Hard2bit
← Volver al blog

Quién necesita ENS: administraciones, proveedores y empresas obligadas

Por Adrián González · 31 de marzo de 2026
Normativa & GRC
Qué organizaciones deben cumplir el ENS

Cuando una organización se pregunta si necesita cumplir el Esquema Nacional de Seguridad (ENS), la respuesta no depende solo de si “es Administración” o no.

El ENS, regulado por el Real Decreto 311/2022, se aplica a todo el sector público. Pero además también puede aplicarse a sistemas de información de entidades privadas cuando, conforme a la normativa aplicable y en virtud de una relación contractual, prestan servicios o proveen soluciones a entidades del sector público para el ejercicio de sus competencias y potestades administrativas.

Eso significa que el ENS no es solo un marco para ministerios, consejerías, ayuntamientos, universidades públicas o entidades dependientes de la Administración. También puede afectar a proveedores TIC, empresas adjudicatarias, SaaS, integradores, consultoras, outsourcers y terceros tecnológicos que sostienen servicios públicos o sistemas vinculados a ellos.

La clave está en entender bien el servicio prestado, el sistema afectado, la relación contractual y lo que exigen los pliegos.

El ENS aplica directamente a todo el sector público

El artículo 2 del RD 311/2022 deja claro que el ENS se aplica a todo el sector público, en los términos definidos por la Ley 40/2015.

En la práctica, esto incluye organizaciones como:

  • Administración General del Estado
  • comunidades autónomas
  • entidades locales
  • organismos públicos
  • entidades de derecho público
  • universidades públicas
  • otras entidades incluidas en el ámbito del sector público

Por tanto, si tu organización forma parte del sector público, la pregunta no es si el ENS aplica, sino cómo debes implantarlo, categorizar el sistema y demostrar conformidad.

Cuándo una empresa privada también necesita ENS

Aquí está el punto que más confusión genera.

Una empresa privada no necesita ENS automáticamente solo por “trabajar con la Administración” en un sentido genérico. Lo correcto es decir que el ENS también se aplica a sistemas de información de entidades privadas cuando:

  • existe una relación contractual con una entidad del sector público;
  • la empresa presta un servicio o provee una solución;
  • y ese servicio o solución se utiliza para que la entidad pública ejerza sus competencias y potestades administrativas.

Este matiz es importante. No toda relación comercial con el sector público activa por sí sola el ENS en todos los casos. Pero sí es muy habitual que afecte a empresas privadas en escenarios como estos:

  • proveedores tecnológicos de organismos públicos
  • adjudicatarios de servicios TIC
  • empresas que gestionan plataformas, expedientes o datos para una Administración
  • integradores que despliegan o mantienen sistemas usados por entidades públicas
  • proveedores cloud, SaaS o soporte gestionado sobre sistemas incluidos en alcance
  • terceros que forman parte de la cadena de suministro del contratista principal cuando el análisis de riesgos lo exija

El contrato y los pliegos son decisivos

El propio RD 311/2022 establece que los pliegos administrativos o técnicos de los contratos del sector público deben contemplar los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas en los que se sustentan los servicios prestados por los contratistas. Entre esos requisitos puede incluirse la presentación de declaraciones o certificaciones de conformidad con el ENS.

Por eso, en la práctica, muchas organizaciones descubren que “necesitan ENS” por una combinación de tres factores:

  1. el servicio que prestan entra realmente en el ámbito del ENS;
  2. el sistema afectado soporta funciones o servicios públicos;
  3. el pliego o contrato exige conformidad, adecuación o evidencias relacionadas con el ENS.

Dicho de otra forma: no basta con mirar el nombre del cliente. Hay que revisar qué haces, sobre qué sistema lo haces y qué exige el contrato.

Entonces, ¿qué empresas deberían analizar ENS seriamente?

Aunque no todas estarán obligadas en idénticos términos, deberían analizar ENS con mucho cuidado las siguientes:

1. Proveedores TIC del sector público

Empresas que desarrollan, mantienen, administran o soportan plataformas, aplicaciones, redes o infraestructuras para organismos públicos.

2. SaaS y proveedores cloud con clientes públicos

Si tu solución soporta procesos, expedientes, datos o servicios utilizados por una entidad pública, es muy probable que el ENS aparezca en el contrato, en los requisitos técnicos o en la fase de homologación.

3. Consultoras e integradores

Sobre todo cuando implantan sistemas, identidades, monitorización, continuidad, ticketing, archivo, tramitación o servicios críticos para el ejercicio de competencias públicas.

4. Outsourcing y servicios gestionados

SOC, operación, soporte, administración de sistemas, service desk, gestión documental o servicios de continuidad pueden quedar dentro de alcance si soportan sistemas sometidos al ENS.

5. Contratistas con cadena de suministro relevante

El real decreto extiende esta cautela también a la cadena de suministro del contratista cuando sea necesario según el análisis de riesgos.

Quién no debería asumir automáticamente que necesita ENS

También es importante no sobreactuar.

No toda empresa privada necesita ENS por el simple hecho de haber vendido algo a una Administración o haber tenido una relación comercial puntual. La obligación no debe formularse de forma automática si no concurren los elementos del artículo 2.3 del RD 311/2022.

Por ejemplo, conviene analizar con más detalle casos como:

  • suministros no conectados al sistema afectado
  • servicios auxiliares sin impacto real en el sistema de información
  • relaciones comerciales donde no se soportan competencias públicas
  • colaboraciones donde el contrato no incorpora exigencias ENS ni el análisis de riesgos las activa

Aquí la respuesta técnica correcta no es “sí” o “no” sin más, sino: hay que revisar alcance, sistema, contrato, pliego y riesgo.

