ENS para ayuntamientos: obligaciones y plazos reales
Guía específica para entidades locales: qué obliga el ENS a un ayuntamiento, qué nivel aplica según tamaño y cómo priorizar con recursos limitados.
Los ayuntamientos son, junto con las universidades, las entidades que más dificultades encuentran para adecuarse al Esquema Nacional de Seguridad: presupuestos limitados, equipos TIC pequeños (o inexistentes en municipios pequeños) y múltiples sistemas heredados con vida propia. En este artículo compilamos lo que hemos aprendido trabajando con entidades locales y cómo abordar el ENS cuando los recursos son un factor limitante.
El ENS te obliga igual que a la AGE
Aunque el “sistema” parezca más pequeño, la norma es la misma. El artículo 2 del RD 311/2022 incluye expresamente a las entidades de la Administración Local. No hay “régimen simplificado” por ser ayuntamiento pequeño, aunque sí hay herramientas y perfiles de cumplimiento específicos.
Qué categoría aplica a mi ayuntamiento
La categoría depende de los sistemas, no del tamaño del municipio. Ahora bien, para sistemas típicos de ayuntamientos:
| Sistema | Categoría habitual |
|---|---|
| Web informativa estática | Básica |
| Sede electrónica con registro | Media |
| Padrón municipal | Media/Alta según integración |
| Gestión de personal (nóminas, RRHH) | Media |
| Policía local (sistemas operativos) | Alta |
| Contratación pública | Media |
Un ayuntamiento pequeño suele tener un sistema “integral” que aglutina varios servicios bajo un único proveedor. En ese caso, la categoría del conjunto es la más alta de los servicios que soporta. Aquí conviene evaluar si separar sistemas ayuda a rebajar costes de cumplimiento.
Recursos del CCN específicos para EELL
El Centro Criptológico Nacional publica herramientas y guías pensadas para entidades locales:
- PILAR Basic: versión simplificada de PILAR específica para EELL.
- CLARA: auditoría automatizada de configuraciones.
- ANA: análisis de normativa ENS en web.
- Perfiles de cumplimiento ENS para EELL: el propio MPT (Ministerio de Política Territorial) y CCN trabajan en perfiles por tamaño de entidad que reducen el esfuerzo.
Antes de empezar desde cero, revisa qué ayuda hay disponible: puedes ahorrar semanas.
Cuando el equipo TIC es de 2 personas (o ninguna)
En muchos municipios de menos de 20.000 habitantes el “departamento de informática” es una persona o, directamente, no existe. Los servicios TIC se contratan a proveedores externos (diputación, empresa pública provincial, proveedores privados). Esto cambia completamente la estrategia:
1. Identifica qué has externalizado. Normalmente todo: infraestructura, aplicaciones, soporte, backup. Eso significa que buena parte del Anexo II la tiene que cumplir tu proveedor, y tú debes verificarlo contractualmente.
2. Revisa si tu proveedor ya tiene ENS. Muchos proveedores especializados en AAPP ya están certificados en Media o Alta. Si es así, puedes heredar su cumplimiento para las medidas que aplican a su parte, dejando en tu ámbito solo la parte organizativa y operativa propia.
3. Formaliza la relación. La clave es el contrato: cláusulas ENS, SLA, derecho de auditoría, notificación de incidentes. Si tu contrato no lo recoge, el auditor lo marcará como no conformidad.
La Diputación como aliado
En varias comunidades, las diputaciones provinciales ofrecen a los municipios servicios TIC con cobertura ENS incluida (plataformas electrónicas, sede, contratación, firma). Contratando a través de la diputación, el cumplimiento de buena parte del Anexo II se traslada a un proveedor público que ya está certificado. Esto es lo más barato y lo más seguro para municipios pequeños.
Plan de adecuación realista
Nuestra recomendación para un ayuntamiento medio (8.000–30.000 habitantes) partiendo de cero:
Meses 1–2 · Bases organizativas
- Política de seguridad aprobada por pleno o junta de gobierno.
- Nombramientos de responsables (alcalde/secretario → RSI / RdS / RdSi / RdSt).
- Inventario de sistemas y servicios.
- Categorización inicial.
Meses 3–4 · Diagnóstico y AR
- Revisión contractual de proveedores.
- Análisis de riesgos con PILAR Basic.
- Declaración de Aplicabilidad borrador.
Meses 5–7 · Implantación
- Brechas organizativas (procedimientos, registros).
- Brechas técnicas (control de acceso, backup probado, monitorización básica).
- Formación y concienciación al personal.
Meses 8–9 · Preauditoría y auditoría
- Revisión interna contra el Anexo II.
- Auditoría de certificación con entidad ENAC.
Un proyecto de este tipo, con categoría Media, suele costar entre 20.000 y 40.000 € (consultoría externa incluida, no inversión técnica). Hay subvenciones y programas (KitDigital, planes de la SEDIA, programas provinciales) que cubren una parte.
Los errores más caros en EELL
- Plantear el ENS como un proyecto de un año sin presupuesto para el mantenimiento. El certificado se renueva cada 2 años; si no hay presupuesto asignado, en la segunda auditoría tienes un problema.
- Delegar todo en un proveedor sin seguimiento interno. El ENS es tuyo, no del proveedor. Tienes que tener al menos una persona con visión del proyecto.
- Separar ENS de RGPD como si fueran mundos distintos. Son el mismo universo de protección. Plantearlos de forma integrada cuesta lo mismo.
- Dejar la formación para el final. La medida
mp.per.4aparece en cualquier auditoría. Prepárala desde el principio.
Qué hace CertENS con ayuntamientos
En nuestros proyectos con EELL buscamos tres objetivos: aprovechar al máximo la herencia de proveedores ya certificados (normalmente la diputación o un gran proveedor TIC), minimizar el papeleo nuevo usando plantillas y perfiles CCN, y formar a una o dos personas internas para que después del proyecto el ayuntamiento siga vivo sin depender de consultoría externa permanente.