Datos actualizados: Este análisis utiliza los 2.215 certificados del registro público del CCN-CERT (febrero 2026). Explora los datos en el análisis interactivo completo.
La certificación ENS requiere una auditoría por parte de una entidad certificadora acreditada por ENAC (Entidad Nacional de Acreditación). Elegir certificadora es una de las primeras decisiones del proceso, y los datos muestran que no todas son iguales.
Ranking de certificadoras
Las 10 principales certificadoras concentran más del 95% del mercado:
| # | Certificadora | Certificaciones | Cuota | % ALTA | % MEDIA | % BÁSICA | Long. media |
|---|---|---|---|---|---|---|---|
| 1 | APPLUS | 502 | 22,7% | 39,6% | 59,4% | 1,0% | 445 car. |
| 2 | AENOR Internacional | 382 | 17,2% | 34,8% | 61,5% | 3,7% | 445 car. |
| 3 | OCA Global | 369 | 16,7% | 27,6% | 69,4% | 3,0% | 265 car. |
| 4 | Adok Certificación | 194 | 8,8% | 24,2% | 75,3% | 0,5% | 333 car. |
| 5 | IVAC – Kiwa | 129 | 5,8% | 36,4% | 63,6% | 0,0% | 354 car. |
| 6 | Audertis Audit Services | 123 | 5,6% | 27,6% | 69,9% | 2,4% | 317 car. |
| 7 | BDO Auditores | 98 | 4,4% | 89,8% | 9,2% | 1,0% | 250 car. |
| 8 | LEET Security | 87 | 3,9% | 32,2% | 67,8% | 0,0% | 250 car. |
| 9 | Bureau Veritas | 72 | 3,3% | 19,4% | 73,6% | 6,9% | 329 car. |
| 10 | SGS | 56 | 2,5% | 21,4% | 76,8% | 1,8% | 326 car. |
Las 12 certificadoras restantes suman menos del 5% del mercado, con menos de 50 certificaciones cada una.
Concentración del mercado
| Métrica | Valor | Interpretación |
|---|---|---|
| Top 3 (APPLUS + AENOR + OCA) | 56,6% | Más de la mitad del mercado |
| Top 5 | 71,2% | Fuerte concentración |
| HHI (Herfindahl-Hirschman) | 1.282 | Mercado moderadamente concentrado |
Un HHI de 1.282 indica un mercado moderadamente concentrado (el umbral de alta concentración es 2.500). Hay competencia real, pero las tres grandes tienen una ventaja de escala significativa.
Perfiles de especialización
No todas las certificadoras trabajan igual. Hay tres perfiles claramente diferenciados:
Las generalistas de volumen
APPLUS, AENOR, OCA Global, las tres mayores, mantienen una distribución de categorías cercana a la media del mercado (30-40% ALTA, 60-70% MEDIA). Certifican todo tipo de organizaciones y sectores. Sus alcances son los más largos del registro (APPLUS y AENOR: 445 caracteres de media), lo que sugiere procesos de redacción más detallados.
La especialista en ALTA
BDO Auditores es un caso único: el 89,8% de sus certificaciones son ALTA. Solo 9 de sus 98 certificaciones son MEDIA y solo 1 es BÁSICA. BDO se ha posicionado como la certificadora de referencia para organizaciones de alta seguridad: centros de datos, proveedores cloud, infraestructura crítica. Sus alcances son más cortos (250 caracteres de media), directos y técnicos.
Las de nicho moderado
Adok, Bureau Veritas, SGS tienen un perfil orientado a MEDIA (73-77%). Estas certificadoras trabajan más con empresas de servicios TI estándar, consultoras y pymes. Bureau Veritas tiene la tasa más alta de BÁSICA (6,9%), probablemente por su presencia en el sector de entidades locales.
Estilo de redacción por certificadora
Las certificadoras influyen significativamente en cómo se redacta el alcance (χ²=191,9, p<10⁻³¹, V de Cramér = 0,218):
- APPLUS y AENOR producen los alcances más largos (445 caracteres), con descripciones detalladas de servicios.
- OCA Global y BDO producen los más concisos (250-265 caracteres), con un estilo más directo.
- BDO usa “que soportan” en el 97% de sus alcances: un estilo distintivo que no comparte ninguna otra certificadora.
