Curso de Inteligencia Artificial Aplicada a la Contratación PúblicaVer más
Habla con un experto en contratación pública

Ciberseguridad en pliegos TIC: ENS y certificaciones | Tendios

Por:Icela MartinTactics
Ciberseguridad en pliegos TIC: ENS y certificaciones
Regístrate gratis

Los contratos TIC con la Administración no se ganan solo con la mejor propuesta técnica. Hoy, una parte creciente de los expedientes exige que el proveedor demuestre un nivel de seguridad acreditado antes incluso de que se valore la oferta.

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo, es el marco de referencia que las administraciones públicas españolas utilizan para establecer qué nivel de seguridad deben cumplir sus sistemas de información y, por extensión, los proveedores que acceden a ellos. Entender cómo funciona este marco, dónde aparece en los pliegos y qué certificaciones hay que acreditar marca la diferencia entre quedar excluido y puntuar al máximo en la valoración técnica.

Este artículo está dirigido a empresas TIC que ya licitan o que quieren empezar a licitar con el sector público: detalla qué exige el ENS, cómo se traslada a los documentos del expediente y qué errores conviene evitar al preparar la oferta.

Qué es el ENS y por qué aparece en los pliegos TIC

El Esquema Nacional de Seguridad es el conjunto de principios, políticas y requisitos mínimos que deben cumplir los sistemas de información utilizados por las administraciones públicas para proteger los servicios electrónicos que ofrecen a ciudadanos y empresas.

Su base legal está en el artículo 156 de la Ley 40/2015, de Régimen Jurídico del Sector Público (LRJSP), que obliga a todas las administraciones a adaptar sus sistemas al ENS. El Real Decreto 311/2022 desarrolla y actualiza ese marco, derogando el anterior Real Decreto 3/2010.

La clave para el licitador está en el alcance: el ENS no solo aplica a la administración, también aplica a los proveedores que prestan servicios o gestionan sistemas de información en nombre de una entidad pública. Cuando una empresa desarrolla software para una administración, gestiona su infraestructura de servidores o presta servicios en la nube que soportan sistemas administrativos, el pliego puede y suele exigir que esa empresa cumpla con el ENS.

El marco normativo del ENS en 2026

El Real Decreto 311/2022 establece tres categorías de sistemas según el impacto que tendría un incidente de seguridad sobre la prestación del servicio: BÁSICA, MEDIA y ALTA. La categoría determina las medidas de seguridad que hay que implementar, que se concretan en el Anexo II del mismo Real Decreto.

Junto al ENS, el panorama normativo de ciberseguridad en contratación pública se completa con la Directiva NIS2 (UE 2022/2555), que amplía el ámbito de entidades obligadas a adoptar medidas de ciberseguridad y cuya transposición al ordenamiento español afecta también al ecosistema de proveedores del sector público. La interacción entre ENS y NIS2 es un elemento que los pliegos más recientes ya empiezan a reflejar, aunque la transposición completa sigue en desarrollo normativo a la fecha de publicación de este artículo.

A qué proveedores afecta en la práctica

En muchos expedientes de contratación, el requisito ENS aparece cuando el contrato implica alguno de estos supuestos:

  • Desarrollo o mantenimiento de sistemas de información que tratan datos de la administración.
  • Prestación de servicios en la nube (IaaS, PaaS, SaaS) sobre los que se despliegan aplicaciones o servicios públicos.
  • Acceso a redes o sistemas internos de la entidad contratante.
  • Gestión o custodia de información clasificada o de carácter personal en sistemas de la administración.

Si el contrato no implica ninguno de estos supuestos, el pliego normalmente no exigirá ENS. Cuando sí los implica, conviene revisar con atención los documentos del expediente para identificar exactamente qué se pide y en qué categoría.

Cómo se exige el ENS en los pliegos de contratación

El ENS puede aparecer en el expediente en tres lugares distintos, con consecuencias diferentes para la empresa licitadora. Identificar en cuál está es el primer paso antes de decidir si se concurre y cómo se prepara la oferta.

Como requisito de solvencia técnica

El artículo 74 de la LCSP permite a los órganos de contratación exigir que los licitadores acrediten la solvencia técnica necesaria para ejecutar el contrato. El artículo 77 permite que dicha solvencia se acredite mediante certificados expedidos por organismos independientes acreditados.

Cuando el pliego establece la certificación ENS como requisito de solvencia, su ausencia provoca la exclusión automática del procedimiento. No se trata de un criterio que sume puntos: es una condición de acceso. En procesos reales de licitación TIC, este es el uso más habitual para contratos de categoría MEDIA o ALTA.

Como criterio de adjudicación

En otros expedientes, la certificación ENS o un nivel de madurez en seguridad se incluye como criterio de adjudicación evaluable mediante juicio de valor o mediante fórmula automática. En este caso, no tenerla no excluye, pero penaliza frente a competidores que sí la acreditan.

