El Esquema Nacional de Seguridad (ENS) dejó de ser un concepto teórico para consultoras y grandes integradores. Desde la entrada en vigor del RD 311/2022, cualquier instalación de sistemas que vayan a operar dentro de una organización pública — o dentro de una entidad privada que presta servicio a la Administración — entra en un marco claro de obligaciones técnicas y documentales. No hablamos únicamente de grandes sistemas informáticos o de infraestructuras de comunicaciones críticas. Hablamos también de sistemas modestos: control de accesos local, CCTV perimetral para instalaciones públicas, sensores IoT en dependencias municipales, sistemas de apoyo y redes auxiliares Puntuales. En estos contextos, el instalador profesional ya no puede limitarse a cumplir una especificación técnica de hardware. Tiene que demostrar que entiende el contexto de seguridad en el que el sistema quedará integrado.
El ENS no es un catálogo de productos. No indica qué marca utilizar, ni qué modelo, ni qué topología exacta debe implementarse. El ENS establece principios de seguridad y medidas mínimas. Por tanto, la clave no es el equipo, sino la trazabilidad: poder evidenciar que lo que se propone, se instala y se entrega es coherente con los principios de seguridad definidos. Esta trazabilidad es lo que diferencia la instalación de un sistema cualquiera de una instalación profesional que se puede defender frente a auditoría o supervisión.
El ENS exige “seguridad verificable”, no seguridad declarada
Lo primero que debe asumir un instalador que trabaje con sector público es que no basta con decir “este sistema es seguro”. Hay que demostrarlo de forma objetiva. El ENS se basa en un modelo de madurez y justificación: no pregunta únicamente si existe seguridad, sino cómo se garantiza, qué medidas la soportan y cómo se gestionará la continuidad operativa. Cuando la instalación incorpora sistemas conectados (y prácticamente todos lo hacen), las medidas de seguridad no se agotan en el hardware físico; incluyen también control de credenciales, integridad de firmware, acceso remoto y actualización.
Esto implica que el instalador ya no puede basar su valor en “saber instalar bien”. El valor diferencial es su capacidad para presentar el cierre documental del proyecto. Es decir: cómo se configura, cómo se entrega y cómo se deja evidencia.
Qué piden las administraciones realmente
Cuando un organismo público solicita documentación asociada al ENS, rara vez pide el articulado completo. Lo que pide son evidencias de cuatro áreas fundamentales:
– quién tiene acceso a los sistemas
– cómo se actualiza y cómo se controla la versión
– cómo se protege contra el acceso no autorizado
– cómo se asegura continuidad y disponibilidad operativa
Estos cuatro puntos son equivalentes a los conceptos “control de acceso”, “mantenimiento y actualización”, “protección perimetral y lógica” y “resiliencia”. Para un instalador, no son conceptos nuevos; simplemente ahora exigen prueba.
Qué documentación mínima debe entregar un instalador
Para poder afirmar que una instalación es coherente con ENS, es recomendable que el instalador entregue — como mínimo — un documento complementario al acta de puesta en marcha que incluya:
– topología resumida del sistema (no hace falta un diagrama complejo; basta con un esquema)
– relación de credenciales creadas y a quién se entregan
– versión de firmware de los equipos instalados
– método de acceso remoto permitido y política de conexión (VPN, salto seguro, doble factor, etc.)
– descripción de política de actualizaciones y responsabilidad posterior
Este documento no es burocracia estéril. Es lo que convierte la instalación en instalación defendible. Es lo que permite que el responsable de seguridad de la administración pueda certificar que el sistema cumple una mínima trazabilidad operativa.
Qué errores son incompatibles con ENS
– entregar sistemas con contraseñas por defecto
– habilitar acceso remoto sin VPN ni mediación
– activar servicios cloud sin explicar residencia de datos
– no dejar registro de credenciales entregadas
– no dejar constancia de versión y firmware
Estos errores no son cuestión de opinión. Son incompatibles con auditoría posterior.
Por qué el ENS es una oportunidad para la pyme profesional
Se suele pensar que ENS favorece a integradores grandes. La realidad es lo contrario: ENS favorece a quien documenta. La pyme que ya instalaba con criterio está mejor posicionada ahora. Basta con sistematizar cuatro entregables y convertirlos en “plantillas de proyecto”. De ese modo, cada instalación finaliza con un cierre documental uniforme. Es un proceso repetible, no un esfuerzo nuevo en cada obra. Y lo importante es que este cierre documental se convierte en un lenguaje universal frente a la Administración.
Conclusión
El instalador que aspire a trabajar con sector público a partir de 2025 debe asumir que, en el contexto ENS, la instalación física no es el final. Es la mitad del proceso. La otra mitad es la evidencia. Se valora la calidad de la configuración, la claridad en la entrega documental y la capacidad de justificar por qué se hace algo de un modo concreto. ENS no obliga a ser fabricantes ni consultores, obliga a ser profesionales. Quien entienda esto ahora tendrá ventaja competitiva real en licitaciones, proyectos municipales, suministros institucionales y contratos marco de mantenimiento.