Para comunidades autónomas, ayuntamientos, diputaciones, organismos autónomos, agencias estatales, defensa, justicia y proveedores TIC del sector público. Adecuación al ENS RD 311/2022, cumplimiento NIS2 como sector esencial y operación recurrente con criterio de CCN-STIC. Sin sustituir al auditor — del lado del cliente público.
Hard2bit pasa esta auditoría — credibilidad operativa ENS categoría ALTA RD 311/2022 · cert. ENS_2.026.061 · ACCM · ENAC 48/C-PR503 Subsectores
8 cubiertos · todos los niveles AAPP
Marco regulatorio
ENS · NIS2 · LRJSP · LPACAP · ENI
Modalidad
Compliance + técnica + DFIR unidos
Cualificación verificable
Hard2bit está certificada en ENS categoría ALTA (RD 311/2022) y en ISO/IEC 27001:2022. Pasamos nuestra propia auditoría con ACCM bajo acreditación ENAC cada dos años. Cuando una AAPP nos contrata, no entramos como consultor que explica el ENS desde fuera — entramos como organización que vive su propio ENS Alta y conoce el proceso desde el lado del auditado.
Resumen ejecutivo
Contexto sectorial
El sector público español opera bajo un marco normativo denso y específico: ENS RD 311/2022 obligatorio para todo el sector, NIS2 como sector esencial, RGPD régimen sector público, Ley 40/2015 y Ley 39/2015 definiendo la sede electrónica y el procedimiento administrativo, ENI para interoperabilidad y un cuerpo extenso de guías CCN-STIC como referencia técnica práctica. El cumplimiento no es opcional — es función pública.
Sobre ese marco se monta una realidad operativa con sus propias asimetrías: ayuntamientos pequeños y medianos con presupuesto IT limitado y proveedores TIC compartidos; sistemas heredados conviviendo con servicios al ciudadano modernos; sede electrónica como activo crítico visible; ransomware municipal como amenaza recurrente que paraliza padrón, recaudación y atención presencial; y un calendario administrativo (presupuestos, plenos, ejercicios) que marca los tiempos del proyecto IT más que cualquier roadmap técnico.
Hard2bit aborda el sector público combinando cumplimiento (ENS, NIS2, RGPD régimen sector público, integración con CCN-STIC), capacidad técnica recurrente (SOC/MDR, gestión de vulnerabilidades, hardening, auditoría infra) y respuesta lista para ransomware (retainer 24/7 + forense con cadena de custodia). Sin sustituir al auditor — siempre del lado del cliente público frente a la entidad acreditada por ENAC.
Audiencia
El sector público español tiene niveles muy distintos: estatal, autonómico, provincial, local. Y dentro de cada nivel, entes con necesidades operativas y regulatorias diferentes. Adaptamos el servicio a cada uno.
Gobiernos autonómicos, consejerías y direcciones generales con sistemas propios y servicios al ciudadano. ENS habitualmente categoría Media o Alta. Convivencia con NIS2 cuando hay infraestructura crítica autonómica.
Capitales de provincia, ayuntamientos medianos y pequeños municipios. Targets habituales de ransomware municipal con impacto directo en padrón, recaudación, registro y atención al ciudadano. ENS aplicable según categoría.
Administración intermedia con servicios compartidos, asistencia técnica a municipios pequeños y plataformas comunes (sede electrónica multi-municipal, padrón, recaudación). Adecuación ENS multi-entidad.
Entes con personalidad jurídica propia adscritos a ministerios o consejerías. ENS obligatorio con escenarios habituales en categorías Media o Alta según servicio prestado al ciudadano.
Empresas públicas (estatales, autonómicas o municipales) y fundaciones del sector público. ENS aplica al alcance vinculado al sector público; ISO 27001 habitual cuando hay clientela mixta privada y pública.
Sistemas vinculados a defensa, fuerzas y cuerpos de seguridad, protección civil y emergencias. Categoría ENS habitualmente Alta. Cruce con CCN-STIC, infraestructura crítica (Ley 8/2011) y normativa específica.
Sistemas de gestión judicial, fiscalía, registros (mercantil, propiedad, civil) y servicios asociados. Datos especialmente sensibles, trazabilidad procesal y arquitectura interconectada con AAPP.
Empresas privadas que prestan servicios tecnológicos a AAPP por contrato o adjudicación. ENS aplica al sistema o servicio bajo contrato. Categoría definida por el cliente público o por el alcance contratado.
