Volver a los artículos
ENS Alto en la empresa: guía práctica 2026 (RD 311/2022, CCN-CERT, IA soberana)
ENS Soberanía Cloud Seguridad

ENS Alto en la empresa: guía práctica 2026 (RD 311/2022, CCN-CERT, IA soberana)

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Cofundador de DPLIANCE
· Actualizado el 13 min de lectura

Respuesta rápida: ¿qué es ENS Alto en 2026?

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, es el referencial español obligatorio para los sistemas de información del sector público y de los proveedores que les prestan servicios. Establece tres categorías de seguridad — BÁSICA, MEDIA y ALTA — en función del impacto potencial de un incidente. La categoría ALTA aplica cuando un perjuicio sobre la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información podría tener consecuencias muy graves.

ENS Alto garantiza acumulativamente:

  • Nivel de seguridad reforzado: 75 medidas técnicas y organizativas (frente a las 47 de la categoría MEDIA y las 23 de la BÁSICA), incluyendo aislamiento físico de entornos, cifrado de extremo a extremo, supervisión continua y gestión reforzada de identidades.
  • Soberanía jurídica documentada: el proveedor debe demostrar capacidad de mantener los datos bajo jurisdicción española o europea, con análisis explícito de los riesgos asociados a leyes extraterritoriales (CLOUD Act estadounidense, FISA Section 702).
  • Auditoría externa CCN-CERT: revisión bienal por entidad acreditada, evidencias continuas, planes de continuidad y recuperación documentados.

¿A quién se dirige ENS Alto?

  • Obligatorio: Administración General del Estado (AGE) en sistemas de categoría ALTA, comunidades autónomas y entes locales con datos sensibles, operadores de servicios esenciales bajo el RD-ley 12/2018 (transposición NIS) y la futura transposición de NIS-2, sistemas de defensa bajo CCN-STIC, servicios sanitarios públicos de las CC.AA. con datos clínicos sensibles.
  • Fuertemente recomendado: contratistas de la AGE, empresas estratégicas (energía con CNMC, finanzas con CNMV/Banco de España, telecomunicaciones), entornos de I+D con datos clasificados.
  • Opcional: otras organizaciones que buscan una señal de soberanía máxima.

Proveedores acreditados en 2026 (selección): OVHcloud Madrid, Stackscale (Grupo Aire), Arsys, Acens (Telefónica Tech), NTT Data Spain, Telefónica Cloud. AWS, Microsoft Azure y Google Cloud — declaraciones de conformidad ENS Medio en regiones españolas, sin acreditación ALTA con inmunidad jurídica plena.

Sobrecoste: 1,5 a 3 veces el precio de una nube pública estándar.

Para la mayoría de las organizaciones B2B españolas sin obligación reglamentaria específica, una nube hyperscaler en regiones españolas con declaración de conformidad ENS Medio es suficiente y cuesta menos. ENS Alto queda reservado para casos en que la acreditación CCN es exigida explícitamente por la normativa o el contrato.

Por qué ENS Alto es central en 2026

El ENS, publicado inicialmente en 2010 (RD 3/2010) y modernizado por el RD 311/2022, responde a una constatación estructural: las certificaciones de seguridad internacionales (ISO 27001, SOC 2) no cubren la dimensión jurisdiccional ni los requisitos específicos del sector público español. Tres movimientos lo convierten en el centro de la estrategia cloud española en 2026:

Movimiento 1 — Aplicación plena del RD 311/2022. Tras un período de adaptación, las administraciones públicas españolas y sus proveedores deben acreditar conformidad ENS desde finales de 2024-2025. Las inspecciones del CCN-CERT y los hallazgos de auditorías externas tienen ahora consecuencias contractuales reales: rescisión, penalizaciones, exclusión de licitaciones futuras.

