El Real Decreto 311/2022, que actualiza el Esquema Nacional de Seguridad (ENS), ha elevado las exigencias para todas las entidades del sector público: desde ayuntamientos pequeños hasta ministerios. Además, cualquier empresa que preste servicios tecnológicos a la administración (hosting, cloud, ciberseguridad, IA) debe acreditar que su infraestructura cumple el ENS con el nivel adecuado. Esta norma es la piedra angular de la confianza digital en España, y muchos proveedores internacionales no pueden (o no quieren) certificarlo.

Esquema Nacional de Seguridad (ENS): certificación obligatoria para administraciones públicas y sus proveedores tecnológicos
▸ El ENS exige centros de datos en España, personal cualificado y sistemas de gestión de riesgos. Infraestructuras soberanas como el CPD Muralla de Zamora facilitan el cumplimiento de los niveles básico, medio y alto.

¿Qué es el ENS y a quién aplica?

El ENS es el marco normativo que regula la seguridad de las tecnologías de la información y la comunicación (TIC) en el sector público español. Establece principios básicos, requisitos mínimos y un modelo de gestión de riesgos. Afecta a:

  • Administración General del Estado, CCAA y entidades locales.
  • Organismos públicos y entidades de derecho público.
  • Proveedores de servicios de confianza y servicios electrónicos.
  • Empresas privadas que presten servicios TIC a la administración pública (hosting, cloud, tratamiento de datos, etc.).

Si tu empresa quiere contratar con un ayuntamiento, una diputación o la Junta de Castilla y León, necesitarás demostrar que tu infraestructura cumple el ENS en el nivel exigido (básico, medio o alto). Y el ENS exige, entre otras cosas, que los centros de datos estén ubicados en España, que los operadores tengan nacionalidad o residencia en la UE, y que se utilice software auditable.

El casco histórico de Zamora cumple ENS

El CPD Muralla de Zamora se diseñó desde el origen bajo los principios ENS: personal español, energía renovable, control de accesos biométrico, sistemas de contingencia, auditorías externas anuales. Estamos en proceso de certificación ENS nivel alto (prevista para Q4 2026).

Los tres niveles de cumplimiento ENS

El ENS clasifica los sistemas en función del impacto de una eventual violación de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad):

  • Nivel básico (impacto bajo): sistemas de información no críticos. Medidas básicas de seguridad, control de acceso, copias de seguridad diarias, registro de actividades.
  • Nivel medio (impacto medio): sistemas que manejan datos personales o servicios esenciales. Requiere autenticación reforzada (MFA), cifrado de comunicaciones, monitorización 24/7, plan de continuidad de negocio probado anualmente.
  • Nivel alto (impacto alto): sistemas críticos (seguridad nacional, emergencias, datos sanitarios agregados, infraestructuras estratégicas). Exige auditorías de seguridad semestrales, personal dedicado y formado en ENS, y centros de operaciones de seguridad (SOC) con capacidad de respuesta en tiempo real.

La mayoría de ayuntamientos y diputaciones requieren al menos nivel medio para servicios como expedientes electrónicos, sede electrónica, o almacenamiento de documentos públicos. Las consejerías y ministerios, nivel alto.

Requisitos técnicos para proveedores (hosting, cloud, IA)

Si tu empresa es proveedor TIC de la administración, tu infraestructura debe cumplir, entre otros:

  • Ubicación de los centros de datos en España (no valen regiones de AWS/Azure en otros países, aunque tengan certificación ENS). El ENS exige que el CPD esté bajo jurisdicción española.
  • Personal operador con nacionalidad o residencia legal en España o la UE.
  • Políticas de seguridad documentadas y aprobadas por un responsable ENS.
  • Cifrado de datos en reposo y en tránsito con algoritmos aprobados.
  • Registro de trazas auditables retenidas al menos 2 años.
  • Plan de continuidad de negocio con RTO/RPO definidos y pruebas semestrales.
  • Procedimiento de notificación de incidentes al CCN-CERT en menos de 48 horas.
  • Uso de software auditable y, en la medida de lo posible, de código abierto.