Marco regulatorio
Marco denso pero coherente. Diseñamos los proyectos para reutilizar evidencias entre normas y reducir la carga documental que muchas veces ahoga al ente sin aportar seguridad real.
Esquema Nacional de Seguridad. Obligatorio para todo el sector público español y para sus proveedores TIC con contratos en alcance. Categorías Básica, Media o Alta según impacto sobre las dimensiones DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad).
Directiva europea de ciberseguridad. La administración pública es uno de los 11 sectores esenciales de NIS2. Aplica a entidades por encima de los umbrales fijados en la transposición nacional y a los proveedores TIC críticos del sector público.
Reglamento General de Protección de Datos y LOPDGDD con régimen específico para sector público: legitimación habitual por interés público o ejercicio de poderes públicos, registro de actividades de tratamiento obligatorio y régimen sancionador propio. Datos del ciudadano frecuentemente categoría especial.
Régimen jurídico del sector público y procedimiento administrativo común electrónico. Obligan a sede electrónica, registro electrónico, identificación y firma electrónica, archivo electrónico y notificaciones electrónicas. Marco operativo de gran parte del trabajo IT del ente público.
Marco de interoperabilidad para el sector público. Determina cómo intercambian información las AAPP entre sí y con el ciudadano. Convive con ENS y se complementa con guías técnicas CCN-STIC.
Cuerpo extenso de guías técnicas (más de 800 documentos) publicado por el CCN. Referencia operativa práctica para implantar ENS en sistemas reales: hardening, configuración segura por producto, gestión de incidentes, criptografía y arquitectura de seguridad.
Reglamento europeo de identificación electrónica y servicios de confianza (eIDAS) y normativa española asociada. Marco para firma electrónica, sello de tiempo, certificados cualificados y servicios de confianza esenciales en la sede electrónica del ente público.
Para AAPP responsables de infraestructuras críticas (energía, agua, transporte, comunicaciones públicas) o vinculadas. Convive con ENS y NIS2 con foco específico en operadores críticos designados por CNPIC.
Servicios Hard2bit aplicables
Diez servicios del catálogo Hard2bit aplicados al contexto AAPP. Se contratan completos, por bloques o como respuesta a incidente con retainer DFIR 24/7.
Adecuación al RD 311/2022 con categorización DICAT, gap analysis, plan, evidencias y acompañamiento durante la auditoría con la entidad acreditada. Reutilizable con NIS2 e ISO 27001.
Ver servicio ENS →Pre-auditoría, simulacros con preguntas reales, plan de cierre de gaps y acompañamiento presencial durante la auditoría oficial. Pensado para entes con auditoría próxima o renovación cada 2 años.
Ver preparación auditoría ENS →Servicio operativo del ciclo de vulnerabilidades alineado con cadencia ENS y evidencias defendibles para auditoría ENS. Una de las medidas más auditadas en categorías Media y Alta.
Ver gestión vulnerabilidades ENS →Cumplimiento NIS2 para entidades del sector público dentro del alcance de la directiva. Reutilización de evidencias con ENS para reducir esfuerzo y simplificar reporting al supervisor.
Ver servicio NIS2 →Detección, investigación y respuesta 24/7 con foco en escenarios de sector público: ransomware municipal, abuso de identidad sobre AD/M365, ataques a sede electrónica y precursores de exfiltración.
Ver SOC/MDR gestionado →Contrato 24/7 con activación en minutos y onboarding previo de readiness. Para ayuntamientos y organismos donde la capacidad interna de DFIR no existe y el incidente exige respuesta inmediata.
Ver retainer IR 24/7 →Revisión técnica de red, segmentación, Active Directory, M365/Entra ID, hardening y entornos híbridos. Backlog priorizado y plan 30/60/90 con evidencias útiles para auditoría ENS y supervisión.
Ver auditoría infra y red →Pentesting web, infra, identidades y cloud sobre sistemas del ente público. Especial cuidado con sede electrónica, servicios al ciudadano y sistemas administrativos críticos. Bajo protocolo de coordinación.
Ver pentesting →Investigación forense técnica con cadena de custodia para procedimientos disciplinarios, regulatorios o judiciales. Útil cuando hay incidente y se necesita trazabilidad para responsable del tratamiento o autoridad competente.
Ver forense digital →CISO virtual para ayuntamientos medianos y pequeños, fundaciones públicas y entes con plantilla limitada. Gobierno de seguridad, comités, relación con auditor y continuidad del marco entre proyectos.
Ver vCISO →Metodología Hard2bit
Seis fases adaptadas a la realidad institucional: marco normativo denso, calendario administrativo, dependencia de proveedores TIC y servicios al ciudadano como activo crítico.