Movimiento 2 — Transposición de NIS-2 en España. La directiva (UE) 2022/2555 NIS-2, transpuesta en España mediante anteproyecto en 2024-2025, amplía el perímetro a aproximadamente 10.000 entidades — esenciales e importantes. La obligación de medidas técnicas y organizativas adecuadas, junto con la responsabilidad personal de los órganos de dirección, hace de ENS un marco de cumplimiento de referencia.

Movimiento 3 — Ofertas hyperscaler “sovereign”. Microsoft Azure Sovereign, AWS European Sovereign Cloud y Google Sovereign Solutions intentan en 2025-2026 obtener acreditaciones de categoría ALTA mediante entidades jurídicas españolas o europeas dedicadas. La credibilidad frente al CCN sigue siendo discutida — las matrices estadounidenses permanecen sometidas al CLOUD Act, lo que el ENS evalúa explícitamente como riesgo inaceptable en categoría ALTA.

Las tres categorías del ENS y dónde encaja ALTA

El RD 311/2022 define tres categorías de seguridad determinadas mediante el análisis de riesgos sobre cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad):

Categoría BÁSICA: aplicable cuando un incidente causaría un perjuicio limitado. 23 medidas. Servicios estándar de baja sensibilidad.

Categoría MEDIA: perjuicio grave. 47 medidas. La categoría más extendida en la AGE y en las CC.AA. para servicios estándar.

Categoría ALTA: perjuicio muy grave, irreversible o con impacto sobre la seguridad nacional, los servicios esenciales o derechos fundamentales. 75 medidas reforzadas. Obligatoria para defensa, datos sanitarios masivos sensibles, sistemas críticos de la AGE.

Para un proyecto empresarial estándar la categoría MEDIA suele ser objetivo; para sectores regulados (sanidad pública autonómica con datos clínicos sensibles, defensa, AGE crítica) ALTA es la referencia.

Casos de uso donde ENS Alto se impone en 2026

Cinco casos en los que la organización no tiene realmente elección.

1. Administración General del Estado (AGE). Ministerios, organismos autónomos y entidades del sector público estatal con sistemas de categoría ALTA según el análisis de riesgo del Esquema. Ejemplos: AEAT, Seguridad Social, MUFACE, MITES, sistemas judiciales.

2. Sanidad pública autonómica con datos clínicos sensibles. Servicios autonómicos de salud (SERMAS, Servei Català de la Salut, Osakidetza, SAS, Servicio Madrileño de Salud, etc.) que tratan historias clínicas masivas o datos de pacientes con condiciones especialmente protegidas. ENS Alto combinado con la normativa española de protección de datos sanitarios y la evolución del Espacio Europeo de Datos Sanitarios (EHDS).

3. Defensa bajo CCN-STIC. Sistemas que tratan información clasificada (DIFUSIÓN LIMITADA, CONFIDENCIAL, RESERVADO, SECRETO). Las normas STIC del CCN imponen requisitos adicionales sobre los productos cualificados, los entornos físicos y el personal con habilitación de seguridad.

4. Operadores de servicios esenciales (RD-ley 12/2018 y NIS-2). Energía, transporte, banca, infraestructuras de mercado financiero, sanidad, suministro de agua potable, infraestructuras digitales, administración pública, espacio. ENS Alto suele ser exigido por la categoría de los datos tratados.

5. Licitaciones públicas con cláusula ENS. Numerosos pliegos de la AGE y de las CC.AA. en 2026 incluyen ENS Alto como criterio de admisibilidad para servicios cloud que tratan datos sensibles. La acreditación se convierte en condición previa a la licitación.

Proveedores acreditados ENS Alto en 2026

OVHcloud Madrid Operador francés con centros de datos en Madrid (MAD1), acreditado ENS categoría ALTA. Hosted Private Cloud y Bare Metal con disponibilidad de GPU (H100). Soberanía via matriz francesa, inmunidad documentada frente al CLOUD Act.