La forma concreta varía: algunos pliegos asignan puntos por la categoría de certificación (BÁSICA, MEDIA, ALTA), otros por el número de sistemas certificados, otros por disponer de un sistema de gestión de seguridad de la información (SGSI) certificado bajo ISO/IEC 27001. Al preparar la oferta técnica, es importante revisar los criterios de valoración con detalle y presentar la documentación de forma que el evaluador pueda otorgar la puntuación máxima sin ambigüedad. El artículo sobre cómo puntuar al máximo en la oferta técnica desarrolla esta lógica con más detalle.

Como condición especial de ejecución

Un tercer uso es incluir la certificación ENS como condición especial de ejecución: la empresa puede licitar sin ella, pero se obliga contractualmente a obtenerla o mantenerla durante la vigencia del contrato. Su incumplimiento puede dar lugar a las consecuencias que establezca el pliego al amparo del artículo 202 de la LCSP, incluyendo penalidades o, en su caso, la resolución del contrato.

Certificaciones que debes conocer como licitador TIC

Certificación ENS emitida por el CCN

La autoridad competente en materia de ENS es el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia. El CCN acredita a entidades de certificación que pueden auditar y certificar el cumplimiento del ENS en los sistemas de los proveedores.

La certificación de conformidad con el ENS se otorga para cada sistema de información concreto y para una categoría determinada (BÁSICA, MEDIA o ALTA). Esto tiene implicaciones prácticas: una empresa puede tener su plataforma de gestión de proyectos certificada en categoría MEDIA, pero si el contrato requiere categoría ALTA para el servicio en cuestión, esa certificación existente no es suficiente.

El CCN publica en su web el listado de entidades de certificación acreditadas y las guías de implantación de las medidas del Anexo II del RD 311/2022, conocidas como guías CCN-STIC. Son el documento técnico de referencia para cualquier empresa que quiera preparar su certificación.

ISO/IEC 27001 y su relación con el ENS

La norma ISO/IEC 27001 es un estándar internacional de gestión de la seguridad de la información (SGSI). Muchas empresas la confunden con el ENS o asumen que una certificación ISO 27001 es equivalente. No lo es, aunque hay solapamientos significativos en los controles.

El ENS es de obligado cumplimiento para los sistemas de las administraciones públicas españolas y para sus proveedores cuando aplica. ISO 27001 es voluntaria y de alcance más amplio. Algunos pliegos aceptan ISO 27001 como evidencia de madurez en seguridad de la información, especialmente en criterios de adjudicación, pero no como sustituto de la certificación ENS cuando esta se exige expresamente.

En la práctica administrativa, las empresas que disponen de ISO 27001 parten de una base de controles ya implementada que facilita la certificación ENS, pero necesitan completar los requisitos específicos del marco español, especialmente los relacionados con los marcos de gestión de incidentes y continuidad exigidos por las guías CCN-STIC.

Otras certificaciones complementarias

Dependiendo del tipo de contrato TIC, pueden aparecer en los pliegos otros requisitos de seguridad:

  • Common Criteria (Criterios Comunes): utilizada para certificar productos de seguridad como firewalls, sistemas de cifrado o plataformas de gestión de identidades. Relevante en contratos de suministro de hardware o software de seguridad.
  • LINCE: esquema de certificación del CCN más ligero y rápido para determinados productos. Pensado para pymes tecnológicas que desarrollan productos orientados al sector público.
  • ENS para servicios en la nube: el CCN ha desarrollado guías específicas (CCN-STIC 823) para la certificación de servicios cloud bajo el ENS, con categorías aplicables a los proveedores de infraestructura, plataforma y software como servicio.

Errores frecuentes al responder a requisitos de ciberseguridad en pliegos

Identificar los requisitos de ciberseguridad en el pliego es necesario, pero no suficiente. En procesos reales de licitación, los errores más habituales son:

Presentar certificaciones de alcance diferente al exigido. Una empresa puede tener su SGSI corporativo certificado bajo ISO 27001, pero si el pliego exige certificación ENS para el sistema concreto que va a gestionar, esa certificación no cumple el requisito. Es fundamental revisar el alcance de cada certificación antes de incluirla en la documentación.

No acreditar la vigencia de la certificación. Las certificaciones ENS están sujetas a auditorías de seguimiento periódicas. Presentar una certificación caducada puede ser causa de exclusión si se exige como solvencia, o de pérdida de puntos si se valora como criterio.

Confundir la declaración de aplicabilidad con la certificación. Una empresa puede tener elaborada su Declaración de Aplicabilidad (documento técnico interno del SGSI) sin haber obtenido la certificación externa. El pliego, cuando pide certificación, pide la externa.