Entendemos el tipo de ente (CCAA, ayuntamiento, organismo autónomo, fundación pública, agencia, defensa, justicia), los servicios al ciudadano, sistemas heredados, dependencia de proveedores TIC, marco contractual con la matriz superior y plazos administrativos.
Categorización ENS sobre sistemas en alcance. Mapa adicional de NIS2 si aplica por escala, RGPD régimen sector público, Ley 40/2015 y CCN-STIC relevantes. Sin sobre-inflar requisitos: lo que aplica de verdad.
Brechas sobre Anexo II del RD 311/2022 con backlog priorizado por bloqueantes / recomendados / opcionales. Quick wins para reducir exposición técnica antes de plazos contractuales del ente con su matriz superior.
Aterrizaje técnico de medidas: hardening, segmentación, M365/Entra ID, gestión de vulnerabilidades, monitorización, copias y continuidad. Las guías CCN-STIC son referencia operativa habitual en el sector público español.
Acompañamiento durante la auditoría con entidad acreditada. Reporting periódico al responsable de seguridad, comité de gobierno y, cuando aplica, a la matriz superior (consejería, ministerio, diputación).
Tras la certificación: cadencia operativa, gestión de cambios relevantes, auditoría interna anual obligatoria y preparación de la renovación que llega cada 2 años en categorías Media y Alta. Trabajo continuo, no proyecto puntual.
Por qué Hard2bit en AAPP
Hard2bit está certificada en ENS categoría ALTA (cert. ENS_2.026.061, ACCM bajo ENAC 48/C-PR503). Cuando una AAPP nos contrata, no entramos como consultor que explica el ENS desde fuera: entramos como organización que vive su propio ENS Alta y conoce el proceso desde el lado del auditado.
El sector público sufre ransomware con frecuencia. La capacidad combinada de cumplimiento (mantener evidencias y reporting), técnica (segmentación, hardening, monitorización) y respuesta a incidentes (retainer 24/7 + forense con cadena de custodia) reduce ventanas de respuesta cuando el incidente llega.
Operamos desde 2013. Sedes en Leganés y Las Rozas en la Comunidad de Madrid, donde se concentra la mayor densidad de AAPP española. Conocemos pliegos, calendarios administrativos, criterios e interlocutores del sector público español.
Por la naturaleza del sector público, no publicamos referencias nominativas de entes que nos contratan. Los detalles concretos se comparten en conversación directa con compromiso de confidencialidad por ambas partes.
Escenario representativo
Un ayuntamiento de unos 80.000 habitantes sufrió un ransomware con cifrado parcial de sistemas administrativos (padrón, recaudación, gestión interna) durante un fin de semana de puente. La capacidad técnica interna era limitada y el contrato con el proveedor TIC habitual estaba en proceso de renovación, lo que añadía complejidad de cambio durante el incidente. El proyecto se ordenó en cuatro frentes paralelos: contención y forense con cadena de custodia, recuperación de servicios al ciudadano priorizada (padrón y atención presencial primero, registro y recaudación después), reconstrucción del programa ENS desde categorización con la nueva cadena de proveedores, y plan de comunicación al ciudadano y al pleno municipal. La auditoría con la entidad acreditada se completó dentro del plazo administrativo del contrato; el incidente quedó documentado con lecciones aprendidas y se consolidó un retainer 24/7 para que el siguiente intento no encontrara la misma estructura.
Preguntas frecuentes
Respuestas directas a las preguntas que más recibimos de responsables de seguridad, secretarios, interventores y direcciones de informática del sector público.
Sí. El RD 311/2022 establece la obligación del ENS para todo el sector público español, incluidos ayuntamientos, comunidades autónomas, diputaciones, organismos autónomos, agencias estatales, fundaciones públicas y entidades vinculadas. La categoría aplicable (Básica, Media o Alta) depende del impacto que un incidente tendría sobre las dimensiones DICAT y sobre los servicios prestados al ciudadano.
No. La auditoría oficial ENS la realiza una entidad certificadora acreditada por ENAC (en muchos proyectos, ACCM). Hard2bit es consultor: implantamos, adecuamos, preparamos evidencias y acompañamos durante la auditoría con la entidad certificadora. La separación entre certificador y consultor es la correcta y es la que el sector público serio espera.
Sí. Adaptamos esfuerzo y modalidad al tamaño: para ayuntamientos pequeños lo habitual es categoría Básica con autoevaluación más vCISO; para los de tamaño medio, Media con auditoría ENAC. La diputación provincial o el cabildo insular suele ofrecer plataformas comunes que conviene aprovechar para no duplicar esfuerzo.