Stackscale (Grupo Aire) Operador español pure-play, capital nacional, acreditado ENS categorías ALTA y MEDIA. Centros de datos en Madrid y Barcelona. Especializado en Private Cloud y entornos VMware/Proxmox.

Arsys (Grupo Aire / 1&1) Acreditado ENS categorías ALTA y MEDIA. Servicios de hosting, cloud y email empresarial. Larga trayectoria en la AGE y CC.AA.

Acens (Telefónica Tech) Filial de Telefónica especializada en hosting y cloud empresarial. Acreditaciones ENS según servicio. Integración con la oferta cloud Telefónica.

NTT Data Spain Integrador con oferta cloud propia y acreditaciones ENS para entornos sectoriales (sanidad, finanzas, AGE).

Telefónica Cloud Servicios cloud con varios componentes acreditados ENS según producto. Posición fuerte en grandes contratos AGE y en operadores estratégicos españoles.

AWS Madrid, Microsoft Azure Spain, Google Cloud Madrid Hyperscalers con regiones en España. Declaraciones de conformidad ENS para categoría MEDIA mediante el modelo de responsabilidad compartida. Para categoría ALTA, las matrices estadounidenses continúan sometidas al CLOUD Act y FISA — barrera práctica que ningún esquema “sovereign” ha resuelto satisfactoriamente ante el CCN en 2026.

ENS Alto + IA: el tema 2026

La llegada masiva de la IA generativa a las administraciones y empresas españolas (2024-2026) crea demanda fuerte de stacks de IA sobre infraestructura ENS Alto. Tres arquitecturas se consolidan:

Arquitectura 1 — IA gestionada en un proveedor ENS Alto

OVHcloud Madrid y Stackscale desarrollan en 2026 ofertas de IA gestionada incluyendo modelos Mistral u otros LLM europeos. Para organizaciones que no quieren operar su propia infraestructura GPU, la opción más simple.

Arquitectura 2 — LLM en instancia GPU ENS Alto

Alquilar una instancia GPU H100 en OVHcloud Madrid, Stackscale o Arsys y desplegar Mistral mediante vLLM o TGI. Más control, más coste. Ver nuestra guía LLM local en empresa.

Arquitectura 3 — Mistral on-premise sobre infraestructura interna equivalente a ENS Alto

Para organizaciones muy sensibles, despliegue en centros de datos privados que cumplen las medidas ENS Alto por construcción. Máximo control, máximo coste.

Ver también nuestra guía IA soberana para el marco estratégico.

Coste y trade-off: ENS Alto vs hyperscaler en regiones españolas

Hablemos claro: ENS Alto es un sobrecoste significativo (1,5x a 3x una nube pública equivalente). Para la mayoría de las organizaciones B2B españolas sin obligación reglamentaria específica, AWS Madrid, Azure Spain Central o Google Cloud Madrid con declaración de conformidad ENS Medio ofrecen ya:

  • Datos en territorio español
  • Conformidad ENS Medio
  • Cumplimiento RGPD/LOPDGDD nativo
  • Catálogo de servicios rico
  • Precios competitivos

La diferencia con ENS Alto: la acreditación CCN formal, la inmunidad jurídica frente a leyes extraterritoriales (sólo proveedores con capital europeo) y un nivel de auditoría reforzado.

Regla de decisión simple:

  • AGE / sanidad pública autonómica con datos sensibles / defensa CCN-STIC: ENS Alto obligatorio
  • Licitación pública con exigencia ENS Alto: proveedor ENS Alto requerido
  • B2B estándar con búsqueda de soberanía: hyperscaler España con ENS Medio basta
  • Datos sensibles no regulados: arbitraje según evaluación interna del riesgo CLOUD Act

Cómo elegir un proveedor ENS Alto en 2026

Cinco criterios de evaluación.

1. Cobertura funcional: compute, almacenamiento, base de datos, GPU, IA, contenedores, serverless. OVHcloud Madrid es la oferta más completa entre proveedores soberanos; Stackscale y Arsys cubren lo esencial; los demás más especializados.

