Adecuación vs certificación ENS: diferencias prácticas
Adecuarse al ENS y certificarse en ENS no es lo mismo. Te explicamos cuándo basta con adecuación y cuándo el contrato o la norma te exige certificación.
En conversaciones con potenciales clientes aparece siempre la misma confusión: “queremos adecuarnos al ENS” y “queremos certificarnos en ENS” se usan como sinónimos, cuando no lo son. Entender la diferencia cambia el alcance del proyecto, el presupuesto y los plazos.
Definiciones rápidas
Adecuación: la organización implementa las medidas del ENS que le aplican. Es el cumplimiento efectivo del RD 311/2022. Es la obligación legal base.
Certificación: un tercero independiente acreditado por ENAC verifica que esa adecuación es real, cumple los criterios del esquema y puede emitir un certificado formal.
Dicho de otra forma: la adecuación se puede tener sin certificado; la certificación presupone adecuación y añade la evidencia externa.
Cuándo basta con adecuación
Varias situaciones:
1. Categoría Básica
En Básica, la norma admite declaración responsable publicada por la propia entidad. No hay certificación formal por ENAC. La adecuación documentada y firmada es el entregable.
2. Requisito interno sin exposición externa
Una entidad puede decidir adecuarse al ENS por política interna, sin necesidad de demostrarlo externamente. El valor está en la mejora de seguridad, no en un certificado para terceros.
3. Fase transitoria
Una organización puede estar adecuándose con vistas a certificarse en un segundo paso. Durante la adecuación ya cumple la obligación legal; la certificación llega después.
Cuándo necesitas certificación
1. Categoría Media o Alta por obligación legal
El artículo 31 del RD 311/2022 establece que los sistemas de categorías Media y Alta deben someterse a auditoría formal cada dos años. Esa auditoría, en la práctica, se acredita con certificación ENAC.
2. Requisito contractual
Cada vez más pliegos de licitación de las administraciones exigen certificación ENS por ENAC, no adecuación. Aquí la ley no obligaría, pero el contrato sí.
3. Diferenciación comercial
Para una empresa privada que trabaja con el sector público, el certificado ENS es un activo comercial: se adjunta en ofertas, se publica en la web, da credibilidad en auditorías de clientes.
4. Integración con otras normas
Si vas a certificarte en ISO 27001, NIS2 u otros esquemas, tener también ENS certificado facilita auditorías cruzadas y demuestra madurez.
Comparativa rápida
| Adecuación | Certificación | |
|---|---|---|
| Entrega | Declaración responsable / documentación interna | Certificado emitido por ENAC |
| Verificación externa | No | Sí, obligatoria |
| Auditoría | Interna (opcional) | Externa por entidad ENAC |
| Plazo | Variable | Auditoría cada 2 años |
| Coste adicional de auditoría | 0 | 6.000 – 25.000 € según categoría |
| Valor comercial | Limitado | Alto |
| Aceptación en licitaciones públicas | Parcial (depende del pliego) | Total |
| Aplicable a | Básica (por defecto) | Media y Alta (obligatorio) |
Errores habituales
1. Pensar que “adecuado” implica “certificado”. Una entidad puede estar perfectamente adecuada y no tener certificado. En ese caso, si un pliego pide certificación, no puedes concurrir.
2. Pensar que un “informe de cumplimiento” hecho por un consultor es un certificado. No lo es. Solo una entidad acreditada por ENAC puede emitir certificado ENS.
3. Presentar una declaración responsable para categoría Media. Error técnico grave: en Media la vía es la certificación.
4. Mezclar “auditoría interna” y “auditoría de certificación”. Son fases distintas. La auditoría interna es un control propio (muy recomendable); la de certificación es la externa ENAC.
El proceso “adecuación primero, certificación después”
Es el patrón que recomendamos para la mayoría de los proyectos:
- Fase 1 — Adecuación (3–6 meses): diseño, implementación de medidas, documentación. Al terminar, la organización cumple el RD 311/2022.
- Fase 2 — Preauditoría interna (4–6 semanas): revisión independiente contra el Anexo II. Ajustes finales.
- Fase 3 — Certificación (4–8 semanas): auditoría ENAC, cierre de hallazgos, emisión de certificado.
Abordarlo como un único bloque “adecuación + certificación” desde el inicio reduce retrabajo frente a la alternativa de adecuarse sin pensar en auditoría y luego “adaptar para certificar”.
Qué elegir para tu caso
- Si eres un ayuntamiento pequeño con sistemas de categoría Básica: declaración responsable, y vida.
- Si eres proveedor privado de AAPP: certificación. Sí o sí.
- Si eres universidad o entidad con sistemas Media/Alta: certificación, es obligatoria.
- Si eres una empresa que quiere diferenciarse sin ser proveedor público todavía: adecuación primero, certificación si lo exige un cliente concreto.
Conclusión
Adecuación y certificación no compiten: certificación implica adecuación. La decisión real es si tu caso exige la verificación externa ENAC o basta con la demostración interna. La respuesta honesta suele depender tanto del marco legal como del contexto comercial.