Un sistema que no para de crecer
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022 de 3 de mayo, ha alcanzado en 2026 una implantación sin precedentes en España. Según los datos publicados por el propio Centro Criptológico Nacional (CCN) con motivo de la renovación de su portal en febrero de 2026, el ENS cuenta actualmente con 1.484 organismos públicos y 1.971 empresas privadas certificadas en toda España . Son números que hablan por sí solos: el ENS ha dejado de ser un trámite burocrático para convertirse en un estándar real de mercado.
Pero ¿qué es exactamente el ENS y por qué importa tanto ahora? Lo explicamos de forma clara.
¿Qué es el ENS y a quién afecta?
El ENS es la norma legal española que establece los requisitos mínimos de ciberseguridad que deben cumplir todos los sistemas de información de las Administraciones Públicas: Estado, Comunidades Autónomas, Ayuntamientos y entidades del sector público en general. Y, muy importante: también obliga a las empresas privadas que presten servicios tecnológicos a cualquiera de esas administraciones.
En la práctica, esto significa que si tu empresa desarrolla software, gestiona datos, presta servicios en la nube o mantiene infraestructuras tecnológicas para un organismo público, el ENS te afecta directamente.
El ENS se mantendrá actualizado de manera permanente, desarrollándose y perfeccionándose a lo largo del tiempo, en paralelo al avance de los servicios prestados por las entidades del sector público, la evolución tecnológica, la aparición o consolidación de nuevos estándares internacionales sobre seguridad y auditoría, y los riesgos a los que estén expuestos los sistemas de información concernidos. No es, por tanto, una norma estática: evoluciona contigo.
Novedades destacadas en 2026
1. El portal ENS estrena imagen y nuevas herramientas
El sitio web del ENS, gestionado por el Centro Criptológico Nacional del Centro Nacional de Inteligencia, ha actualizado su diseño y arquitectura para mejorar la usabilidad, la estructura de contenidos y la coherencia con la identidad institucional, con el objetivo de ofrecer una experiencia más clara y facilitar un acceso más intuitivo a la información y a los recursos disponibles.
Entre las novedades del portal renovado destaca el acceso reforzado a las herramientas de gobernanza INES, AMPARO y PILAR, que facilitan el proceso completo de adecuación al ENS: adecuación, implantación, auditoría y certificación.
2. El CPSTIC se actualiza cada mes con nuevos productos certificados
Uno de los recursos más prácticos para las empresas es el Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC), que el CCN actualiza mensualmente. El objetivo principal del CPSTIC es facilitar a las organizaciones la selección de productos y servicios que hayan demostrado un nivel adecuado de seguridad, contribuyendo así a una mejor protección de los sistemas de información frente a amenazas y ciberataques.
La última actualización de abril de 2026 ha incorporado seis nuevos productos en las categorías de protección de perímetro y de las comunicaciones, soporte criptográfico y control de accesos.
3. El crecimiento del ENS, anticipo de NIS2
El crecimiento de entidades certificadas en el ENS es el resultado del trabajo de anticipación del CCN a la transposición de la Directiva NIS2 y a la estrategia de mejora continua, que comienza con el Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad (PCE-RFS). el ENS se está convirtiendo en el camino más natural para que las organizaciones españolas cumplan también con NIS2 cuando ésta entre en vigor.
4. Más de 200 guías CCN-STIC disponiblesel
Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones, y son periódicamente actualizadas y completadas con otras nuevas en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT. Muchas de ellas son de acceso público y gratuito.
¿Qué ventajas concretas tiene certificarse en el ENS?
Más allá del cumplimiento legal, la certificación ENS aporta beneficios tangibles que cualquier organización puede aprovechar:
Acceso a contratos públicos. La certificación ENS es un requisito habitual —y cada vez más exigible— en los pliegos de contratación pública tecnológica. Una empresa certificada tiene una ventaja competitiva directa frente a otras que no lo están.
Credibilidad demostrable. El ENS es una norma legal auditada por organismos acreditados por la ENAC (Entidad Nacional de Acreditación). El certificado no es una declaración propia: lo emite un tercero independiente. Eso tiene un valor reputacional que ningún folleto comercial puede igualar.
Preparación anticipada para NIS2. Como confirma el propio CCN, el ENS es el vehículo principal para el cumplimiento de NIS2 en España. El Anteproyecto de Ley toma como referencia los perfiles de cumplimiento del ENS aplicados al contenido de NIS2, indicando que las entidades esenciales deberán poseer certificación ENS, mientras que las entidades importantes podrán optar por esa certificación o por una autoevaluación. Certificarse hoy es adelantarse a una obligación que llegará en los próximos meses.
Acceso al catálogo de productos seguros. Las organizaciones con ENS pueden consultar y usar el CPSTIC, que facilita la selección de productos y servicios de seguridad confiables, diseñados para ser implementados en sistemas TIC que estén dentro del marco del ENS o que manejen información clasificada.
Herramientas gratuitas de gobernanza. El CCN pone a disposición de todas las entidades en proceso de adecuación las herramientas INES, AMPARO y PILAR, para facilitar el proceso completo de adecuación al ENS y la toma de decisiones estratégicas sobre el estado de ciberseguridad de los sistemas. No hay que empezar desde cero.
Mejora real de la seguridad. Más allá del papel, el proceso de adecuación al ENS obliga a las organizaciones a realizar un análisis formal de riesgos, definir responsables claros y mantener una vigilancia continua. Los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS. Esa disciplina reduce incidentes reales.
En pocas palabras
El ENS en 2026 no es solo una obligación para la Administración Pública. Es un estándar de mercado que separa a las empresas que se toman en serio la ciberseguridad de las que no. Con casi 3.500 entidades certificadas, un portal renovado, actualizaciones mensuales del catálogo de productos seguros y su papel central en la futura Ley NIS2, el ENS es hoy la inversión en seguridad con mayor retorno para cualquier organización que trabaje con o para el sector público español.
Si quieres saber si tu organización debe certificarse y por dónde empezar, en AMIO INGENIEROS podemos acompañarte en todo el proceso.
Fuentes oficiales consultadas:
- CCN-CERT: ccn-cert.cni.es
- Portal ENS del CCN/CNI: ens.ccn.cni.es
- CPSTIC: cpstic.ccn.cni.es
- BOE · RD 311/2022: boe.es