ENS RD 311/2022 en 2026: Como los proveedores privados de gestion documental deben certificarse o quedar fuera de la licitacion publica | Arhivix

ENS RD 311/2022 en 2026: Como los proveedores privados de gestion documental deben certificarse o quedar fuera de la licitacion publica

19 de mayo de 2026 Arhivix Team 8 min
ENS RD 311/2022 en 2026: Como los proveedores privados de gestion documental deben certificarse o quedar fuera de la licitacion publica

El cierre de la ventana de transicion en 2024 marca el regimen 2026

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), introdujo una version ampliada del marco anterior (RD 3/2010) y, lo mas relevante para el sector privado, extendio el ambito de aplicacion a todas las entidades del sector privado que presten servicios o aporten soluciones al sector publico. La disposicion transitoria unica concedio un periodo de 24 meses, finalizado el 4 de abril de 2024, para que dichas entidades obtuvieran su certificacion. A partir de esa fecha, el cumplimiento del ENS es exigible en cualquier procedimiento de contratacion publica.

Durante 2024 y 2025 numerosos organos de contratacion permitieron presentar el compromiso de certificacion como sustitutivo, exigiendo el certificado antes del inicio efectivo del servicio. En 2026 esa flexibilidad ha desaparecido: las mesas de contratacion exigen el certificado vigente en el momento de la apertura de las ofertas. Un proveedor sin ENS certificado queda excluido en el primer filtro, sin posibilidad de subsanacion.

Quien es proveedor privado a efectos del ENS

El termino entidad del sector privado bajo el RD 311/2022 cubre una gama amplia que muchas empresas no anticipan:

  • Empresas SaaS que ofrecen gestion documental, firma electronica, archivado, mensajeria certificada a una administracion publica
  • Integradores y consultoras que despliegan, mantienen o desarrollan sistemas para entidades publicas
  • Proveedores de hosting y cloud cuyas infraestructuras alojen datos o procesos de un organismo publico
  • Empresas de digitalizacion de archivos y custodia documental
  • Editores de software cuyo producto se instala en infraestructura publica, aunque la operacion no la realice el proveedor
  • Subcontratistas a cualquier nivel de la cadena: si un consultor contratado por una empresa que tiene contrato con la administracion toca un sistema, el subcontratista tambien debe estar en regla

El criterio que aplican los pliegos es funcional: si el servicio puede afectar a la seguridad de la informacion o de los servicios de la administracion contratante, hay que cumplir el ENS. La lectura restrictiva (solo aplica a quien firma directamente con la administracion) ha quedado descartada por las directrices del CCN-CERT y por la jurisprudencia administrativa de 2024-2025.

Categorias Basica, Media y Alta: cual aplica

El ENS clasifica los sistemas en tres categorias en funcion del impacto que una eventual incidencia produciria sobre cinco dimensiones (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad):

  1. Categoria Basica: 39 medidas de seguridad obligatorias. Acreditacion mediante declaracion responsable o auditoria interna documentada. Revisiones cada 2 anos.
  2. Categoria Media: 71 medidas. Acreditacion obligatoria mediante auditoria de tercera parte realizada por entidad acreditada por ENAC. Revisiones cada 2 anos.
  3. Categoria Alta: 107 medidas, incluyendo aspectos como criptografia certificada, segregacion fisica de redes y planes de continuidad probados. Auditoria ENAC cada 2 anos.

Para un servicio de gestion documental medio que custodie expedientes administrativos, la categoria Media es el minimo realista. Si el servicio toca datos de salud, datos policiales o datos relacionados con seguridad nacional, la categoria Alta es obligatoria. Los proveedores que se autodeclaran Basica para abaratar costes y luego acceden a expedientes que correspondan a Media o Alta exponen al cliente publico y a si mismos a sanciones por incumplimiento contractual y a posibles sanciones de la AEPD si hay datos personales involucrados.

