Entidades de certificación acreditadas
La Entidad Nacional de Acreditación (ENAC) pone a disposición de los interesados el esquema de acreditación de entidades que quieran certificar el cumplimiento con el Esquema Nacional de Seguridad (ENS).
El esquema de acreditación ha sido desarrollado por ENAC en estrecha colaboración con el Secretaría General de Administración Digital (Ministerio de Asuntos Económicos y Transformación Digital) y el Centro Criptológico Nacional (CCN).
En el caso de sistemas clasificados con el grado de DIFUSIÓN LIMITADA (DL) o equivalente, una entidad debe estar acreditada por ENAC en el ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 para poder certificar el cumplimiento de requisitos STIC. Además, las entidades auditoras de seguridad deben disponer de Habilitación de Seguridad de Empresa (HSEM) en vigor.
También se podrá certificar el cumplimiento de los requisitos STIC en el ámbito de los sistemas clasificados (DL) entre aquellas entidades auditoras que cumplan alguna de las siguientes opciones (CCN-STIC-101):
- Ser una entidad, órgano, organismo y unidad vinculada o dependiente de las Administraciones Públicas cuyas competencias incluyan el desarrollo de auditorías de sistemas de información, así conste en su normativa de creación o decretos de estructura y quede garantizada la debida imparcialidad.
- Excepcionalmente, ser una empresa validada por el CCN, que haya demostrado la capacidad técnica suficiente para llevar a cabo auditorías/inspecciones STIC sobre sistemas que manejan información clasificada.
Los interesados en solicitar la acreditación pueden ponerse en contacto con la ENAC en el correo: enac@enac.es
Lo deseable sería intentar que todos los sistemas (los que ya estén certificados y los que estén en proceso de certificación) lleguen al 05.05.2024 con un certificado del RD 311/2022 o estén en proceso de obtenerlo, para lo que el Centro Criptológico Nacional (CCN) insta a las Entidades de Certificación acreditadas a que aconsejen a sus clientes sobre tales extremos, lo que sin duda evitará posibles situaciones de caducidad de las Certificaciones y mejorará la confianza en los sistemas de información del ámbito de aplicación del ENS certificados conforme al nuevo RD.
Como se indica en la Guía de Seguridad CCN-STIC CCN-CERT IC-01/19 ENS: Criterios Generales de Auditoría y Certificación cuando se produzca una situación excepcional -como la provocada en su momento por la Covid-19-, que aconseje la apertura de un paréntesis temporal en la relación entre las Entidades de Certificación y sus clientes, o la extensión temporal de las Certificaciones de Conformidad emitidas, el CCN podrá, en el ejercicio de sus competencias, prolongar la vigencia de los Certificados de Conformidad mediante la emisión de un comunicado o tras el análisis de cada caso concreto que, en tal sentido, se someta a su consideración.
La fecha indicada cuando una entidad está en proceso de acreditación corresponde a la fecha en la que dicha acreditación fue solicitada a ENAC. Durante el plazo de 12 meses, la empresa en proceso de acreditación podrá realizar auditorías y emitir certificados. Si durante ese periodo no se ha obtenido la acreditación, la entidad en proceso deberá cesar en sus actividades de certificación.
Entidades de certificación acreditadas o en vías de acreditación para expedir certificaciones de conformidad con el ENS y sistemas clasificados con el grado de DIFUSIÓN LIMITADA (DL) o equivalente:

Nombre | Razón social | Enlace web | Estado acreditación ENS (acreditadas por ENAC) | Estado acreditación ENS (reconocidas como OAT) | Estado acreditación STIC (DL) |
---|---|---|---|---|---|
ADOK CERTIFICACIÓN | ADOK CERTIFICACIÓN, S.L. | EN PROCESO 20-04-2023 | - | - | |
AENOR Internacional | AENOR Internacional, S.A.U. | - | |||
Agència de Ciberseguretat de Catalunya | Agència de Ciberseguretat de Catalunya | - | - | ||
Audertis Audit Services | Audertis Audit Services, S.L. | - | |||
BDO Auditores | BDO Auditores, S.L.P. | - | - | ||
Bureau Veritas Certificación | Bureau Veritas Iberia, S.L. | - | - | ||
Cámara Certifica | Certificación y Confianza, Cámara S.L.U. | - | - | ||
DNV GL Business Assurance España | DNV GL Business Assurance España, S.L. (Unipersonal) | - | - | ||
CESTIC - Centro de Sistemas y Tecnologías de la Información y las Comunicaciones | Secretaría de Estado de Defensa (Ministerio de Defensa) | - | |||
European Quality Assurance Spain | European Quality Assurance Spain, S.L. | - | - | ||
IMQ Ibérica - Certificación de Sistemas de Calidad y de Producto | IMQ Ibérica - Certificación de Sistemas de Calidad y de Producto, S.L. (Unipersonal) | - | - | ||
IVAC - Instituto de Certificación | IVAC - Instituto de Certificación, S.L. | - | - | ||
LEET Security | LEET Security, S.L. | - | - | ||
LGAI Technological Center (APPLUS) | LGAI Technological Center, S.A. (APPLUS) | - | - | ||
Mando Conjunto del Ciberespacio (MCCE) / ESPDEF-CERT | Ministerio de Defensa / Estado Mayor de la Defensa (EMAD) | - | |||
OCA Global | OCA Instituto de Certificación S.L. (Unipersonal) | - | - | ||
S2 Grupo | S2 Grupo | - | - | ||
SGS International Certification Services Ibérica | SGS International Certification Services Ibérica, S.A.U. | EN PROCESO | - | - | |
Sistemas Informáticos Abiertos | Sistemas Informáticos Abiertos, S.A.U. | - | - | ||
SGS BRIGHTSIGHT BARCELONA | SGS BRIGHTSIGHT BARCELONA, S.L. (Unipersonal) | - | - |