Hard2bit
← Volver al blog

ENS para SaaS: cuándo necesitas nivel Medio y cómo certificarte si trabajas con la Administración

Por Thilina Manana · COO y Director Técnico de Seguridad hard2bit · Publicado: 03 de abril de 2026 · Actualizado: 03 de abril de 2026
Normativa & GRC Ciberseguridad
Certificación ENS para SaaS

Introducción

El Esquema Nacional de Seguridad (ENS) ha dejado de ser un requisito exclusivo de las Administraciones Públicas. En la práctica, afecta cada vez más a empresas privadas que desarrollan software o prestan servicios tecnológicos, especialmente en modelos SaaS.

Cualquier empresa que trabaje con la Administración —ya sea como adjudicataria directa o como proveedor dentro de la cadena de servicio— puede verse obligada a cumplir el ENS. Esto incluye plataformas cloud, herramientas de gestión, soluciones de identidad, sistemas de tramitación o aplicaciones que procesan información relevante para el sector público.

El problema no suele ser entender que el ENS aplica, sino determinar correctamente dos aspectos clave: el alcance del sistema y el nivel exigido. Una mala decisión en cualquiera de estos puntos puede disparar el coste del proyecto o bloquear oportunidades comerciales.

Cuándo aplica el ENS a un SaaS

El ENS no se limita a organismos públicos. También es de aplicación a entidades privadas cuando prestan servicios a la Administración en el ejercicio de sus competencias, especialmente cuando existe una obligación contractual o normativa.

En términos prácticos, un SaaS entra en el alcance del ENS cuando:

  • forma parte de un servicio prestado a una Administración Pública
  • procesa datos relacionados con ciudadanos, expedientes o actividad administrativa
  • es requerido explícitamente en pliegos o contratos
  • soporta procesos críticos o relevantes para el funcionamiento del servicio público

Este escenario es habitual en plataformas B2B que operan en entornos regulados o que trabajan con integradores, consultoras o adjudicatarios principales.

No es necesario que toda la empresa esté sujeta al ENS. Lo habitual es definir un sistema de información concreto asociado al servicio prestado, dentro de un marco de cumplimiento GRC, sobre el que se aplican las medidas del esquema.

Por qué muchos SaaS acaban en nivel Medio

El ENS clasifica los sistemas en tres categorías: Básica, Media y Alta. Esta clasificación se determina en función del impacto que tendría un incidente sobre distintas dimensiones de seguridad.

Un sistema se considera de categoría Media cuando al menos una de las dimensiones alcanza ese nivel y ninguna llega a nivel Alto.

En el caso de soluciones SaaS utilizadas por la Administración, es frecuente que se cumpla al menos una de estas condiciones:

  • tratamiento de datos con un nivel de sensibilidad relevante
  • impacto en la integridad de procesos administrativos
  • necesidad de garantizar disponibilidad del servicio

Esto explica por qué muchas plataformas acaban clasificadas como nivel Medio, incluso cuando no manejan información especialmente crítica.

Categorización del ENS según CCN.

Cómo definir correctamente el alcance del sistema

El alcance es el factor que más influye en el coste y complejidad de un proyecto ENS.

Un error frecuente es intentar certificar toda la organización o toda la plataforma SaaS sin distinguir qué parte del sistema está realmente implicada en el servicio prestado a la Administración.

Un enfoque correcto pasa por:

  1. Identificar el servicio concreto objeto del contrato
  2. Determinar qué componentes técnicos intervienen en ese servicio
  3. Limitar el alcance a esos elementos
  4. Excluir módulos, entornos o funcionalidades que no participan en la prestación

En entornos cloud, este análisis debe tener en cuenta aspectos específicos de seguridad cloud para empresas, especialmente en arquitecturas multi-tenant o entornos distribuidos.

Cumplimiento GRC.

Categorización: cómo determinar el nivel sin sobredimensionar

La categorización debe basarse en el impacto real del sistema, no en hipótesis conservadoras ni en interpretaciones genéricas.

