Hard2bit implanta y adecua sistemas al Esquema Nacional de Seguridad (RD 311/2022) y acompaña durante la auditoría con ENAC. Con sedes en Leganés y Las Rozas, conocimiento del ecosistema AAPP madrileño y certificación ENS Alta propia. Para empresas, ayuntamientos y proveedores TIC de la Comunidad de Madrid.
Hard2bit Madrid pasa esta auditoría
ENS categoría ALTA
RD 311/2022 · cert. ENS_2.026.061 · ACCM · ENAC 48/C-PR503
En Madrid desde
2013 · 13 años
Sedes operativas
2 · Leganés + Las Rozas
Certificación propia
ENS · Alta + 5 ISO
Cualificación verificable
Estamos certificados en ENS categoría ALTA (RD 311/2022) y en ISO/IEC 27001:2022. Sumamos cinco certificaciones ISO propias y sello de Pyme Innovadora. La auditoría de nuestra propia ENS la lleva ACCM bajo acreditación ENAC. Cuando preparamos a un cliente madrileño, lo hacemos con criterio vivido — no con manual.
Resumen ejecutivo
Contexto local
Madrid concentra la mayor densidad de Administración Pública de España: ministerios, organismos autónomos y agencias estatales con sede en la capital, el gobierno autonómico de la Comunidad de Madrid, los 178 ayuntamientos de la región y el conjunto de organismos vinculados (consejerías, fundaciones públicas, empresas públicas, hospitales del SERMAS, universidades). El ecosistema ENS madrileño no es uno cualquiera — es probablemente el más exigente del país.
Dentro de ese ecosistema, los proyectos ENS suelen tener plazos comprimidos por contrato, pliegos detallados y necesidad de interlocución con responsables públicos en sesiones presenciales. Tener un consultor a treinta minutos en coche de la sede del cliente — no en una videollamada — cambia el ritmo del proyecto y el resultado de la auditoría con la entidad certificadora acreditada por ENAC.
Hard2bit lleva en Madrid desde 2013, con sedes operativas en Leganés (sur de Madrid) y Las Rozas (oeste). Conocemos pliegos, calendarios, criterios e interlocutores del sector público madrileño. Esa familiaridad acelera fases críticas: definición de alcance, categorización DICAT, recopilación de evidencias y acompañamiento durante la auditoría con la entidad acreditada.
Alcance del servicio
Ocho módulos que cubren el lifecycle completo: desde la categorización inicial hasta la auditoría interna anual y la renovación cada dos años. Se contratan completos o por módulos según punto de partida.
Análisis de impacto sobre las cinco dimensiones DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad) y determinación de la categoría correcta para defenderla ante un auditor ENAC.
Mapa claro de incumplimientos sobre las medidas del Anexo II, priorización por criticidad y esfuerzo, y separación de quick wins frente a trabajo estructural.
Evaluación formal de activos, amenazas, salvaguardas y riesgo residual con metodología MAGERIT. Base defendible para justificar decisiones ante auditor y comité.
Aterrizaje real: identidades en Entra ID, hardening, logging, copias, continuidad, terceros, cifrado, revisiones periódicas. No solo políticas, también operación.
Documentación mínima viable orientada a operación y auditoría. Sin inflar el sistema con papel irrelevante. Trazabilidad requisito → control → evidencia → responsable.
Estamos presencialmente en Madrid durante la auditoría oficial: atendemos requerimientos del auditor, organizamos evidencias en tiempo real, ayudamos a clarificar alcance y aspectos técnicos. La auditoría la lleva ACCM; nosotros estamos del lado del cliente.
El ENS exige revisión interna periódica del sistema. Actuamos como auditor interno externo (no la oficial — la interna obligatoria), generamos informe formal y plan de acción asociado.
Cadencia operativa entre renovaciones (cada 2 años en Media y Alta): revisión de cambios, actualización de evidencias, gestión de no conformidades, soporte continuo.
Metodología Hard2bit
Seis fases que cubren el ciclo completo del proyecto, desde el diagnóstico inicial hasta el mantenimiento entre renovaciones. Pensadas para proyectos en Madrid con presencia presencial cuando importa.
Definimos sistema en alcance, sedes, dependencias, terceros, sector público con el que se relaciona el cliente y plazo objetivo. En Madrid esto incluye habitualmente identificar contratos con Comunidad de Madrid, Ayuntamiento de Madrid u organismos vinculados.