No leer el nivel de categoría exigido. Acreditar certificación ENS en categoría BÁSICA cuando el pliego exige MEDIA es insuficiente. La categoría del sistema a certificar la determina el órgano de contratación en función de la información que maneja, no el proveedor.

Omitir la ciberseguridad en la memoria técnica. Aunque la empresa cumpla los requisitos de solvencia, algunos pliegos también valoran el enfoque metodológico de seguridad en la oferta técnica: plan de seguridad, gestión de incidentes, política de acceso. No desarrollar este apartado deja puntuación sobre la mesa. Tendios permite analizar los criterios de valoración del pliego y detectar qué apartados de la oferta técnica requieren más desarrollo antes de redactarla.

Para una comprensión más amplia de los aspectos de seguridad en el entorno del sector público, el artículo sobre seguridad de la IA en el sector público: ENS y RGPD complementa este enfoque desde la perspectiva de los sistemas de inteligencia artificial que las administraciones están desplegando.

Preguntas frecuentes sobre ciberseguridad en pliegos TIC

¿Es obligatorio tener certificación ENS para licitar contratos TIC con la Administración?

No en todos los casos. La certificación ENS es obligatoria como requisito de acceso cuando el pliego la establece expresamente como condición de solvencia técnica. En otros contratos puede ser un criterio de adjudicación (suma puntos pero no excluye) o no aparecer en absoluto. Depende del tipo de contrato, la información que maneja y la categoría del sistema según el RD 311/2022.

¿Qué diferencia hay entre categoría BÁSICA, MEDIA y ALTA del ENS?

Las tres categorías del ENS reflejan el impacto que tendría un incidente de seguridad sobre la prestación del servicio. La categoría BÁSICA aplica cuando el impacto sería limitado; MEDIA, cuando sería grave; y ALTA, cuando sería muy grave o afectaría a servicios esenciales. La categoría la determina el órgano de contratación mediante un análisis de impacto, y el proveedor debe certificar sus sistemas en la categoría que el pliego indique.

¿ISO 27001 sustituye al ENS en los pliegos?

No. ISO 27001 e ENS son marcos distintos con distinto alcance normativo. ISO 27001 es un estándar internacional voluntario; el ENS es un marco de obligado cumplimiento para el sector público español. Algunos pliegos aceptan ISO 27001 como criterio complementario, pero no como sustituto cuando el ENS se exige expresamente. Conviene leer con precisión qué acepta cada pliego concreto.

¿Cuánto tiempo lleva obtener la certificación ENS?

El plazo varía en función del estado de madurez de los controles de seguridad ya implantados en la empresa. Una organización que parte desde cero en categoría BÁSICA puede necesitar entre seis y doce meses para completar la implantación y superar la auditoría. Si ya se dispone de ISO 27001, el proceso puede acortarse. Para los contratos en los que la certificación se exige como solvencia, conviene planificar con antelación y no esperar a que aparezca la licitación concreta.

¿Qué pasa si el pliego exige ENS y la empresa no lo tiene todavía?

Si la certificación se exige como requisito de solvencia, la empresa queda excluida del procedimiento, sin posibilidad de subsanación en este punto. Si se exige como condición especial de ejecución al amparo del artículo 202 de la LCSP, la empresa puede participar pero se obliga a obtenerla durante la vigencia del contrato; su incumplimiento puede activar las consecuencias previstas en el pliego, incluyendo penalidades o la resolución contractual.

Conclusiones sobre ciberseguridad en contratación pública y ENS

La ciberseguridad en contratación pública ha dejado de ser un apartado secundario de la oferta técnica para convertirse en un requisito estructural en los contratos TIC con el sector público.

El ENS es el marco normativo de referencia en España, y su presencia en los pliegos seguirá creciendo conforme avance la transposición de la Directiva NIS2 y la administración digital. Para una empresa TIC que quiere competir en este mercado, obtener y mantener la certificación ENS adecuada no es solo un requisito puntual: es una ventaja competitiva sostenida.

Las claves prácticas para cualquier licitador son tres. Primero, revisar con atención cada expediente para identificar si el ENS aparece como solvencia, como criterio o como condición de ejecución, porque las consecuencias de no tenerlo son distintas en cada caso. Segundo, verificar que el alcance y la categoría de la certificación disponible coinciden con lo que pide el pliego. Tercero, desarrollar en la memoria técnica el enfoque de seguridad del proyecto, incluso cuando no sea obligatorio: es una oportunidad de diferenciación que muchos competidores desaprovechan.

Analizar el pliego en detalle antes de decidir si concurrir es siempre el punto de partida. Tendios permite identificar de forma rápida los requisitos técnicos y los criterios de valoración de cada licitación, reduciendo el tiempo necesario para tomar esa decisión con base sólida.

Icela Martin

Icela Martin

Legal Copywriter • Contratación Publica

Artículos relacionados