económico y fiscal canario, cuyo tipo general es inferior al del IVA. Te confirmamos el detalle fiscal de tu caso antes de empezar.
Qué recibes
Lo que te entregamos
Al terminar el proyecto de adecuación dispones de toda la documentación que el ENS exige y de las medidas funcionando. Esto es lo que recibes:
Informe de diagnóstico y gap
Tu punto de partida frente al ENS, con la categoría aplicable y las diferencias a cubrir.
Análisis de riesgos
Mapa de amenazas y riesgos valorado con MAGERIT sobre las cinco dimensiones CIDAT.
Plan de adecuación ENS
Hoja de ruta basada en la guía CCN-STIC 806 con las medidas del Anexo II priorizadas.
Declaración de Aplicabilidad (DdA)
Documento que recoge qué medidas aplican a tus sistemas y cómo se cumplen.
Políticas y procedimientos
Política de seguridad, normativa interna y procedimientos operativos listos para usar.
Evidencias y preparación de auditoría
Expediente de evidencias ordenado para la declaración de conformidad o la auditoría de la entidad acreditada.
Por qué Summum
Consultoría y manos técnicas en un mismo equipo.
El ENS no se resuelve solo con documentos: hay que implantar medidas reales en los sistemas. Por eso unimos la consultoría de cumplimiento con la división Summum Sistemas, que ejecuta la parte técnica del Anexo II. Así no dependes de varios proveedores descoordinados: un único equipo diseña el plan y lo pone en marcha.
Trabajamos con rigor normativo demostrable —RD 311/2022, Anexos I-IV, guías CCN-STIC, MAGERIT, ENAC e ISO/IEC 17065— y con honestidad: te decimos qué podemos hacer (acompañarte y prepararte) y qué corresponde a la entidad acreditada (certificar). Tenemos equipo propio en Castilla y León y Canarias.
más de una década
acompañando a pymes de Castilla y León y Canarias en cumplimiento y seguridad.
~200
proyectos ISO acompañados: ese rigor en gobierno del dato lo trasladamos al ENS.
Summum Sistemas
división técnica que implanta las medidas del Anexo II sobre tus sistemas.
CyL + Canarias
equipo propio en Castilla y León y Canarias, cerca de ti.
Sectores
Para quién tiene sentido adecuarse al ENS
Administración local y entidades públicas
Ayuntamientos, organismos y entidades que deben cumplir el ENS sobre sus propios sistemas de información.
Sector públicoProveedores TIC y de la cadena de suministro
Empresas tecnológicas que prestan soluciones o servicios a la Administración y deben acreditar el ENS por contrato.
ProveedoresEmpresas que licitan con la Administración
Compañías que quieren concurrir a pliegos públicos donde el ENS es requisito para poder presentarse.
LicitadoresRetail y distribución
El ENS no es solo cosa de empresas tecnológicas. Si vendes a economatos, comedores escolares, hospitales o cualquier organismo público, o si tu plataforma de pedidos se integra con sistemas de la Administración, entras en su cadena de suministro y el ENS te alcanza por contrato.
ENS para retailCentros sanitarios y sociosanitarios
Hospitales, centros concertados y proveedores del sistema público de salud manejan datos de categoría especial. Aquí el ENS convive con las obligaciones del RGPD sobre datos de salud, y la historia clínica electrónica puede llevar la categorización a nivel medio o superior, según el análisis de impacto del Anexo I.
SanidadPreguntas frecuentes
Dudas habituales sobre la adecuación al ENS
¿Es obligatorio el ENS para empresas privadas?
Sí, cuando la empresa privada presta un servicio o aporta una solución al sector público por relación contractual. El Real Decreto 311/2022 extiende las exigencias del ENS a la cadena de suministro de la Administración. El plazo general de adecuación finalizó el 5 de mayo de 2024, así que las organizaciones obligadas deben estar ya adecuadas y mantener su conformidad.
¿Quién está obligado al ENS?
Todo el sector público está obligado, y también las empresas privadas que le prestan servicios o soluciones por contrato, es decir, su cadena de suministro: proveedores TIC, integradores, licitadores y subcontratistas. Si tu actividad depende de contratos con organismos públicos, lo más probable es que el ENS te afecte.
¿Cuál es la diferencia entre categoría básica, media y alta?
La categoría depende del impacto que tendría un incidente sobre las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). Básica corresponde a impacto limitado, media a impacto grave y alta a impacto muy grave. A mayor categoría, más medidas del Anexo II y una vía de conformidad más exigente.
¿Quién certifica el ENS?
La certificación de conformidad del ENS la emite una entidad acreditada por la ENAC, conforme a la norma UNE-EN ISO/IEC 17065. Es obligatoria para las categorías media y alta, con renovación bienal. En la categoría básica basta con una declaración de conformidad autoevaluada. Summum prepara y acompaña tu adecuación, pero no certifica ni audita: esa función corresponde a la entidad acreditada independiente.