El problema de los hiperescalares para el ENS

AWS y Azure tienen regiones en España (Aragón y Madrid, respectivamente), pero la certificación ENS de esas regiones es limitada. El ENS exige que el prestador del servicio sea una persona jurídica española o europea, y que la cadena de subcontratación sea completamente transparente. Con los hiperescalares, la subcontratación llega a múltiples países (EE.UU., Luxemburgo, Irlanda) y no pueden garantizar que el personal que opera los servidores sea exclusivamente de la UE. Muchos ayuntamientos ya están exigiendo en sus pliegos que el CPD del proveedor esté ubicado en la misma provincia o en la comunidad autónoma. Zamora se convierte así en una ventaja competitiva.

Ejemplo real: diputación provincial

Una diputación de Castilla y León ha exigido en su pliego de contratación de hosting para la sede electrónica que el CPD esté en una provincia limítrofe y que el personal de operaciones sea español. TYBSI presentó oferta; los hiperescalares ni siquiera pudieron cumplir la cláusula de nacionalidad del personal.

Cómo TYBSI y TOWINIA ayudan a cumplir el ENS

Nuestra infraestructura está diseñada para satisfacer incluso el nivel alto:

  • CPD Muralla de Zamora: propiedad 100% española, ubicado en Zamora, con control de accesos biométrico, extinción de incendios por gas inerte, grupos electrógenos y SAI. En proceso de certificación ENS alto.
  • Personal español: todos los operadores e ingenieros son ciudadanos españoles o residentes de larga duración.
  • Software auditable: utilizamos Proxmox VE (open source) como hipervisor, y Ceph para almacenamiento distribuido. Todo el código es inspeccionable.
  • Políticas ENS documentadas: te entregamos toda la documentación necesaria para que puedas acreditar el cumplimiento de tu proveedor.
  • Agente LEZO: integrado con TOWINIA, genera automáticamente los registros de actividad, los informes de incidentes y el estado de los controles técnicos, facilitando las auditorías ENS.

Además, ofrecemos hosting ENS nivel alto exclusivo para administraciones públicas, con red dedicada y cifrado post‑cuántico (opcional).

¿Qué necesitas hacer si eres un proveedor tecnológico?

Si tu empresa presta servicios de hosting, nube, IA o ciberseguridad a la administración pública, debes:

  1. Identificar el ENS exigido en tus contratos. Normalmente nivel medio o alto.
  2. Auditar tu infraestructura actual frente a los requisitos del Real Decreto 311/2022. Especial atención a la nacionalidad del personal y ubicación de los datos.
  3. Migrar a un CPD soberano (como el nuestro) si tu proveedor actual no puede garantizar el ENS.
  4. Certificar tu sistema de gestión mediante una entidad de certificación ENS.
  5. Documentar y formar a tu personal en los procedimientos ENS (nosotros te ayudamos).

Si no cumples, te arriesgas a ser excluido de futuras licitaciones públicas y a que rescindan los contratos existentes.

Auditoría ENS exprés para tu empresa

¿Quieres saber si tu infraestructura actual podría aprobar una auditoría ENS de nivel medio? Te hacemos un análisis en 5 días hábiles y te damos un plan de remediación. Escríbenos a ens@tybsi.es con el asunto «Auditoría ENS».

El papel de la IA on‑premise en el ENS

El ENS no prohíbe el uso de IA, pero exige que los modelos se ejecuten sobre infraestructura controlada. Con el Towin Box puedes desplegar agentes especializados dentro de tu propio centro de datos o en un CPD ENS, cumpliendo así con la soberanía de los datos de entrenamiento y de las inferencias. El agente GÁLVEZ (ciberseguridad) y LEZO (cumplimiento) son especialmente útiles para automatizar los procesos de monitorización y generación de informes exigidos por el ENS.

Plazos y consecuencias del incumplimiento

Aunque el ENS está vigente desde 2022, las entidades públicas deben tener planes de adecuación. Las inspecciones se están intensificando en 2026. Las sanciones por incumplimiento pueden llegar a 2 millones de euros para entidades privadas proveedoras, además de la inhabilitación para contratar con la administración. Algunos ayuntamientos ya han incluido cláusulas de rescisión automática si el proveedor no mantiene la certificación ENS durante la vigencia del contrato.

El ENS no es un trámite burocrático. Es una exigencia de seguridad real que protege al ciudadano. En TYBSI llevamos años preparándonos para ello, y nuestra infraestructura de Zamora es el mejor ejemplo de soberanía digital aplicada al sector público. Si necesitas asesoramiento o quieres visitar el CPD, contáctanos.