2. Disponibilidad de GPU e IA: para usos de IA, verificar disponibilidad de H100 o MI300X y ecosistema software (Mistral Inference, vLLM, frameworks).

3. Tarificación: solicitar oferta para uso representativo (no hay tarificación pública estandarizada para ENS Alto comparable a la de hyperscalers).

4. Compromiso contractual: verificar la cláusula de inmunidad jurídica frente a leyes extraterritoriales, los plazos de notificación en caso de requerimiento, las condiciones de reversibilidad.

5. Solidez del operador: accionariado, equipo técnico, habilitación de seguridad del personal, referencias de clientes públicos, histórico de incidentes publicados.

Lo que nos negamos a prometer

Tres antiPatterns recurrentes que evitamos en DPLIANCE al encuadrar un proyecto ENS Alto.

“Todo debe migrarse a ENS Alto por principio.” Falso. ENS Alto cuesta de 1,5 a 3 veces una nube pública estándar. Para el 80% de las organizaciones B2B españolas sin obligación reglamentaria (AGE crítica, sanidad pública sensible, defensa, OSE), un hyperscaler en Madrid con declaración ENS Medio aporta ya datos en España a coste competitivo. Sobreinvertir en ENS Alto cuando la necesidad no lo justifica degrada el ROI.

“AWS European Sovereign Cloud, Azure Sovereign o Google Sovereign son ENS Alto.” Aún no acreditados en categoría ALTA en 2026 (estado pendiente). Los esquemas jurídicos dedicados — entidades europeas o españolas — intentan la acreditación, pero las matrices estadounidenses permanecen sometidas al CLOUD Act, lo que el CCN evalúa como riesgo inaceptable en categoría ALTA. Para una necesidad ENS Alto confirmada en 2026, las opciones verificadas son OVHcloud Madrid, Stackscale, Arsys, Acens, NTT Data Spain y Telefónica Cloud.

“Desplegamos la IA en ENS Alto como en hyperscaler.” No exactamente. El ecosistema de IA en ENS Alto es más reducido que en hyperscaler. Ni Bedrock, ni Cosmos DB, en muchos casos sin base vectorial gestionada. A menudo hay que montar el stack propio (Mistral via vLLM + Qdrant self-hosted) sobre instancias GPU acreditadas — ejercicio más DevOps que cloud-as-a-service. Contar con experiencia interna o un integrador con experiencia ENS.

DPLIANCE es un editor de software. Cuando concebimos una solución de IA a medida que debe correr en ENS Alto, gestionamos el stack completo: elección del operador (OVHcloud Madrid, Stackscale, Arsys), despliegue de Mistral on-premise sobre GPU acreditada, integración RAG, registro auditable, documentación para auditoría CCN-CERT.

FAQ

¿Qué es la certificación ENS Alto?

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, establece tres categorías de seguridad para los sistemas de información del sector público y de los proveedores que les prestan servicios: BÁSICA, MEDIA y ALTA. La categoría ALTA aplica cuando un incidente de seguridad podría causar un perjuicio muy grave a la organización, sus servicios esenciales o al interés general. Un proveedor cloud acreditado en categoría ALTA debe cumplir 75 medidas reforzadas, someterse a auditoría externa cada dos años y mantener evidencias continuas para el CCN (Centro Criptológico Nacional).

¿Quién está obligado a usar una nube ENS Alto?

Obligatorio para: la Administración General del Estado (AGE), las administraciones autonómicas y locales que tratan datos de categoría ALTA, los operadores de servicios esenciales bajo el Real Decreto-ley 12/2018 (transposición NIS) y la futura transposición NIS-2, los sistemas de defensa bajo CCN-STIC, los servicios sanitarios públicos de las Comunidades Autónomas con datos clínicos sensibles. Recomendado para: contratistas de la AGE, empresas estratégicas (energía, finanzas, telecomunicaciones), entornos de I+D con datos clasificados.