¿Puedo financiar la adecuación al ENS?
El Kit Consulting está diseñado para financiar el asesoramiento especializado en ciberseguridad y cumplimiento, que es justo la parte de consultoría de una adecuación al ENS (no la implantación técnica). Si tienes un bono concedido y en plazo, lo aplicamos al proyecto. Si no, dejamos tu caso preparado —diagnóstico y alcance— para presentarlo en cuanto se abra la próxima convocatoria. Lo detallamos en nuestra página del bono de ciberseguridad, ISO 27001 y ENS. Y si tu empresa está en Canarias, además facturamos sin IVA porque tenemos oficina propia en las islas.
¿Cuánto se tarda en adecuarse al ENS?
Depende de la categoría de tus sistemas y de tu madurez de partida. Tras el diagnóstico te damos un calendario realista y trabajamos por fases —diagnóstico, riesgos, plan, implantación y preparación de la auditoría— para no frenar tu operación durante el proyecto.
¿Cada cuánto se audita el ENS?
Para las categorías media y alta, la certificación de conformidad tiene una renovación bienal: la entidad acreditada vuelve a comprobar el cumplimiento cada dos años. La categoría básica se mantiene mediante la declaración de conformidad, que también debe revisarse y actualizarse ante cambios relevantes en tus sistemas.
¿ENS o ISO 27001?
No son excluyentes. El ENS es obligatorio cuando trabajas con la Administración; la ISO 27001 es una certificación voluntaria de tu sistema de gestión de la seguridad de la información, válida en cualquier sector. Muchas empresas abordan ambas porque comparten buena parte de los controles. Lo analizamos en nuestra guía sobre cuándo elegir ENS o ISO 27001, y conviene tener en cuenta el contexto de la NIS2 y de la relación entre RGPD y ciberseguridad. Muchas organizaciones prefieren unificar ambos esfuerzos en un Sistema de Gestión Integrado (SGI) que combine calidad y seguridad bajo un mismo marco de control.
¿Cuánto cuesta adecuarse al ENS?
No hay tarifa única: depende de la categoría de tus sistemas, del alcance que declares y de tu madurez de partida. Como referencia de mercado, una consultora especializada del sector (Novaciber) publica rangos orientativos para el primer año de entre 4.000 y 10.000 euros en categoría básica, entre 12.000 y 30.000 euros en media y entre 35.000 y 110.000 euros o más en alta, para pymes de 10 a 200 empleados. Son estimaciones de un tercero, no tarifas de Summum. A eso hay que sumar el mantenimiento anual y, en categorías media y alta, la renovación bienal de la certificación; y se puede restar lo que financies con el Kit Consulting. Te damos tu cifra después del diagnóstico, no antes.
¿Qué pasa si no me adecúo al ENS?
El Real Decreto 311/2022 no incluye un capítulo sancionador propio: no existe una multa directa por no estar adecuado. La consecuencia real es contractual y administrativa, y suele doler más que una sanción: no poder acreditar la conformidad que exige el pliego, quedar fuera de licitaciones, o incumplir una cláusula de un contrato en vigor con la Administración. Además, si a la falta de medidas se suma una brecha de datos personales, ahí sí entra un régimen sancionador, pero es el del RGPD, no el del ENS. Son marcos distintos y conviene no mezclarlos.
¿El ENS aplica a una empresa de retail o a un centro sanitario?
Sí, si prestan servicio al sector público o forman parte de su cadena de suministro. En retail ocurre más de lo que parece: quien suministra a comedores escolares, economatos u hospitales públicos, o integra su plataforma de pedidos con sistemas de la Administración, queda dentro del ámbito por relación contractual. En el ámbito sanitario, los centros concertados y los proveedores del sistema público de salud manejan datos de categoría especial, y la historia clínica electrónica puede llevar la categorización a nivel medio o superior, según el análisis de impacto del Anexo I. Lo que determina el alcance no es tu sector, es tu relación contractual con la Administración y el impacto de tus sistemas.
Próximo paso
¿Listo para empezar tu adecuación al ENS?
Cuéntanos tu situación y te decimos qué categoría te aplica, qué fases necesitas y cómo financiar el proyecto con el Kit Consulting. Llámanos al +34 983 515 290 o escríbenos a info@summummarketing.es. Te orientamos sin compromiso.
Habla con nosotros →Cumplimiento integral
Compliance legal del grupo Summum
El ENS cubre la seguridad de la información. Para el cumplimiento legal —RGPD, DPO externo, canal de denuncias, compliance penal, planes de igualdad y prevención de blanqueo— cuentas con Summum Consultoría, la división de cumplimiento del grupo.