Obtener la certificación ENS: proceso, entidades acreditadas y tiempos orientativos
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La certificación ENS acredita que un sistema de información de categoría Alta cumple con todas las medidas de seguridad del Esquema Nacional de Seguridad. Es un requisito en muchos pliegos de contratación pública para sistemas críticos. El proceso sigue un camino predecible que conviene conocer antes de iniciarlo.
Puntos clave
- 1Solo los sistemas de categoría Alta requieren certificación por entidad acreditada por ENAC
- 2Los sistemas de categoría Medio y Bajo pueden acreditarse mediante auditoría interna o declaración de conformidad
- 3El proceso típico dura entre 6 y 18 meses desde el inicio del proyecto de adecuación
- 4La certificación tiene una vigencia de 2 años, con seguimiento anual intermedio
- 5Si la auditoría detecta no conformidades mayores, la entidad tiene un plazo para corregirlas antes de la certificación
- 6El CCN mantiene un registro público de sistemas certificados ENS
Fases del proceso de certificación ENS (nivel Alto)
El proceso tiene seis fases principales. La duración real depende del estado inicial del sistema y de la capacidad del equipo para implementar las medidas del Anexo II.
- Fase 1 — Clasificación: valoración de dimensiones de seguridad (Anexo I) y determinación del nivel del sistema
- Fase 2 — Análisis de brecha (GAP): comparar la situación actual con las medidas del Anexo II para el nivel High
- Fase 3 — Plan de adecuación: priorizar e implementar las medidas con mayor brecha
- Fase 4 — Preauditoría (opcional pero recomendada): revisión preliminar con la entidad certificadora para identificar problemas antes de la auditoría formal
- Fase 5 — Auditoría formal por entidad ENAC: revisión documental y técnica; puede incluir pruebas de penetración
- Fase 6 — Certificación y mantenimiento: emisión del certificado + seguimiento anual + recertificación bienal
Declaración de conformidad vs certificación formal
Para sistemas de categoría Baja, la entidad puede emitir su propia Declaración de Conformidad, firmada por el responsable del sistema y el responsable de seguridad. Para categoría Media se requiere auditoría (que puede ser interna o por entidad externa no necesariamente acreditada). Solo para categoría Alta se exige certificación por entidad acreditada por ENAC. La diferencia práctica es el nivel de independencia y rigor exigido.
Próximos pasos recomendados
- 1Verifica el nivel ENS de tus sistemas y qué tipo de acreditación requieren
- 2Realiza un análisis GAP para estimar el esfuerzo de adecuación
- 3Consulta el listado de entidades certificadoras acreditadas por ENAC para la categoría ENS
- 4Planifica el proceso con un margen de 6-12 meses antes de la fecha límite del contrato
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- RD 311/2022 arts. 38-41 (auditoría) — BOE — Artículos sobre auditoría y certificación en el ENS
- ENAC — Entidades acreditadas ENS — Buscador de entidades acreditadas por ENAC para certificación ENS
- CCN — Registro de sistemas certificados ENS — Registro público del CCN con los sistemas que tienen certificación ENS vigente
- CCN-STIC 826 — Auditoría del ENS — Guía del CCN sobre auditorías de sistemas en el marco del ENS
También en ENS