Proveedores de la AAPP: por qué necesitas ENS para licitar
Si tu empresa presta servicios TIC a cualquier administración pública española, el ENS es un requisito real en licitaciones. Explicamos por qué y cómo abordarlo.
Si tu empresa ha leído últimamente un pliego de contratación pública TIC, probablemente te habrá aparecido una cláusula pidiendo certificación ENS, conformidad con el RD 311/2022 o declaración responsable del cumplimiento. No es un detalle menor: sin ENS, o no puedes presentarte o tu oferta se descarta por incumplimiento de requisitos. Este artículo explica por qué el ENS se ha vuelto obligatorio para proveedores privados y cómo abordarlo sin morir en el intento.
Por qué te obliga aunque seas una empresa privada
El artículo 15 del RD 311/2022 establece que los servicios prestados por terceros a las entidades del sector público alcanzadas por el ENS deben cumplir con el propio marco. En la práctica, esto se traduce en cláusulas contractuales estandarizadas que exigen:
- Cumplimiento del ENS en la categoría correspondiente al sistema del cliente.
- Presentación del certificado ENAC dentro de un plazo determinado.
- Notificación al cliente de incidentes relevantes.
- Derecho de auditoría del contratante sobre el proveedor.
- Uso de productos certificados del catálogo CCN cuando proceda.
La entidad contratante es la responsable última del cumplimiento. Por eso no acepta “confianza ciega”: quiere documentalmente que tú cumples.
Qué exigen realmente los pliegos
Hay un abanico de formulaciones según la entidad:
Variante 1 — Certificación obligatoria en adjudicación
“El adjudicatario deberá presentar certificación ENS de categoría Media como requisito previo a la formalización del contrato.”
Es la más estricta: si no tienes el certificado, no firmas.
Variante 2 — Compromiso con plazo
“El adjudicatario se compromete a obtener la certificación ENS en el plazo máximo de 12 meses desde la formalización del contrato.”
Da margen pero es obligación contractual. Si no lo consigues, riesgo de resolución del contrato.
Variante 3 — Declaración responsable + evidencia
“El licitador presentará declaración responsable de cumplimiento del RD 311/2022 y, en el momento de la firma, las evidencias que demuestren la aplicación efectiva de las medidas del Anexo II.”
Admite formalmente no estar certificado, pero exige evidencias reales. Es más ambigua y arriesgada.
Variante 4 — Cláusula de cadena de suministro
“Los servicios prestados deberán cumplir con las medidas de cadena de suministro del ENS, incluyendo notificación de incidentes, derecho de auditoría y verificación de subproveedores.”
Aunque no exija certificación formal, fija obligaciones que sólo se cumplen con una gestión ENS sólida.
Qué categoría necesitas
Depende del cliente, no de ti. La categoría que exige el pliego debe alinearse con la del sistema contratado:
| Cliente / servicio | Categoría típica |
|---|---|
| Web informativa municipal | Básica |
| SaaS multi-ayuntamiento | Media |
| Sede electrónica AGE | Alta |
| Sanidad / hospitales | Alta |
| Interior / defensa | Alta (con requisitos reforzados) |
Si tu cartera es diversa, la recomendación práctica es certificarse en la categoría más alta a la que te vayas a presentar: el esfuerzo adicional entre Media y Alta es relevante pero no multiplicador, y te permite abordar todo el mercado.
Tiempos reales
Este es el gap que nos plantean más clientes: “nos han adjudicado y tenemos 6 meses para presentar el certificado”. ¿Es posible?
- Categoría Básica desde cero: 3–4 meses.
- Categoría Media desde cero: 5–7 meses.
- Categoría Alta desde cero: 7–10 meses.
Si ya tienes ISO 27001 implantado, los plazos se reducen un 30–40 %. Lo más crítico suele ser la agenda de la entidad certificadora, que en algunos periodos tiene lista de espera de 3 meses. Planifica la reserva con la entidad ENAC en paralelo al proyecto de implantación, no al final.
Cómo afrontarlo sin sobrecostes
1. Define el alcance mínimo viable
No certifiques toda la empresa: certifica la línea de negocio o el sistema que preste servicios al sector público. Reduce costes y complejidad.
2. Aprovecha infraestructuras cloud certificadas
Si tu sistema corre en AWS, Azure o GCP con servicios alineados al ENS, parte del cumplimiento lo heredas. Documenta qué medidas se transfieren y qué se quedan en tu ámbito.
3. Combina con ISO 27001 si ya la tienes
Los procedimientos de SGSI son reutilizables al 60–70 %. Evita crear documentación paralela.
4. Lleva contrato, AR y DA alineados
Las tres piezas deben coherenciar: lo que el contrato dice que ofreces, lo que el AR considera activo tuyo y lo que la DA dice que implementas.
5. Prepara evidencias desde el primer día
Trackea logs de cambios, actas de reuniones, registros de formación y revisiones de acceso desde el inicio del proyecto. Al llegar la auditoría, las evidencias deben cubrir al menos 3 meses previos.
El coste de no hacerlo
En los últimos 18 meses, varias empresas nos han llegado después de quedar fuera de adjudicaciones por no tener ENS. Una no certificación en el momento adecuado puede significar:
- Quedar eliminado del concurso en la fase de capacidades técnicas.
- Perder contratos plurianuales con administraciones recurrentes.
- Asumir cláusulas de cumplimiento forzado con plazos muy cortos.
- Pagar sobreprecios por “acelerar” la certificación en 3–4 meses cuando el proceso natural es 6–7.
Conclusión
Para cualquier empresa TIC cuya cartera incluya o pretenda incluir al sector público español, el ENS ya no es opcional. La buena noticia es que, con planificación, es perfectamente asumible para una pyme: el proyecto tipo cabe en 6 meses y, bien ejecutado, se convierte en un diferenciador competitivo frente a competidores que todavía no lo tienen.