Cada vez más despachos profesionales —jurídicos, técnicos, de consultoría o arquitectura— colaboran con organismos públicos a través de contratos de servicios, licitaciones o encargos. Este tipo de actividad conlleva responsabilidades específicas que, en muchas ocasiones, no son suficientemente conocidas. Entre ellas, una de las más relevantes es la aplicación obligatoria del Esquema Nacional de Seguridad (ENS). ¿Sabías que trabajar con información de una administración pública activa exigencias en ciberseguridad? ¿Tu despacho cuenta con las garantías requeridas?
El cumplimiento del Esquema Nacional de Seguridad no solo es un requisito legal, sino una condición indispensable para continuar operando en el ámbito público con total seguridad y profesionalidad.
Qué es el ENS y cómo afecta a despachos profesionales
El Esquema Nacional de Seguridad (ENS) es un marco regulado por el Real Decreto 311/2022 que establece los principios, requisitos y medidas de protección que deben cumplir los sistemas de información del sector público, así como de cualquier entidad privada que preste servicios a la Administración y gestione o acceda a datos públicos.
Esto incluye a despachos de abogados, ingenieros, arquitectos, auditores, asesores fiscales, consultores de urbanismo, y otros profesionales que:
Elaboran informes técnicos o jurídicos para organismos públicos.
Acceden a plataformas electrónicas oficiales.
Gestionan expedientes administrativos en nombre de terceros.
Procesan datos personales de empleados o ciudadanos por encargo de la administración.
En todos estos supuestos, la normativa obliga a garantizar medidas de seguridad alineadas con el ENS, ya que se actúa como proveedor de un sistema de información público o se manejan datos bajo su responsabilidad.
Por qué tu despacho debe cumplir el ENS
Colaborar con la administración implica asumir un nivel de compromiso y responsabilidad en materia de protección de la información. No es suficiente con disponer de medidas básicas como antivirus o contraseñas; el ENS exige un enfoque estructurado y documentado.
Las principales razones por las que un despacho debe aplicar el ENS son:
Cumplir la legalidad vigente y evitar sanciones o exclusión de contratos.
Proteger datos personales y administrativos frente a ciberamenazas.
Demostrar capacidad técnica en licitaciones y adjudicaciones públicas.
Prevenir incidentes que puedan comprometer expedientes sensibles.
Generar confianza institucional y reputacional frente a clientes públicos.
Implantar el Esquema Nacional de Seguridad en un despacho profesional no es solo una exigencia, sino una oportunidad para profesionalizar aún más su operativa.
Casos comunes donde el ENS es aplicable a despachos
La obligación de aplicar el ENS se activa en muchos escenarios habituales. Algunos ejemplos:
Un despacho jurídico que gestiona expedientes sancionadores de un ayuntamiento.
Un estudio de arquitectura que accede a bases de datos urbanísticas autonómicas.
Un asesor que tramita nóminas de personal público por subcontratación.
Un despacho que participa en procedimientos administrativos electrónicos mediante certificados.
En todos estos casos, aunque la información no esté almacenada en los sistemas propios del despacho, el solo acceso o tratamiento de datos del sector público obliga al cumplimiento del ENS.
Cómo aplicar el ENS en un despacho: pasos clave
Aplicar el ENS de forma efectiva no requiere transformar por completo el despacho, pero sí organizar e implementar una serie de medidas proporcionales al nivel de criticidad de los servicios prestados. Estos son los pasos esenciales:
1. Análisis de situación y diagnóstico inicial
Es necesario identificar:
Qué servicios presta el despacho a organismos públicos.
Qué información se trata (datos personales, documentos oficiales, expedientes).
Qué plataformas públicas se utilizan (sede electrónica, portales de contratación, etc.).
Este diagnóstico permite evaluar el nivel de exigencia del ENS y planificar las acciones necesarias.
2. Clasificación de la información y los sistemas
El ENS establece tres niveles (bajo, medio y alto) según el posible impacto de una brecha de seguridad. El despacho debe analizar:
El tipo de información que maneja (jurídica, financiera, personal…).
El grado de dependencia del servicio público afectado.
La criticidad de los procesos en los que interviene.
En la mayoría de casos, los despachos que trabajan con contratos públicos deben cumplir un nivel medio de seguridad.
3. Elaboración del Documento de Aplicabilidad (DA)
Es el documento técnico que describe qué medidas del ENS son aplicables al despacho, cómo se van a implantar y con qué alcance. Incluye:
Políticas internas de seguridad.
Asignación de responsabilidades.
Medidas de protección técnicas y organizativas.
Procedimientos de gestión de incidentes y accesos.