Para ello es necesario analizar:

  • la naturaleza de la información tratada
  • el tipo de servicio prestado
  • las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad

Puedes ampliar este proceso en la documentación oficial sobre categorización del ENS según CCN.

Cuando un sistema maneja múltiples tipos de información o presta diferentes servicios, el nivel se determina por el mayor impacto identificado en cada dimensión.

Esto implica que una única funcionalidad crítica puede elevar el nivel global del sistema. Por eso es importante segmentar correctamente el alcance antes de categorizar.

Diferencias prácticas entre ENS Básico, Medio y Alto

La diferencia entre niveles no es únicamente cuantitativa, sino también cualitativa.

En nivel Medio se incrementa la exigencia en aspectos como:

  • control de accesos y gestión de identidades
  • registro y monitorización de actividad
  • gestión de incidentes
  • protección de sistemas y comunicaciones
  • continuidad de negocio

Muchas de estas medidas están alineadas con estándares como ISO 27001, aunque el ENS introduce requisitos adicionales específicos del entorno público.

Proceso realista de certificación ENS para un SaaS

Un proyecto de adecuación al ENS en un entorno SaaS suele seguir las siguientes fases:

Análisis inicial

Revisión de requisitos contractuales y determinación de obligatoriedad.

Definición de alcance

Delimitación del sistema de información que será objeto de certificación.

Categorización

Evaluación de impacto y determinación del nivel ENS.

Adecuación

Implantación de medidas técnicas y organizativas necesarias.

Evidencias

Documentación y registro de controles aplicados.

Auditoría

Verificación independiente del cumplimiento del ENS.

Certificación

Obtención del informe o certificado correspondiente.

En entornos SaaS que integran herramientas como Microsoft 365 o entornos colaborativos, es habitual complementar estas medidas con controles específicos de seguridad en Microsoft 365.

Errores frecuentes en proyectos ENS para SaaS

Uno de los errores más comunes es asumir que una certificación ISO 27001 es suficiente. Aunque existe una fuerte alineación entre ambos marcos, el ENS introduce requisitos específicos que deben abordarse de forma independiente.

Otro error habitual es confiar en que el proveedor cloud cubre todos los requisitos de seguridad. Aunque servicios como Azure o AWS disponen de certificaciones y controles avanzados, la responsabilidad final recae sobre el sistema concreto y su configuración.

También es frecuente sobredimensionar el alcance, incluyendo sistemas o procesos que no forman parte del servicio prestado. Esto complica innecesariamente la auditoría y aumenta el coste del proyecto.

En definitiva debemos señelar que el ENS es un requisito cada vez más relevante para empresas que desarrollan o comercializan soluciones SaaS en el ámbito público.

La clave para abordarlo correctamente no está en aplicar controles de forma indiscriminada, sino en definir bien el alcance, categorizar con criterio y ejecutar un plan de adecuación ajustado al contexto real del servicio.

¿Tu SaaS necesita cumplir ENS?

Si estás trabajando con la Administración o quieres hacerlo, el primer paso no es implantar controles, sino definir correctamente el alcance y el nivel.

En Hard2bit ayudamos a empresas a:

  • determinar si necesitan ENS
  • definir el alcance real
  • preparar la certificación sin sobredimensionar el proyecto

Puedes contactar con expertos en ENS para evaluar tu caso y definir el enfoque más adecuado.

Preguntas frecuentes

¿Un SaaS necesita siempre ENS Medio?

No. El nivel depende del impacto en confidencialidad, integridad y disponibilidad. Sin embargo, en servicios que trabajan con la Administración es habitual que el nivel requerido sea Medio.

¿Si uso Azure o AWS ya cumplo ENS?

No. El proveedor cloud ayuda, pero el cumplimiento depende de cómo esté configurado el sistema y de los controles aplicados en tu servicio.

¿ISO 27001 sustituye al ENS?

No. Aunque están alineados, el ENS tiene requisitos específicos que deben cumplirse de forma independiente.

¿Cuánto tarda certificar un SaaS en ENS?

Depende del nivel y del punto de partida, pero un proyecto típico puede ir de 3 a 9 meses.