Es un escenario habitual y manejable si se gestiona bien. La adecuación ENS recae en el ente público (es el responsable del tratamiento y del sistema), no en el proveedor concreto. El cambio obliga a actualizar inventario, contratos, accesos, claves y trazabilidad de los nuevos servicios; la auditoría debe aceptar la transición si está documentada. Acompañamos esa transición sin cortar el ciclo.
La administración pública es sector esencial bajo NIS2 cuando supera los umbrales de la transposición nacional. ENS y NIS2 conviven y comparten la mayoría de evidencias si el proyecto se diseña con trazabilidad común. Lo explicamos en la comparativa de marcos.
Trabajamos con entes del sector público en categoría ENS Alta, lo que cubre la mayoría de escenarios institucionales no clasificados. Para tratamiento de información clasificada por el ENS o por normativa específica de defensa hay requisitos adicionales de acreditación que se valoran caso a caso antes de comprometer el alcance.
Habitualmente entre 6 y 12 meses para llegar a auditoría con sample limpio, según categoría, número de sistemas en alcance, madurez tecnológica de partida y disponibilidad de personal interno. Entes con ISO 27001 implantada o que reutilizan plataformas de su matriz superior pueden reducir plazo de forma significativa.
Sí. El retainer 24/7 incluye activación en minutos, bolsa de horas preventivas y onboarding previo de readiness sobre la arquitectura del ente. Pensado especialmente para ayuntamientos y entes pequeños donde la capacidad DFIR interna no existe y el ransomware no espera al horario de oficina.
Sí. El cuerpo CCN-STIC del Centro Criptológico Nacional es la referencia técnica habitual para implantar ENS en sistemas reales del sector público español. Lo usamos como base operativa para hardening, configuración por producto, gestión de incidentes y arquitectura de seguridad, complementado con guías internas y experiencia de proyecto.
Cuando aplica (consejería responsable, ministerio, diputación, autoridad competente NIS2 o CCN-CERT en incidentes), preparamos el reporting en formato útil para esa interlocución. La línea formal con la matriz superior la lleva siempre el ente público; nosotros aportamos la información técnica y las evidencias necesarias.
La sede electrónica y los servicios al ciudadano (padrón, recaudación, registro, citas previas) suelen ser los activos más expuestos y los que tienen mayor impacto reputacional si caen. Los tratamos como escenario crítico en categorización DICAT, en pentesting y en planes de continuidad. La caída de la sede electrónica es un evento que el ciudadano ve y el pleno juzga.
Operamos con compromiso de confidencialidad estricto como práctica habitual. No publicamos referencias nominativas de clientes del sector público en landing ni en materiales públicos. Detalles concretos en conversación directa.
Relacionados
Si tu ente público está en la Comunidad de Madrid: presencia presencial en Leganés y Las Rozas, conocimiento del ecosistema AAPP madrileño y acompañamiento on-site durante la auditoría.
Ver ENS Madrid →Para hospitales públicos, atención primaria pública y entidades sanitarias del sector público con ENS + NIS2 + RGPD reforzado por categoría especial de datos clínicos.
Ver sector sanidad →Detalle del servicio NIS2: alcance, encaje con ENS y RGPD, reporte de incidentes y reutilización de evidencias multi-marco.
Ver NIS2 →Lifecycle ENS sin foco geográfico ni sectorial: categorización, gap analysis, riesgos, medidas, auditoría y mantenimiento.
Ver servicio ENS →Side-by-side de los cuatro marcos para entender solapamientos y reutilización de controles entre ellos.
Ver comparativa →Visión transversal del pilar de gobierno, riesgos y cumplimiento que sostiene cualquier proyecto del sector público.
Ver pilar GRC →Hablamos
Una sesión breve para diagnosticar dónde está el sistema, qué marcos aplican (ENS, NIS2, ENI, CCN-STIC), qué riesgos son críticos para los servicios al ciudadano y dónde tiene sentido empezar. Conversación confidencial, sin compromiso.
Página revisada: 2026-04-28. Hard2bit · Empresa de ciberseguridad en España desde 2013 · ENS categoría ALTA · ISO/IEC 27001:2022
Antes de irte…
Te damos un diagnóstico rápido de 15 min y te decimos qué priorizar primero: M365, pentesting, vulnerabilidades, SOC y/o DORA, NIS2, ENS o ISO 27001.
Sin spam. Respuesta en 24h.