¿Qué proveedores están certificados ENS Alto en 2026?

OVHcloud Madrid (categoría ALTA), Stackscale (Grupo Aire), Arsys (categorías ALTA y MEDIA), Acens (Telefónica Tech), NTT Data Spain. Telefónica Cloud (varios componentes acreditados según servicio). AWS, Microsoft Azure y Google Cloud disponen de declaraciones de conformidad ENS para categoría MEDIA en regiones españolas, pero la categoría ALTA con inmunidad jurídica frente al CLOUD Act sigue siendo terreno de proveedores con capital europeo.

¿Pueden AWS, Azure o Google Cloud certificarse ENS Alto?

Disponen de declaraciones de conformidad ENS en regiones españolas para categorías hasta MEDIA, gestionadas a través del modelo de responsabilidad compartida. La categoría ALTA exige garantías reforzadas que, en la práctica, son difíciles de mantener cuando la matriz está sujeta al CLOUD Act estadounidense y a la sección 702 de FISA. Los proveedores hyperscaler están desarrollando ofertas “sovereign” en 2025-2026 mediante entidades jurídicas españolas o europeas dedicadas, pero la credibilidad de estos esquemas frente a CCN sigue siendo discutida.

¿La nube ENS Alto es compatible con IA?

Sí — y la demanda crece rápidamente en 2026. OVHcloud Madrid, Stackscale y Arsys ofrecen instancias GPU (H100, MI300X) adecuadas para alojar Mistral, Llama 3 u otros LLM open source. Dos opciones: (1) alquilar instancias GPU y desplegar Mistral mediante vLLM o TGI; (2) consumir servicios de IA gestionada cuando estén disponibles. El ecosistema es más limitado que AWS Bedrock, pero suficiente para la mayoría de los casos de uso empresariales.

¿Cuánto cuesta ENS Alto frente a la nube pública estándar?

Las ofertas ENS Alto son normalmente entre 1,5 y 3 veces más caras que servicios equivalentes de AWS, Azure o GCP en regiones españolas. El sobrecoste cubre el nivel de seguridad reforzado, el aislamiento, la soberanía jurídica, la auditoría CCN cada dos años, el personal con habilitación de seguridad y un ecosistema más restringido. Para la mayoría de los usos no críticos resulta difícil de justificar — reservado a usos realmente sensibles.

¿Cómo elegir entre ENS Alto y ENS Medio en regiones españolas?

Si eres AGE, comunidad autónoma con datos sanitarios sensibles o defensa bajo CCN-STIC: ENS Alto obligatorio. Si tus datos son sensibles pero la categoría aplicable es MEDIA: AWS, Azure o Google Cloud en Madrid con declaración de conformidad ENS Medio cubren el 80% de los casos a menor coste. ENS Alto aporta la acreditación CCN formal y la inmunidad jurídica reforzada, pero no automáticamente mayor seguridad operativa que un hyperscaler bien configurado en categoría MEDIA.

Fuentes: Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191); Centro Criptológico Nacional CCN-CERT, normas STIC y guías de aplicación del ENS (ccn-cert.cni.es); Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información (transposición NIS); anteproyecto de transposición NIS-2 (2024-2025); Directiva (UE) 2022/2555 NIS-2; documentación pública de OVHcloud, Stackscale, Arsys, Acens, NTT Data Spain, Telefónica Cloud; informes públicos sobre ofertas hyperscaler “sovereign”.

Para encuadrar un proyecto de infraestructura ENS Alto (o alternativa soberana) — selección de proveedor, integración de IA, conformidad — ver nuestra guía IA soberana, nuestra guía LLM local en empresa, nuestra guía nube soberana en empresa, o contáctanos a través de nuestras soluciones de IA a medida.

Escríbanos

contact@dpliance.com
Contáctenos