Radiografía del ENS: 2.215 sistemas certificados analizados

Visión general

El Esquema Nacional de Seguridad clasifica cada sistema certificado en una de tres categorías: BÁSICA, MEDIA o ALTA: según el impacto potencial que tendría un incidente de seguridad sobre los servicios que presta. Esta categoría determina las medidas de seguridad exigidas: a mayor categoría, más controles del Anexo II deben implementarse.

De los 2.215 sistemas certificados en el registro INES del CCN-CERT, la inmensa mayoría se concentra en la categoría MEDIA. Solo 1 de cada 4 sistemas alcanza la categoría ALTA, y menos del 3% se clasifica como BÁSICA. El segundo gráfico desglosa estas proporciones separando sector público y privado, revelando diferencias significativas en los perfiles de seguridad de ambos sectores.

Cómo leer estos gráficos: el donut de la izquierda muestra la proporción global de cada categoría. La escasez de BÁSICA (2,4%) tiene una explicación práctica: las organizaciones con sistemas realmente sencillos suelen recurrir a los Perfiles de Cumplimiento Específico (PCE) en lugar de una certificación completa. En el gráfico de la derecha, observa cómo el sector público tiene una proporción de ALTA notablemente superior; coherente con el manejo de datos de ciudadanos, historias clínicas y sistemas críticos de la Administración.

Geografía de la certificación

La certificación ENS es de ámbito nacional, pero su distribución geográfica es extremadamente desigual. El registro del CCN-CERT asocia cada certificación a la localidad declarada por la empresa — normalmente su sede social, no la ubicación de sus operaciones. Esto significa que una empresa con sede en Madrid puede prestar servicios certificados en toda España.

Madrid concentra casi la mitad de todas las certificaciones ENS, reflejando su posición como centro de los proveedores TI del sector público, las grandes consultoras y las empresas de ciberseguridad. Cataluña, la Comunitat Valenciana y Andalucía completan el cuarteto principal. Las 15 comunidades restantes se reparten solo el 18% del total, con Navarra, Melilla y Ceuta en la cola con 5, 2 y 1 certificación respectivamente.

Cómo leer estos gráficos: el mapa coropleta (izquierda) usa una escala de color donde los tonos más oscuros indican mayor número de certificaciones. Pasa el ratón sobre cada comunidad para ver las cifras exactas. El gráfico de barras (derecha) ordena las 19 comunidades autónomas de mayor a menor, facilitando la comparación directa. Nota la caída abrupta tras las cuatro primeras: Galicia, en quinta posición, tiene solo 66 certificaciones frente a las 149 de Andalucía.

→ Análisis detallado por comunidades autónomas

El mercado de las certificadoras

La certificación ENS exige una auditoría por parte de una entidad certificadora acreditada por ENAC (Entidad Nacional de Acreditación). Elegir certificadora es una de las primeras decisiones del proceso, y los datos muestran que no todas son iguales. Cada certificadora tiene un perfil distinto en volumen, especialización por categoría e incluso en la longitud media de los alcances que certifica.

22 entidades certificadoras acreditadas operan en el mercado ENS. Las tres mayores, APPLUS, AENOR y OCA Global, concentran el 57% de todas las certificaciones. Las 10 principales suman más del 95%. Las 12 restantes tienen menos de 50 certificaciones cada una. Esta concentración tiene implicaciones prácticas: las grandes generalistas compiten en precio por volumen, mientras que las especialistas ofrecen experiencia sectorial que puede ser decisiva en auditorías complejas.

Cómo leer estos gráficos: el gráfico de barras (izquierda) muestra el volumen total de certificaciones de cada entidad. El color de cada barra indica el porcentaje de certificaciones ALTA, cuanto más rojo, mayor proporción de ALTA. El mapa de calor (derecha) desglosa la especialización: cada fila es una certificadora, cada columna es una categoría (BÁSICA, MEDIA, ALTA). Los tonos más oscuros indican mayor porcentaje. Compara las filas de BDO (casi todo ALTA) con OCA Global (predominantemente MEDIA) para entender lo diferentes que son los perfiles.

→ Guía completa del mercado de certificadoras

Evolución temporal

El Esquema Nacional de Seguridad existe desde 2010, pero la certificación prácticamente no existía hasta 2022. Durante más de una década, el cumplimiento del ENS fue un ejercicio mayoritariamente documental, sin auditoría externa obligatoria. Todo cambió con la aprobación del Real Decreto 311/2022, que actualizó el ENS y, crucialmente, extendió su ámbito de aplicación a las empresas privadas proveedoras del sector público.

El resultado fue un crecimiento sin precedentes: de 54 certificaciones en todo 2023 a casi 1.000 anuales en 2024 y 2025. Miles de proveedores tecnológicos que operaban con el sector público se vieron obligados a certificarse, transformando un mercado casi inexistente en uno de los más dinámicos del panorama de la ciberseguridad española.

