Si tu empresa tiene contratos con la Administración Pública española — ayuntamientos, hospitales, colegios, el Gobierno de Navarra, organismos estatales — es posible que ya estés obligado a cumplir el Esquema Nacional de Seguridad (ENS). Y si no lo cumples, puedes estar en riesgo de perder licitaciones, ser penalizado o sufrir brechas de seguridad con graves consecuencias.
Dato clave: Desde la entrada en vigor del Real Decreto 311/2022, el ENS no es solo para las Administraciones Públicas. Todos los proveedores privados que prestan servicios digitales a organismos públicos también están obligados a alcanzar el nivel de adecuación correspondiente.
¿Qué es el Esquema Nacional de Seguridad?
El ENS es el marco normativo español que establece los principios y requisitos de seguridad que deben aplicar las Administraciones Públicas y sus proveedores en la protección de los sistemas de información. Fue creado por el Real Decreto 3/2010 y actualizado significativamente en 2022 con el RD 311/2022, que amplió su ámbito de aplicación y endureció los requisitos.
El ENS clasifica los sistemas en tres categorías según el impacto que tendría un fallo de seguridad:
- Categoría Básica: Impacto limitado. Afecta principalmente a sistemas de información internos con bajo nivel de confidencialidad.
- Categoría Media: Impacto grave. Sistemas que gestionan datos personales o información relevante para la organización.
- Categoría Alta: Impacto muy grave. Sistemas críticos cuyo fallo podría comprometer la continuidad de servicios esenciales.
¿A quién obliga el ENS en 2026?
Esta es la pregunta clave para muchas PYMEs en Navarra. El ENS es obligatorio para:
- Todas las Administraciones Públicas españolas (estatal, autonómica y local).
- Empresas privadas que contratan con la Administración y que gestionan sistemas o datos públicos en el marco de ese contrato.
- Proveedores tecnológicos (cloud, software, comunicaciones, ciberseguridad) que prestan servicios a organismos públicos.
- Empresas que participan en licitaciones públicas con componente tecnológico.
En términos prácticos: si tu empresa factura a un ayuntamiento, hospital, colegio público o cualquier organismo de la Administración de Navarra y el contrato implica el tratamiento de datos o acceso a sistemas de información públicos, probablemente estás obligado.
¿Qué implica cumplir el ENS para una PYME?
Adecuarse al ENS no implica necesariamente una inversión desproporcionada. El nivel de exigencia depende de la categoría del sistema y del alcance del servicio contratado. Para una PYME que trabaja con la Administración, el proceso típico incluye:
1. Análisis de brecha (GAP Analysis)
Evaluación del estado actual de seguridad de la empresa frente a los controles requeridos por el ENS. Identificamos qué medidas ya están implantadas y cuáles faltan.
2. Plan de adecuación
Diseño de un plan de acción priorizado para cubrir las brechas detectadas, con un calendario realista y una estimación de inversión ajustada al tamaño de la empresa.
3. Implementación de medidas de seguridad
Aplicación de controles técnicos y organizativos: políticas de seguridad, gestión de accesos, backups, cifrado, formación del personal, gestión de incidentes, etc.
4. Declaración de Conformidad o Certificación
Para categoría Básica, basta con una Declaración de Conformidad firmada por la dirección. Para Media y Alta, se requiere una auditoría de certificación realizada por una entidad acreditada.
¿Qué pasa si no cumplo el ENS?
Las consecuencias de no cumplir con el ENS cuando estás obligado a ello son relevantes:
- Pérdida de contratos públicos: Muchas licitaciones ya incluyen el cumplimiento ENS como requisito de participación o criterio de valoración.
- Responsabilidad civil y contractual: Si se produce un incidente de seguridad en sistemas públicos gestionados por tu empresa, la ausencia de medidas ENS puede agravarte la responsabilidad.
- Daño reputacional: Ser identificado como proveedor que no cumple la normativa de seguridad puede afectar a tu posicionamiento en el mercado.
- Sanciones: En el caso de empresas que gestionan datos personales en el entorno público, la infracción puede acumularse con sanciones RGPD.
¿Cómo puede ayudarte Tesicnor Cibersis?
En Tesicnor Cibersis acompañamos a PYMEs en todo el proceso de adecuación al ENS: desde el análisis de brecha inicial hasta la preparación para la certificación. Nuestro equipo cuenta con certificaciones específicas en ENS e ISO 27001, y conocemos la realidad de las empresas navarras que trabajan con la Administración.
El proceso es más sencillo de lo que parece cuando se aborda con metodología. En la mayoría de los casos, las empresas en categoría Básica pueden alcanzar la conformidad en 2-3 meses de trabajo estructurado.