Determinamos categoría (Básica, Media, Alta) sobre las cinco dimensiones DICAT con criterio justificable. Una categorización mal resuelta contamina todo el proyecto y se nota en sample real durante la auditoría ENAC.
Evaluamos brechas sobre las medidas del Anexo II del RD 311/2022. Generamos backlog priorizado con responsables, fechas y dependencias. Quick wins separados del trabajo estructural.
Riesgos formales compatibles con MAGERIT, decisiones documentadas (mitigar / aceptar / transferir / evitar), aterrizaje técnico de medidas e implantación de evidencias trazables.
Presenciales en Madrid durante la auditoría oficial. Atendemos peticiones del auditor en tiempo real, organizamos evidencias bajo demanda, ayudamos a clarificar alcance y aspectos técnicos. La auditoría la lleva la entidad acreditada; nosotros estamos del lado del cliente.
Tras la certificación: cadencia operativa, gestión de cambios relevantes, auditoría interna anual obligatoria y preparación de la renovación que llega cada 2 años en categorías Media y Alta.
Qué entregamos
Conjunto de artefactos que sostienen el ciclo de vida ENS, desde la categorización inicial hasta la auditoría interna anual. Toda la trazabilidad que pide la auditoría con la entidad certificadora acreditada por ENAC.
Categorización formal del sistema
Documento DICAT con análisis de impacto justificado y categoría asignada. La pieza que más mira un auditor ENAC al inicio del sample.
Gap analysis frente al RD 311/2022
Mapa medida-a-medida del Anexo II con estado actual, brecha, prioridad, esfuerzo estimado y dependencias.
Análisis de riesgos compatible MAGERIT
Activos, amenazas, vulnerabilidades, salvaguardas, riesgo residual y plan de tratamiento con criterio defendible.
Cuerpo documental: políticas, procedimientos, registros
Documentación mínima viable. Sin inflar. Estructura clara: política → procedimiento → registro → evidencia.
Trazabilidad requisito → control → evidencia → responsable
Tabla maestra que conecta cada medida del Anexo II con su evidencia operativa y su dueño. La pieza que recorre el auditor en sample.
Plan de adecuación priorizado
Backlog accionable con responsable, fecha, prioridad, evidencia esperada de cierre. Quick wins separados del trabajo estructural.
Acompañamiento presencial durante auditoría oficial
Presencia activa durante las jornadas de auditoría con la entidad certificadora acreditada por ENAC. Organización de evidencias bajo demanda, soporte a responsables, clarificación técnica.
Informe de auditoría interna anual
Auditoría interna ENS obligatoria con informe formal, hallazgos clasificados y plan de acción asociado. Evidencia que el sistema vive entre renovaciones.
Por qué Hard2bit Madrid
No somos un consultor remoto que dice ser de Madrid. Tenemos dos sedes operativas en la Comunidad: Leganés (sur de Madrid) y Las Rozas (oeste). Cogemos un coche y vamos. Para acompañamiento durante auditoría ENAC, sesiones de comité, talleres con responsables o presentaciones a dirección, la presencia presencial cambia el resultado.
Ver dónde estamos →Desde 2013 en Madrid. Conocemos pliegos, plazos, vocabulario, criterios e interlocutores del sector público madrileño: Comunidad de Madrid, Ayuntamiento de Madrid, los 178 ayuntamientos de la región y los organismos vinculados. Esa familiaridad acelera la adecuación y reduce fricción.
Sobre Hard2bit →Estamos certificados en ENS categoría ALTA (certificado nº ENS_2.026.061, emitido por ACCM bajo acreditación ENAC nº 48/C-PR503). Conocemos el proceso ACCM desde el otro lado de la mesa. Cuando preparamos a un cliente madrileño, lo hacemos con criterio vivido, no con manual.
Ver certificado verificable →Irene Ocando, responsable del departamento, audita en ISO 27001, ENS, NIS2 e ISO 22301. Thilina Manana, director de operaciones, es CQI IRCA ISO/IEC 27001:2022 Lead Auditor. Sabemos qué pregunta el auditor antes de que aparezca en sala.