El registro CCN: la fuente fiable para la verificacion

El Centro Criptologico Nacional (CCN), dependiente del CNI, mantiene el registro oficial de entidades certificadas en ENS. A principios de 2026 figuraban aproximadamente 3 000 entidades activas en el registro. Cualquier organo de contratacion verifica la presencia y vigencia del certificado en este registro durante la fase de calificacion. Para una empresa privada, la comprobacion previa antes de presentarse a una licitacion es:

  • Confirmar que la entidad certificadora aparece en la lista de ENAC autorizada por el CCN
  • Verificar la categoria certificada (Basica, Media o Alta) frente a la requerida por el pliego
  • Comprobar el alcance especifico de la certificacion (que sistemas y servicios concretos cubre)
  • Verificar la fecha de validez y la fecha del proximo audit de seguimiento

Un certificado que cubre solo la sede central pero no la plataforma SaaS contratada con el cliente publico es invalido para el pliego concreto. Esta es la trampa mas frecuente: la empresa presenta el sello del ENS como atributo de la empresa, no como certificacion del producto concreto que va a usar el cliente.

ENS, RGPD y NIS2: una sola matriz de control en vez de tres

Las empresas que operan a la vez como proveedores del sector publico (sujeto a ENS), responsables del tratamiento de datos personales (sujeto a RGPD) y entidades esenciales o importantes bajo la transposicion espanola de NIS2 (RDL 2024) tienen tres regimenes regulatorios que se solapan en mas del 80% de los controles. Construir tres sistemas separados es ineficiente y costoso. La practica recomendada por el CCN-CERT es construir una matriz unica de controles donde cada control se mapea contra:

  • Las 71 medidas ENS Categoria Media o 107 ENS Categoria Alta
  • Los articulos correspondientes del RGPD (especialmente 32 sobre seguridad)
  • Las obligaciones de gestion de riesgos y notificacion de NIS2
  • Las clausulas contractuales del cliente publico (frecuentemente piden ISO 27001 ademas)

Las empresas que han recorrido este camino reducen entre un 40% y un 60% el coste recurrente de mantener los tres certificados, frente a abordarlos de forma independiente. El precio de la ineficiencia es directamente proporcional al volumen de licitaciones publicas que se afronten.

Sancion contractual y exposicion al RGPD

El ENS no tiene un regimen sancionador propio en el sentido de multa administrativa directa. Pero su incumplimiento se traduce en:

  1. Exclusion de licitaciones (perdida de contratos)
  2. Resolucion contractual por incumplimiento de clausula esencial (penalizaciones y devolucion de cantidades)
  3. Activacion de la responsabilidad del articulo 32 RGPD por seguridad inadecuada del tratamiento, con sanciones de la AEPD que pueden llegar a 20 millones de euros o el 4% del volumen mundial
  4. En contextos NIS2, sanciones especificas hasta 10 millones de euros o el 2% del volumen mundial

La via mas habitual para que un proveedor descubra que su ENS no era valido es el primer pliego perdido en 2026. La empresa que confiaba en presentarse a 4 licitaciones publicas al ano y ahora no puede participar en ninguna sin la certificacion vigente realiza el calculo: el coste de la certificacion ENAC para Categoria Media oscila entre 12 000 y 30 000 euros para PYMES, el coste de no obtenerla es la totalidad del segmento publico del negocio.

Artículos relacionados

Leer más

Automatizacion de documentos para cada industria: como Arhivix elimina el trabajo manual en contabilidad, logistica, construccion y derecho

Automatizacion de documentos para cada industria: como Arhivix elimina el trabajo manual en contabilidad, logistica, construccion y derecho

Una guia completa sobre las automatizaciones de Arhivix -- desde reglas inteligentes de correo electronico y clasificacion impulsada por IA hasta alertas de vencimiento y disparadores de flujos de trabajo -- y como resuelven problemas reales para firmas contables, empresas de logistica, constructoras y bufetes de abogados.

Leer más
Automatizaciones en Arhivix: Notificaciones automáticas cuando los documentos se archivan, suben o crean

Automatizaciones en Arhivix: Notificaciones automáticas cuando los documentos se archivan, suben o crean

Configure notificaciones automáticas para su equipo o clientes — cuando un documento se archiva, una factura se crea o un archivo se sube.

Leer más
Por que el correo electronico no sirve para documentos empresariales: 7 problemas que esta ignorando

Por que el correo electronico no sirve para documentos empresariales: 7 problemas que esta ignorando

Las empresas tienen documentos dispersos entre correo electronico, Viber y WhatsApp. He aqui por que esto es un problema grave y como solucionarlo de una vez por todas.

Leer más