Este documento es esencial tanto para auditorías como para demostrar cumplimiento ante la administración contratante.
4. Implantación de medidas de seguridad
Las medidas del ENS abarcan tres ámbitos:
Organizativas: definir políticas de seguridad, designar un responsable, controlar los accesos, mantener registros de actividad.
Operacionales: gestionar copias de seguridad, controlar cambios en sistemas, auditar la actividad, establecer protocolos de continuidad de negocio.
Técnicas: cifrado de datos, antivirus actualizados, autenticación de usuarios, segmentación de red.
La implantación debe adaptarse al tamaño del despacho, sin perder eficacia.
5. Formación y sensibilización del equipo
Es clave que todo el personal —incluidos socios, abogados junior, técnicos o administrativos— conozca:
Los principios del ENS.
Las buenas prácticas en el uso de dispositivos, correos y accesos.
Qué hacer ante un posible incidente de seguridad.
El factor humano sigue siendo el eslabón más débil si no se forma adecuadamente.
6. Auditoría de cumplimiento y declaración de conformidad
Una vez implantadas las medidas, un auditor independiente verifica su adecuación al ENS. Si el resultado es favorable, se emite la declaración de conformidad, válida por dos años.
Este certificado es muy valorado en licitaciones y concursos públicos y puede ser exigido por determinadas entidades.
Riesgos de no cumplir con el ENS
No aplicar el ENS en un despacho que trabaja con organismos públicos puede tener consecuencias graves:
Inhabilitación para contratar con la administración.
Sanciones económicas por parte de autoridades como la AEPD si se produce una brecha de datos.
Daños reputacionales en un entorno donde la confianza lo es todo.
Responsabilidad civil o penal si una negligencia en la seguridad causa perjuicio.
Además, incumplir el ENS puede afectar directamente al resultado de un procedimiento de contratación pública, incluso si la oferta es la mejor valorada técnicamente.
Cómo integrar el ENS en el día a día de un despacho
Aunque parezca complejo, el ENS puede integrarse de forma natural en la operativa del despacho si se aborda de manera estratégica:
Digitalizar la documentación con medidas de acceso controlado.
Establecer roles y permisos diferenciados en sistemas compartidos.
Centralizar las comunicaciones electrónicas seguras con la administración.
Contratar servicios tecnológicos que ya cumplan con el ENS o normativas equivalentes.
Externalizar la implantación y seguimiento del ENS si no se dispone de recursos técnicos internos.
Lo importante es adoptar una mentalidad de mejora continua en seguridad de la información.
Legislación relacionada
El ENS no actúa en solitario. Su cumplimiento refuerza y facilita la adecuación a otras normativas que afectan directamente a despachos que trabajan con lo público:
Ley 39/2015 de Procedimiento Administrativo Común: regula las relaciones electrónicas con la administración.
Ley 9/2017 de Contratos del Sector Público: exige requisitos técnicos a los adjudicatarios.
Reglamento General de Protección de Datos (RGPD) y LOPDGDD: regulan la protección de los datos personales que suelen gestionarse en expedientes públicos.
Todas estas normas comparten un enfoque de protección jurídica, técnica y organizativa que encuentra en el ENS su marco técnico de referencia.
¿Trabajas con la administración? Asegura el cumplimiento del ENS en tu despacho
Si tu despacho participa en contratos, licitaciones o gestiona información de organismos públicos, debes aplicar las medidas que establece el Esquema Nacional de Seguridad. Cumplir con el ENS no solo es un requisito legal, sino una garantía para proteger tu reputación, evitar sanciones y reforzar tu posición como proveedor profesional y fiable del sector público. En Audidat, te acompañamos en este proceso con soluciones adaptadas, sin compromiso y con total orientación a resultados.
Preguntas frecuentes sobre ENS en despachos profesionales
¿Todos los despachos están obligados a cumplir el ENS?
Solo aquellos que trabajen con administraciones públicas y accedan o gestionen datos por cuenta de estas. El cumplimiento depende del tipo de servicio prestado.
¿Qué tipo de medidas de seguridad exige el ENS?
Políticas internas, control de accesos, cifrado de datos, gestión de incidentes, formación del personal, entre otras medidas adaptadas al nivel de seguridad requerido.
¿Qué ocurre si no se cumple el ENS?
Puede suponer la exclusión de licitaciones, sanciones administrativas e incluso responsabilidades legales en caso de incidentes.
¿Es necesario certificar el cumplimiento del ENS?
Sí, si así lo exige el pliego o contrato, o si se quiere demostrar conformidad ante organismos públicos. La certificación tiene validez por dos años.