Señales de que probablemente sí necesitas ENS

Tu organización debería revisar ENS con prioridad si ocurre alguna de estas situaciones:

  • trabajas o quieres trabajar con una Administración pública;
  • el pliego menciona ENS, conformidad, declaración o certificación;
  • tu sistema trata información o presta un servicio para una entidad pública;
  • eres proveedor TIC, integrador, SaaS o servicio gestionado para el sector público;
  • un cliente público te pide evidencias de seguridad, categorización o adecuación;
  • estás en una cadena de suministro donde el contratista principal necesita demostrar conformidad.

ENS, ISO 27001 y NIS2: no son lo mismo

Otra duda habitual es pensar que tener ISO 27001 equivale automáticamente a cumplir ENS.

No es así.

ISO 27001 ayuda mucho porque aporta estructura de gobierno, riesgos, controles, evidencias y mejora continua. Pero el ENS tiene ámbito, principios, medidas, categorización y exigencias propias. La relación entre ambos puede ser muy útil, pero no son equivalentes. Esto es una inferencia técnica razonable a partir del marco legal y del propio diseño del ENS.

Lo mismo ocurre con NIS2: puede haber sinergias, reutilización de controles y evidencias, pero no conviene confundir marcos.

Enlaces:

Qué hacer si crees que tu empresa puede necesitar ENS

Si estás valorando si el ENS te aplica, el orden correcto suele ser este:

1. Revisar el contrato y los pliegos

Busca menciones a ENS, conformidad, declaración, certificación, categorización o requisitos de seguridad.

2. Delimitar el sistema afectado

No todo tu negocio entra necesariamente en alcance. Hay que identificar qué sistema, servicio, datos, activos y terceros están realmente implicados.

3. Analizar el encaje jurídico y operativo

Hay que confirmar si el servicio o solución se presta para el ejercicio de competencias y potestades administrativas, y cómo aterriza eso en el sistema.

4. Evaluar brechas y evidencias

Antes de hablar de auditoría o certificación, conviene hacer un gap analysis realista del punto de partida.

5. Planificar la adecuación

Con responsables, medidas, dependencias, evidencias y un roadmap defendible.

Para finalizar: quién necesita ENS de verdad

La respuesta correcta no es “solo las administraciones” ni tampoco “cualquier proveedor que les venda algo”.

La formulación más precisa es esta:

El ENS aplica directamente a todo el sector público y también puede aplicarse a sistemas de información de entidades privadas que, mediante relación contractual y conforme a la normativa aplicable, prestan servicios o proveen soluciones a entidades del sector público para el ejercicio de sus competencias y potestades administrativas. Además, los pliegos deben contemplar los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas implicados.

Por eso, si tu organización es proveedora tecnológica, adjudicataria, integradora, SaaS, servicio gestionado o tercero relevante del sector público, lo prudente no es esperar a que surja el problema en una licitación o auditoría. Lo correcto es revisar cuanto antes si el ENS te afecta y con qué alcance.

¿Tu empresa necesita ENS?

En Hard2bit te ayudamos a revisar si el ENS aplica realmente a tu organización, a delimitar el alcance, analizar brechas y preparar una adecuación defendible.

¿Tienes dudas sobre si tu empresa necesita ENS?

Revisamos contrato, pliegos, sistema afectado y punto de partida para darte un criterio técnico claro y un plan realista de adecuación.

Hablar con un especialista

1. ¿Quién está obligado a cumplir el ENS?

El ENS se aplica directamente a todo el sector público y también a sistemas de información de entidades privadas cuando, mediante relación contractual y conforme a la normativa aplicable, prestan servicios o proveen soluciones a entidades del sector público para el ejercicio de sus competencias y potestades administrativas.

2. ¿Toda empresa que trabaje con la Administración necesita ENS?

No necesariamente. No basta con tener un cliente público. Hay que analizar el servicio prestado, el sistema afectado, la relación contractual y lo que exigen los pliegos.

3. ¿Un proveedor tecnológico privado puede necesitar ENS?

Sí. El RD 311/2022 prevé expresamente la aplicación del ENS a sistemas de información de entidades privadas que prestan servicios o proveen soluciones a entidades del sector público en los términos del artículo 2.3.

4. ¿Los pliegos pueden exigir conformidad con el ENS?

Sí. El real decreto indica que los pliegos administrativos o técnicos deben contemplar los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas que sustentan los servicios prestados por contratistas, incluyendo declaraciones o certificaciones cuando proceda.

5. ¿La cadena de suministro también puede verse afectada?

Sí. El propio artículo 2 prevé que esta cautela se extienda a la cadena de suministro del contratista en la medida en que sea necesario y de acuerdo con el análisis de riesgos.

6. ¿ISO 27001 sustituye al ENS?

No. ISO 27001 ayuda mucho a estructurar gobierno, riesgos, controles y evidencias, pero el ENS tiene requisitos y alcance propios. Son compatibles, no equivalentes. Esta es una conclusión técnica basada en la distinta naturaleza de ambos marcos.

7. ¿Cómo sé si mi empresa entra en alcance ENS?

Hay que revisar contrato, pliegos, sistema afectado, tipo de servicio prestado y relación con las competencias públicas que soporta ese sistema.

8. ¿Qué tipo de empresas deberían revisar ENS con prioridad?

Proveedores TIC del sector público, integradores, SaaS, cloud, outsourcing, servicios gestionados y terceros que sostienen sistemas o servicios públicos.