Hemos analizado los 2.215 certificados ENS publicados en el registro oficial del CCN-CERT — la totalidad de los sistemas certificados en España hasta febrero de 2026. Aplicamos estadística, procesamiento de lenguaje natural (NLP) y machine learning sobre los textos de los alcances para descubrir qué hay detrás de los números.
Este artículo resume los 6 hallazgos más reveladores. Cada uno enlaza con una guía temática con análisis detallado y con el análisis interactivo completo donde puedes explorar todos los datos.
1. El 64,6% de los sistemas son categoría MEDIA
| Categoría | Certificaciones | Porcentaje |
|---|---|---|
| MEDIA | 1.207 | 64,6% |
| ALTA | 617 | 33,0% |
| BÁSICA | 45 | 2,4% |
Dos de cada tres sistemas certificados tienen categoría MEDIA. La categoría BÁSICA es sorprendentemente rara: solo un 2,4%. Esto sugiere que las organizaciones que se certifican generalmente manejan información con impacto al menos “grave” — o que los sistemas más sencillos recurren a los Perfiles de Cumplimiento Específico (PCE) en lugar de la certificación completa.
Profundiza: Categorías ENS en cifras · Ver datos interactivos
2. Madrid concentra el 47% de las certificaciones
| Comunidad autónoma | Certificaciones | % del total |
|---|---|---|
| C. de Madrid | 811 | 43,4% |
| Cataluña | 285 | 15,3% |
| C. Valenciana | 163 | 8,7% |
| Andalucía | 149 | 8,0% |
| Galicia | 66 | 3,5% |
Las 4 primeras comunidades concentran el 82% de todas las certificaciones ENS de España. Madrid sola tiene casi la mitad, reflejando su posición como centro de los proveedores TI del sector público, empresas de ciberseguridad y grandes consultoras.
Las 15 comunidades restantes se reparten solo el 18%. Navarra, Melilla y Ceuta tienen 5, 2 y 1 certificación respectivamente.
Profundiza: ENS por comunidades autónomas · Ver mapa interactivo
3. Tres certificadoras controlan el 57% del mercado
| Certificadora | Certificaciones | Cuota | % ALTA |
|---|---|---|---|
| APPLUS | 502 | 22,7% | 39,6% |
| AENOR Internacional | 382 | 17,2% | 34,8% |
| OCA Global | 369 | 16,7% | 27,6% |
| Adok Certificación | 194 | 8,8% | 24,2% |
| BDO Auditores | 98 | 4,4% | 89,8% |
22 entidades certificadoras operan en el mercado ENS. Las tres mayores — APPLUS, AENOR y OCA Global — certifican más de la mitad de todos los sistemas.
El dato más llamativo es BDO Auditores: el 89,8% de sus certificaciones son categoría ALTA, frente al 33% de media del mercado. BDO se especializa casi exclusivamente en certificaciones de alta seguridad.
Profundiza: Certificadoras ENS: ranking y cuotas de mercado · Ver datos interactivos
4. Las certificaciones se multiplicaron x18 tras el RD 311/2022
| Año | Certificaciones | Acumulado |
|---|---|---|
| 2023 | 54 | 54 |
| 2024 | 996 | 1.050 |
| 2025 | 1.040 | 2.090 |
| 2026 (ene.) | 117 | 2.207 |
El mercado pasó de 54 certificaciones en 2023 a casi 1.000 al año en 2024 y 2025. Este salto se explica por la entrada en vigor efectiva del Real Decreto 311/2022, que amplió el ámbito de aplicación del ENS a empresas privadas proveedoras del sector público.
Las proporciones de categoría se han estabilizado desde 2024 en aproximadamente 34% ALTA / 63% MEDIA / 3% BÁSICA.
Profundiza: Tendencias ENS 2023-2026 · Ver gráfico interactivo
5. La IA predice tu categoría con un 69% de acierto
Entrenamos un modelo de regresión logística sobre los 2.215 textos de alcance para predecir la categoría del sistema. Resultado: 68,8% de precisión — significativamente mejor que asignar siempre MEDIA (64,6%), aunque no espectacular.
Los términos que más predicen categoría ALTA:
| Término | Coeficiente | Interpretación |
|---|---|---|
| centro dato | 2,09 | Proveedores de hosting |
| remoto | 1,86 | Acceso remoto |
| paciente | 1,84 | Sector sanitario |
| cloud | 1,65 | Infraestructura cloud |
| ciberseguridad | 1,33 | Servicios de ciberseguridad |
El texto del alcance codifica implícitamente el tipo de organización. “Cloud”, “centro de datos” y “paciente” predicen ALTA no porque esas palabras causen una categoría alta, sino porque las organizaciones que manejan esa infraestructura tienden a tener impactos ALTOS en disponibilidad o confidencialidad.
Profundiza: Categorías ENS en cifras · Ver modelo interactivo
6. Si certificas desarrollo, tu alcance debería incluir mantenimiento
Cuando analizamos qué servicios aparecen juntos en los 2.215 alcances ENS, encontramos combinaciones que se repiten de forma consistente. Si ofreces un servicio pero omites el que normalmente lo acompaña, tu alcance será atípico — y un auditor puede preguntar por qué.
Las combinaciones más frecuentes:
| Servicios que aparecen juntos | Nº de alcances que incluyen ambos |
|---|---|
| Desarrollo + Mantenimiento | 402 |
| Gestión + Mantenimiento | 304 |
| Desarrollo + Gestión | 284 |
| Consultoría + Desarrollo | 205 |
Los servicios se agrupan en 4 perfiles típicos de empresa:
- Consultora/auditoría: auditoría, consultoría, diseño, formación, seguridad
- Desarrollo de software: desarrollo, integración, mantenimiento, SaaS, soporte
- Infraestructura cloud: ciberseguridad, cloud, infraestructura, monitorización
- Telecomunicaciones: datos, gestión, instalación, telecomunicaciones
¿Para qué te sirve esto? Cuando escribas tu alcance, comprueba que incluyes los servicios que “van con” los tuyos. Si certificas desarrollo pero no mantenimiento, serás una excepción frente al 95% de las empresas similares.
Profundiza: Ver gráfico interactivo · Cómo escribir tu alcance
Explora los datos completos
Este resumen solo muestra la superficie. El análisis interactivo completo incluye:
- Gráficos interactivos con Vega-Lite (hover para detalles)
- Mapa coroplético de España con certificaciones por CCAA
- Heatmap de especialización de certificadoras
- Red de coocurrencia de servicios con 4 comunidades
- Distribución de categorías por tema NLP (10 temas latentes)
- Datasets descargables en JSON bajo licencia CC BY-SA 4.0
→ Ir al análisis interactivo completo
Usa estos datos para tu certificación
Los datos son interesantes, pero lo que importa es tu certificación. Nuestro Análisis de Impacto gratuito usa IA para guiarte paso a paso en el proceso ENS, desde la definición del alcance hasta la categorización final.
Empezar análisis de impacto gratis →
También puedes hacer el BIA directamente en la web, sin registro.