Esta diferencia importa: si cambias de certificadora, tu alcance probablemente cambiará de estilo en la renovación.
Presencia geográfica de las certificadoras
El dataset del CCN-CERT no cruza certificadora con comunidad autónoma, pero podemos hacer inferencias a partir de lo que sabemos del mercado:
- Las tres grandes (APPLUS, AENOR, OCA Global) tienen cobertura nacional con oficinas en las principales ciudades. Su volumen (502, 382 y 369 certificaciones respectivamente) solo es posible si operan en múltiples CCAA. Son la opción segura si estás fuera de Madrid o Barcelona.
- Las especializadas (BDO, LEET Security) tienden a concentrarse en Madrid, donde está el grueso de sus clientes de ALTA (infraestructura crítica, cloud, centros de datos). Si necesitas BDO fuera de Madrid, confirma disponibilidad de auditores.
- Las de nicho (Adok, Audertis, Bureau Veritas, SGS) tienen presencia más variable. Bureau Veritas y SGS son multinacionales con oficinas en muchas ciudades, mientras que Adok y Audertis tienen presencia más limitada.
Implicación práctica: los costes de desplazamiento de auditores pueden suponer un 10-20% del coste total de la auditoría. Si estás en una comunidad con pocas certificaciones, prioriza certificadoras con presencia en tu zona o negocia los costes de viaje por anticipado.
Orientación sectorial
Aunque el dataset no incluye el sector de cada empresa certificada, los perfiles de categoría de las certificadoras son un proxy revelador:
Sectores de infraestructura crítica → ALTA
BDO (89,8% ALTA) y en menor medida APPLUS (39,6% ALTA) e IVAC-Kiwa (36,4% ALTA) concentran los clientes de alta seguridad: proveedores cloud, centros de datos, empresas de ciberseguridad y operadores de infraestructura crítica. Estos sectores requieren categoría ALTA por los niveles de disponibilidad y confidencialidad que manejan.
Servicios TI y consultoría → MEDIA
Adok (75,3% MEDIA), SGS (76,8% MEDIA) y OCA Global (69,4% MEDIA) trabajan principalmente con empresas de servicios TI estándar: desarrollo de software, mantenimiento, consultoría tecnológica. Estos sectores suelen certificar en MEDIA porque sus activos de información tienen impacto significativo pero no crítico.
Administración pública y entidades locales → BÁSICA
Bureau Veritas (6,9% BÁSICA) tiene la mayor proporción de certificaciones BÁSICA. Esto sugiere presencia en el segmento de entidades públicas locales (ayuntamientos, mancomunidades) que certifican con alcances acotados y niveles de impacto limitados.
Cómo elegir certificadora: guía práctica
Si tu sistema es categoría ALTA probable
Prioriza certificadoras con experiencia en ALTA: BDO (89,8% ALTA), APPLUS (39,6% ALTA), IVAC-Kiwa (36,4% ALTA), AENOR (34,8% ALTA). Estas certificadoras conocen los requisitos adicionales del Anexo II para categoría ALTA y sus auditores están acostumbrados a sistemas complejos.
Si tu sistema es categoría MEDIA estándar
Las generalistas ofrecen buena relación calidad-precio: OCA Global, Adok, Audertis. Con distribuciones del 69-75% MEDIA, su proceso está optimizado para este perfil.
Factores a considerar
- Presencia geográfica: no todas operan en todas las CCAA. Consulta si tienen auditores en tu zona para minimizar costes de desplazamiento.
- Experiencia sectorial: si estás en un sector específico (sanidad, cloud, e-gobierno), pregunta por referencias en tu sector.
- Plazos: las grandes (APPLUS, AENOR) pueden tener listas de espera más largas por su volumen.
- Precio: varía significativamente. Pide presupuesto a al menos 3 certificadoras.
- Estilo de trabajo: algunas son más prescriptivas en el formato del alcance y la documentación, otras más flexibles.
Explora la visualización interactiva del mercado de certificadoras, incluyendo el heatmap de especialización por categoría, en el análisis completo.
¿Listo para certificarte? Empieza tu análisis de impacto gratis, la herramienta te guía paso a paso hasta la categorización.