Cómo leer este gráfico: el eje horizontal muestra el tiempo (por trimestre) y el vertical el número acumulado de certificaciones. La curva plana hasta 2023 refleja el mercado casi inexistente. La inflexión brusca en 2024 marca el punto de no retorno. Observa que la pendiente se mantiene prácticamente constante entre 2024 y 2025, el mercado se ha estabilizado en un ritmo de unas 1.000 certificaciones anuales, con proporciones estables de aproximadamente 34% ALTA, 63% MEDIA y 3% BÁSICA.

→ Tendencias y proyecciones de certificación ENS

Anatomía del alcance

El alcance es el documento que define la frontera de tu certificación ENS: qué sistemas de información, servicios, tipos de información y unidades organizativas están cubiertos. Es la primera decisión del proceso y la que más impacto tiene en todo lo que viene después: la categorización, el análisis de riesgos, la declaración de aplicabilidad y la auditoría. El 47% de los 2.215 alcances certificados sigue la misma fórmula: "Los sistemas de información que dan soporte a los servicios de [lista], según la declaración de aplicabilidad vigente".

Pero más allá de la fórmula, la longitud y los términos utilizados varían enormemente entre certificadoras. La mediana es de 267 caracteres, pero hay alcances de 50 y otros de más de 2.000. Hemos analizado si estas diferencias están asociadas con la categoría obtenida. El resultado: sí hay asociación estadística (p < 0.001), pero el tamaño del efecto es pequeño. La longitud por sí sola no predice la categoría: lo que importa es qué servicios describes, no cuánto escribes.

Cómo leer este gráfico: el histograma muestra la distribución de la longitud del alcance (en caracteres) agrupada por certificadora. La zona sombreada de cada violín indica la densidad: donde el violín es más ancho, hay más certificaciones con esa longitud. Observa que cada certificadora tiene su propio "estilo": OCA Global tiende a textos más cortos (~265 caracteres de media), mientras que APPLUS y AENOR producen alcances más extensos (~445 caracteres). Esta diferencia es atribuible al estilo de la certificadora, no a la complejidad del sistema.

→ Cómo escribir tu alcance ENS

Qué servicios se certifican juntos

Cuando una empresa escribe su alcance ENS, lista los servicios que certifica. Pero nadie certifica un solo servicio en el vacío: hay combinaciones que el mercado ha establecido como estándar. Si ofreces desarrollo de software, casi todas las demás empresas con ese servicio también certifican mantenimiento. Si ofreces consultoría, las demás también incluyen auditoría y formación. Omitir un servicio que el mercado considera inseparable del tuyo puede generar preguntas incómodas en la auditoría.

Hemos analizado las co-ocurrencias de servicios en los 2.215 alcances y aplicado detección de comunidades (algoritmo de Louvain) para identificar grupos naturales. El resultado: 4 clusters temáticos claros que representan los "paquetes de servicios" más habituales del mercado ENS.

Cómo leer este gráfico: cada nodo es un servicio extraído de los textos de alcance. Cada línea conecta dos servicios que aparecen juntos en al menos un alcance: cuanto más gruesa la línea, más frecuente la co-ocurrencia. Los colores agrupan los servicios por comunidad temática detectada automáticamente. Busca tu servicio principal en el grafo y observa con qué otros servicios está más fuertemente conectado: esas son las combinaciones que el mercado considera normales.

Inteligencia artificial sobre los textos

Las estadísticas descriptivas cuentan qué hay en los datos, pero no explican por qué. Para eso, aplicamos técnicas de procesamiento de lenguaje natural (NLP) y machine learning a los 2.215 textos de alcance. El objetivo: descubrir si el texto del alcance: las palabras que una empresa elige para describir sus servicios — contiene información suficiente para predecir la categoría del sistema antes de hacer el BIA.

La respuesta es un "sí, pero moderado". Un modelo de regresión logística entrenado con TF-IDF predice la categoría con un 68,8% de acierto, 4 puntos por encima del baseline de asignar siempre MEDIA (64,6%). No es espectacular, pero es estadísticamente significativo y revela qué términos son los mejores predictores. Además, un modelo de temas latentes (NMF con 10 componentes) descubre vecindarios temáticos con perfiles de categoría muy distintos.

Cómo leer estos gráficos: a la izquierda, el gráfico de importancia de variables muestra los términos con mayor peso en el modelo predictivo. Los términos en la parte superior son los más predictivos de categoría ALTA (como "centro dato", "remoto" o "paciente"), mientras que los de la parte inferior predicen MEDIA o BÁSICA. Importante: estas correlaciones no son causales, las palabras no causan la categoría, sino que reflejan el tipo de organización. A la derecha, cada barra horizontal representa un tema latente descubierto por el modelo NMF, con su distribución interna de categorías. Los temas relacionados con ciberseguridad y cloud tienen la mayor proporción de ALTA.

→ Categorías ENS en cifras: datos y predicciones

Metodología

Descargas

Todos los datos de este análisis son de acceso libre bajo licencia CC BY-SA 4.0. Puedes descargar los datasets procesados para tus propios análisis.