Ver pilar Cumplimiento y GRC →Equipo especialista
Auditores con experiencia real en proyectos ENS y entidad certificadora ENAC. Los profesionales que firman las decisiones que después defiende tu organización ante el auditor.
Responsable de Proyectos de Ciberseguridad
Especialista senior en GRC y cumplimiento con más de 30 años de experiencia. Auditora en ISO 27001, ENS, NIS2, ISO 22301, ISO 20000-1 e ISO 9001. Máster en Data Science (UCAV/Indra). Interlocución directa con entidades certificadoras y experiencia en proyectos ENS en organismos públicos madrileños.
Director de Operaciones y Seguridad
Director de Operaciones y Seguridad y socio fundador. CQI IRCA ISO/IEC 27001:2022 Lead Auditor. Experiencia operativa en proveedores TIC del sector público madrileño y en proyectos de adecuación ENS sobre entornos cloud, M365 e híbridos.
Sectores en Madrid
La concentración de AAPP, sanidad pública, universidades, energía y entidades reguladas convierte a Madrid en un mercado donde el ENS aparece en sectores muy diversos.
Comunidad de Madrid, Ayuntamiento de Madrid, los 178 ayuntamientos de la región y organismos vinculados. ENS obligatorio. Categorías típicas: Media o Alta.
Hospitales, atención primaria, sistemas vinculados al SERMAS y centros privados con concierto público. Confluencia con NIS2 (sector esencial) y RGPD.
Universidades públicas y privadas con sede en Madrid, plataformas docentes, sistemas de gestión académica. Habitualmente Media; servicios críticos pueden requerir Alta.
Sector esencial bajo NIS2 con presencia fuerte en Madrid. ENS aplica cuando hay sistemas vinculados al sector público o concesiones administrativas.
Sector regulado bajo DORA. ENS aplica si hay relación con AAPP madrileñas (entidades públicas, fondos europeos, contratos institucionales). Reutilización de evidencias multi-marco.
Empresas tecnológicas en Madrid con clientes públicos o que aspiran a tenerlos. Categoría habitual: Media. Foco en aplicación, cloud, identidad y dependencias.
Caso anonimizado
Proveedor TIC con sede en Madrid prestando servicios a un organismo autonómico de la Comunidad de Madrid. Pliego del contrato exigía certificación ENS categoría Media en plazo de cinco meses. Categorización inicial estaba sesgada (categoría Básica auto-declarada que el sistema no soportaba). Reordenamos: categorización correcta a Media, gap analysis sobre medidas Anexo II, plan de adecuación priorizado, implantación de medidas técnicas en cloud y M365, acompañamiento presencial durante la auditoría con ACCM. Certificado emitido en plazo, sin no conformidades.
— Irene Ocando · Responsable de Proyectos de Ciberseguridad
Caso resumido y anonimizado por confidencialidad contractual. Detalles disponibles bajo NDA.
Preguntas frecuentes
Respuestas directas a las preguntas que más recibimos de CISO, IT Manager, responsables de cumplimiento y responsables de AAPP en la Comunidad de Madrid.
Sí. Hard2bit tiene dos sedes en la Comunidad de Madrid: Leganés (sur de Madrid) y Las Rozas (oeste). Operamos desde 2013. Para reuniones, sesiones de comité, talleres con responsables o acompañamiento durante auditoría ENAC, podemos estar presencialmente.
No. La auditoría oficial ENS la hace una entidad certificadora acreditada por ENAC (en muchos proyectos en Madrid, ACCM). Hard2bit hace todo lo que está antes y al lado: implantación, adecuación, análisis de riesgos, evidencias, acompañamiento durante la auditoría oficial y mantenimiento post-certificación. La separación es la correcta — un mismo proveedor no debería ser certificador y consultor.
Sí. Trabajamos tanto con organismos públicos (ayuntamientos y organismos autonómicos) como con proveedores TIC privados que tienen contratos con AAPP madrileñas. El conocimiento del ecosistema (pliegos, plazos, interlocutores) ahorra fricción durante el proyecto.
El marco normativo es el mismo (RD 311/2022) pero el alcance y la aproximación cambian. En AAPP el ENS suele aplicarse al sistema completo y la categorización tiende a ser Media o Alta por la naturaleza de los servicios. En empresa privada el ENS aplica al sistema o servicio bajo contrato con AAPP, y el alcance puede acotarse con criterio. La metodología que aplicamos se adapta al caso.
