Saltar al contenido
CertENS
EN
Auditoría

Renovación bienal: preparando la segunda auditoría

Cómo preparar la renovación de la certificación ENS dos años después: qué revisará el auditor, qué suele fallar y cómo llegar sin sobresaltos.

6 min de lectura Marta Ribó · Responsable de Certificación · CertENS

Conseguir la certificación ENS es un hito, pero mantenerla es el verdadero trabajo. Dos años después llega la renovación, y la experiencia nos dice que muchas organizaciones llegan peor a la renovación que a la primera auditoría. Suena paradójico pero tiene explicación. Este artículo cuenta qué pedirá el auditor en la segunda auditoría y cómo evitar los errores típicos.

Qué es formalmente la renovación

El RD 311/2022 establece que la certificación ENS tiene vigencia de dos años. A partir de ese plazo, hay que someterse a una nueva auditoría por una entidad acreditada por ENAC. El alcance es completo (no es una “revisión ligera”): el auditor volverá a verificar toda la DA.

Eso sí, habitualmente tenéis la ventaja de que parte del trabajo documental ya existe.

Por qué mucha gente llega mal a la renovación

Tras conseguir el certificado, hay un efecto relajación casi inevitable. El equipo está cansado, el presupuesto se redirige a otros proyectos, el Comité de Seguridad deja de reunirse con la misma frecuencia, las revisiones se posponen. Dos años después aparece la renovación y el equipo vuelve a correr.

Síntomas habituales:

  • Documentación no se ha actualizado desde el día de la certificación.
  • No hay evidencia de actas del Comité de los últimos 12 meses.
  • No se han realizado simulacros de continuidad ni restauraciones de backup.
  • El inventario ha crecido (cloud) sin actualizar.
  • Varios procedimientos están obsoletos por cambios de herramientas.
  • Cambios de personal sin actualizar nombramientos.

La renovación destapa cada uno de estos puntos.

Qué pedirá el auditor concretamente

Evidencia de operación continua

No le interesa que “tengas documentación”: le interesa que el sistema ha vivido estos 2 años. Eso se demuestra con:

  • Actas de Comité de Seguridad, mínimo 2 al año.
  • Registros de revisión del AR y la DA (al menos anual).
  • Registros de pruebas de continuidad y backup.
  • Registros de formación anual.
  • Registros de simulacros de phishing y de incidentes.
  • Registros de incidentes y su gestión.
  • Tickets de vulnerabilidades cerradas con evidencia.

Sin estos, por muy bonita que esté la documentación base, hay no conformidades.

Actualizaciones normativas y cambios

En dos años, cambia la normativa. El auditor pregunta cómo habéis incorporado:

  • Nuevas versiones de guías CCN-STIC.
  • Transposición NIS2 (si aplica).
  • Nuevos marcos europeos (AI Act, EUCS).
  • Revisiones del catálogo MAGERIT.

Si vuestro sistema no ha reflejado ninguna actualización en 2 años, es sospechoso.

Cambios en el sistema

El sistema certificado hace 2 años probablemente ha cambiado: nuevas aplicaciones, migraciones cloud, cambios de proveedores, ampliación de alcance. El auditor revisa:

  • Actualización del inventario de activos.
  • Recategorización si procede.
  • Actualización del AR por los cambios.
  • Actualización de la DA.
  • Control de cambios formalizado.

Hallazgos anteriores

Las no conformidades de la primera auditoría deben estar cerradas con evidencia. El auditor las revisará específicamente, una por una.

Plan de mejora

El plan de mejora definido tras la primera auditoría debe haber generado resultado. Pregunta: “¿qué acciones se han ejecutado del plan de mejora? ¿con qué resultado?”.

Cronograma recomendado para la renovación

12 meses antes

  • Revisión del plan de mejora vigente: ajustar prioridades.
  • Presupuestar la renovación en el plan anual.
  • Confirmar auditora (puede ser la misma o distinta).

6 meses antes

  • Inicio formal del proceso interno de renovación.
  • Revisión exhaustiva del AR: actualizar activos, amenazas, riesgos.
  • Revisión de la DA: actualizar medidas, refuerzos, justificaciones.
  • Revisión de la Política de Seguridad: si ha cambiado el contexto, actualizar.

