ENS · 19 de julio de 2026

El RD 311/2022 y las empresas privadas: a quién afecta y por qué

El error más extendido sobre el Esquema Nacional de Seguridad es creer que solo atañe a las administraciones públicas. La realidad es que miles de empresas privadas están obligadas a cumplirlo, y muchas lo descubren demasiado tarde, cuando ya han perdido una licitación o enfrentan consecuencias contractuales.

El error más común: pensar que el ENS es solo para la Administración

Cuando hablamos con empresas de tecnología, consultoría o servicios gestionados que trabajan con la Administración Pública española, una de las primeras preguntas que surge es: ¿el ENS nos aplica a nosotros? La respuesta, en la gran mayoría de los casos, es sí.

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, no limita su ámbito de aplicación a las entidades del sector público. Establece que las organizaciones del sector privado que prestan servicios a las administraciones o tratan información de estas también quedan sujetas a sus requisitos en la medida en que esos servicios o tratamientos de información están afectados.

Qué dice el RD 311/2022 sobre el ámbito de aplicación

El artículo 3 del Real Decreto 311/2022 define el ámbito subjetivo de aplicación del ENS. Quedan incluidas expresamente:

  • La Administración General del Estado.
  • Las Administraciones de las Comunidades Autónomas.
  • Las Entidades que integran la Administración Local.
  • El sector público institucional (organismos autónomos, entidades públicas empresariales, agencias estatales, fundaciones del sector público, etc.).
  • Las universidades públicas.

Hasta aquí, el sector público. Pero el apartado 2 del mismo artículo 3 extiende la obligación a las entidades del sector privado cuando actúen en nombre o por cuenta de las entidades del sector público para el ejercicio de potestades administrativas, así como cuando los sistemas de información de dichas entidades privadas traten información de la Administración o estén conectados a sus sistemas.

Esta extensión es la que convierte el ENS en una obligación para miles de empresas privadas que no siempre son conscientes de ello.

Empresas privadas que prestan servicios a las AAPP: la obligación derivada

La obligación del sector privado no es directa en todos los casos: surge en el momento en que la empresa contrata con la Administración o gestiona sistemas o información de titularidad pública. La lógica es coherente: si una empresa privada gestiona el sistema de gestión tributaria de un ayuntamiento, o proporciona servicios cloud donde se almacenan expedientes administrativos, los riesgos de seguridad de esa empresa son riesgos de seguridad de la propia Administración.

La obligación se transmite a través de la relación contractual. La Administración contratante es responsable de exigir al proveedor privado el cumplimiento del ENS en los sistemas y servicios afectados por el contrato. Y el proveedor privado, al aceptar las condiciones del contrato, asume esa obligación.

Sectores más afectados

La experiencia práctica muestra que las empresas privadas con mayor exposición a la obligación ENS pertenecen a los siguientes sectores:

  • Telecomunicaciones y conectividad: empresas que proporcionan acceso a red, VPN corporativas o servicios de comunicaciones a organismos públicos.
  • Proveedores de servicios en la nube (cloud): infraestructura, plataformas y software como servicio donde la Administración almacena o procesa información.
  • Outsourcing de TI: empresas que gestionan los sistemas de información de organismos públicos de forma externalizada.
  • Consultoría tecnológica: empresas que desarrollan, mantienen o configuran sistemas de información para la Administración.
  • Desarrollo de software a medida: cualquier proveedor que entrega software que se despliega en entornos de la Administración o que accede a sistemas públicos mediante API.
  • Centros de datos: operadores de instalaciones donde se alojan sistemas de la Administración.
  • Seguridad gestionada: empresas que operan SOC, gestionan cortafuegos o realizan monitorización de seguridad para organismos públicos.

La Ley de Contratos del Sector Público y los pliegos de licitación

La Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, establece el marco bajo el que la Administración licita y adjudica contratos. En los pliegos de prescripciones técnicas de contratos de servicios TI, es cada vez más frecuente encontrar cláusulas que exigen explícitamente la conformidad con el ENS como requisito de solvencia técnica o como obligación contractual durante la vigencia del contrato.

Esto tiene consecuencias directas en el proceso de licitación:

  • Una empresa que no disponga de la certificación ENS exigida puede ser excluida de la licitación en la fase de verificación de requisitos de solvencia.
  • Una empresa adjudicataria que incumpla los requisitos ENS durante la ejecución del contrato puede estar incursa en causa de resolución contractual.
  • En contratos de categoría ALTA, la exigencia de certificación por entidad acreditada ENAC es habitual y no negociable.

Plazos: las disposiciones transitorias del RD 311/2022

El RD 311/2022 estableció un régimen transitorio para dar tiempo a las organizaciones a adaptarse. Las entidades del sector público y sus proveedores privados tuvieron hasta el 5 de mayo de 2024 para adecuar sus sistemas a los nuevos requisitos introducidos por el Real Decreto (las novedades respecto al ENS anterior de 2010).

A partir de esa fecha, los organismos de supervisión y los órganos de contratación pueden exigir la acreditación de conformidad sin período de gracia. Las organizaciones que aún no han iniciado el proceso de adecuación están en situación de incumplimiento.

Qué pasa si no cumples

Las consecuencias del incumplimiento del ENS para una empresa privada proveedora de la Administración son fundamentalmente de naturaleza contractual y comercial:

  • Exclusión de licitaciones: si el pliego exige certificación ENS y la empresa no la tiene, no puede concurrir a esa licitación.
  • Resolución del contrato: si el incumplimiento se produce durante la ejecución de un contrato vigente, la Administración puede resolverlo con las consecuencias económicas que ello implica.
  • Responsabilidad civil: si un incidente de seguridad en los sistemas del proveedor causa daños a la Administración o a terceros, la ausencia de medidas ENS puede agravar la responsabilidad del proveedor.
  • Pérdida de competitividad: en un mercado donde el cumplimiento ENS es cada vez más un requisito de facto, no tenerlo significa quedar fuera de un segmento de negocio relevante y creciente.

Checklist: ¿está tu empresa obligada?

Para determinar si el ENS aplica a tu organización, responde estas preguntas:

  • ¿Tu empresa presta servicios de TI, telecomunicaciones, cloud o consultoría a alguna entidad del sector público español?
  • ¿Tu empresa gestiona, almacena o procesa información de titularidad de la Administración?
  • ¿Los sistemas de tu empresa están conectados, directa o indirectamente, a sistemas de la Administración?
  • ¿Tu empresa desarrolla, mantiene o soporta software que se ejecuta en entornos de la Administración?
  • ¿Los pliegos de los contratos que tiene o a los que aspira tu empresa incluyen requisitos de seguridad referenciando el ENS o el RD 311/2022?

Si has respondido afirmativamente a alguna de estas preguntas, el ENS aplica a los sistemas y servicios afectados por esa relación con la Administración. El alcance de la obligación está delimitado por el contrato: solo los sistemas y la información relacionados con la prestación del servicio a la Administración deben estar en conformidad.

El primer paso concreto es identificar esos sistemas, categorizarlos según el Anexo I del ENS e iniciar el análisis de brecha entre el estado actual y los requisitos aplicables. Con ese mapa en la mano, la planificación del proyecto de adecuación es una tarea manejable.

Determina si el ENS te aplica

Nuestros expertos pueden ayudarte a analizar tu situación, definir el alcance y planificar la adecuación al ENS con el menor coste y en los plazos que necesitas.

Consultar con un experto →
← Volver al Blog ¿Necesitas ayuda con tu organización? Contáctanos