Habitualmente entre 6 y 12 meses para llegar a auditoría con sample limpio, según categoría (Básica, Media o Alta), número de sistemas en alcance, madurez tecnológica de partida y disponibilidad del equipo cliente. Organizaciones con ISO 27001 implantada pueden reducir plazo al reutilizar controles.
Trabajamos a demanda con ayuntamientos, organismos autónomos y entidades vinculadas a la administración local madrileña. Para ayuntamientos pequeños lo habitual es categoría Básica con autoevaluación; para los de tamaño medio y grande, Media con auditoría ENAC. Adaptamos esfuerzo y plazo al alcance real.
Las dos modalidades, según preferencia del cliente y fase del proyecto. Para diagnóstico inicial, talleres clave, sesiones de comité y acompañamiento durante la auditoría oficial recomendamos presencial siempre que sea posible (Madrid lo facilita por proximidad). Para revisión documental, configuración técnica y reportes mensuales, remoto.
Hard2bit es cliente de ACCM: ellos auditan y certifican nuestra propia ENS Alta cada 2 años bajo acreditación ENAC. Esa relación profesional nos da conocimiento real del proceso desde el lado del auditado. No somos parte de ACCM ni de ENAC; somos consultores que conocen el proceso desde fuera.
Sí, y suele compensar. Una implantación bien diseñada permite reutilizar políticas, inventarios, análisis de riesgos, controles, evidencias y reporting entre ENS, ISO 27001, NIS2 y DORA. Lo explicamos en la comparativa de los cuatro marcos.
Para acompañamiento durante auditoría ENAC, talleres con responsables, sesiones de dirección o trabajo estrecho con equipos técnicos, la presencia presencial cambia el resultado. Tener al consultor a 30 minutos en coche reduce ciclos de feedback y elimina fricción de coordinación remota cuando lo importante pasa en sala. Madrid es además el ecosistema con más densidad de AAPP en España — conocer ese ecosistema importa.
Depende de la categoría objetivo (Básica, Media, Alta), número de sistemas en alcance, madurez de partida, alcance documental y técnico, plazo y modalidad presencial/remota. La sesión inicial de diagnóstico es siempre el primer paso para acotar propuesta. Solicítala sin compromiso.
Sí. NIS2 convive con ENS en muchos sectores (sanidad, energía, transporte, AAPP). Diseñamos los proyectos con visión multi-marco para reutilizar evidencias y reducir esfuerzo. El equipo cubre ENS, ISO 27001, NIS2 e ISO 22301 con la misma metodología base.
Relacionados
Si necesitas la visión general del servicio ENS sin foco geográfico Madrid: lifecycle completo de adecuación al RD 311/2022.
Ver servicio ENS →Si tu auditoría ENAC está cerca: pre-auditoría, simulacros con preguntas reales, plan de cierre de gaps y acompañamiento.
Ver preparación auditoría ENS →Servicio operativo del ciclo de vulnerabilidades alineado con ENS — uno de los controles más auditados en categorías Media y Alta.
Ver gestión vulnerabilidades ENS →Patrón hermano: ISO 27001 con foco local Madrid. Compatible y reutilizable con ENS si se diseña con trazabilidad común.
Ver ISO 27001 Madrid →Para sectores esenciales o importantes bajo la directiva europea. ENS y NIS2 conviven habitualmente en sanidad, energía y AAPP.
Ver NIS2 →Visión side-by-side para entender solapamientos, secuencia óptima y reutilización de controles entre los cuatro marcos.
Ver comparativa →Hablamos en Madrid
Una sesión breve para diagnosticar dónde está el sistema, qué categoría encaja con el alcance, qué plazo es realista y cómo entrar a auditoría con la entidad certificadora acreditada por ENAC con criterio. Presencial en Leganés, Las Rozas o tu sede.
Página revisada: 2026-04-28. Hard2bit · Empresa de ciberseguridad en Madrid desde 2013 · Sedes en Leganés y Las Rozas · ENS categoría ALTA · ISO/IEC 27001:2022
Antes de irte…
Te damos un diagnóstico rápido de 15 min y te decimos qué priorizar primero: M365, pentesting, vulnerabilidades, SOC y/o DORA, NIS2, ENS o ISO 27001.
Sin spam. Respuesta en 24h.