4 meses antes

  • Preauditoría interna o externa independiente.
  • Identificación de gaps y actualización.
  • Ejecución de pruebas pendientes (continuidad, restauración).

2 meses antes

  • Cierre de gaps identificados en preauditoría.
  • Consolidación de evidencias de los 2 años.
  • Índice de evidencias por medida listo.

1 mes antes

  • Logística de auditoría: sala, interlocutores, materiales.
  • Briefing al equipo.
  • Última revisión general.

Día D

  • Auditoría formal en sitio.

Qué hacer si has dejado todo para el último mes

Sí, pasa. Si te encuentras a 4-6 semanas de la renovación y no has hecho nada, este es el orden de urgencia:

  1. Evidencias operacionales de los últimos 12 meses. Si faltan actas, reuniones, formación, es lo más visible y lo más urgente.
  2. Restauración de backup documentada. Una prueba ahora con acta vale más que nada.
  3. Actualización de inventario y AR. Revisión rápida pero formal.
  4. Hallazgos de la primera auditoría: verificar cierre.
  5. Preauditoría exprés con consultor externo.
  6. Resto: asumir que habrá no conformidades menores y planificar su cierre.

Llegar “justo” es posible pero doloroso. Prepararse con 6 meses es la forma civilizada.

Qué se hace más ligero respecto a la primera vez

Buenas noticias: no todo es tan costoso. Partes que se hacen más rápido:

  • Redacción base de documentos ya existe.
  • El equipo conoce el proceso.
  • La auditora no necesita explicación del contexto.
  • Los entrevistados saben qué esperar.
  • El auditor valora la madurez demostrada en 2 años.

Lo que realmente pesa es la evidencia operacional, que no se puede improvisar.

Cambios de categoría o alcance

Si en estos 2 años ha cambiado sustancialmente el sistema (por ejemplo, ha subido de Media a Alta, o has ampliado el alcance a otra línea de negocio), la renovación requiere más trabajo, porque efectivamente es una nueva certificación. No intentes esconder cambios: el auditor los detecta y genera desconfianza.

Si cambias de auditora

Puedes cambiar de entidad certificadora en la renovación. Ventajas: fresh look, posibles descuentos competitivos. Desventajas: la nueva auditora puede interpretar algunas medidas de forma distinta y generar hallazgos sobre temas que tu auditora anterior validaba. Valorar con cuidado.

Costes de la renovación

Aproximadamente:

  • 60-80% del coste de auditoría del primer año.
  • 20-40% del coste de consultoría del primer año.
  • 0-20% de inversión técnica adicional (solo para tapar gaps).
  • Horas internas: similares o algo menores si el equipo está preparado.

Total: pensar en 40-60% del proyecto inicial.

Errores típicos en la renovación

  • No reunir Comité de Seguridad durante 18 meses.
  • No ejecutar pruebas de restauración ni simulacros.
  • Registros de formación inexistentes.
  • Inventario desactualizado pese a cambios grandes.
  • Cambios de personal sin actualizar nombramientos.
  • Proveedores nuevos sin cuestionario ni contrato con cláusulas.
  • Dejar el plan de mejora sin acciones visibles.

Recomendación final

La renovación es el momento en que se ve si la implantación ENS era un check-box o un sistema real. Organizaciones que mantienen disciplina en el Comité, las revisiones y las pruebas, llegan a la renovación con menos estrés que a la primera auditoría. Si tu certificado expira en 12 meses, ahora es el momento de planificar. Si expira en 6, ya.

Sigue leyendo

Auditoría

Checklist de preparación para la auditoría de certificación

Lista de comprobación exhaustiva para llegar a la auditoría ENAC con la máxima solvencia: documentación, evidencias, equipo y sala.

7 min
Auditoría

Plan de mejora continua tras la certificación ENS

Cómo mantener vivo el sistema ENS entre auditorías: KPI, revisión periódica, auditoría interna y plan de mejora para llegar a la siguiente renovación sin sorpresas.

5 min
Auditoría

No conformidades típicas en auditorías ENS y cómo evitarlas

Las 10 no conformidades que más veces detecta el auditor en una certificación ENS y qué hacer para que no aparezcan en tu informe.

7 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu