Saltar al contenido
OS Domains
Industry

Email para sector público con ENS-equivalente y eIDAS.

La infraestructura de email del sector público en la UE es una cuestión de soberanía y de rendición de cuentas: los datos deben permanecer dentro de la UE (a menudo dentro de un país concreto), la ley de contratación exige términos compatibles con el artículo 73 de la directiva, y las comunicaciones de cara al ciudadano caen bajo la Directiva de Accesibilidad Web y la Ley Europea de Accesibilidad. OS Domains está constituida, enrutada y operada en la UE, con una plantilla de DPA lista para licitación y un equipo de respuesta a licitaciones que lleva el proceso de extremo a extremo. Para las administraciones españolas, el ISO 27001:2022 está mapeado a los 75 controles del ENS nivel ALTO, con residencia única en España, sello cualificado de tiempo eIDAS y emisión de Facturae 3.2 vía FACe.

Servimos a entidades del sector público europeo. Las administraciones españolas operan bajo el RGPD/LOPDGDD más capas adicionales: Esquema Nacional de Seguridad (RD 311/2022), Ley 9/2017 de Contratos del Sector Público, Ley 39/2015 sobre archivo y conservación, RD 1112/2018 sobre accesibilidad conforme a EN 301 549. Nuestro ISO 27001:2022 está mapeado a los 75 controles del ENS nivel ALTO en una matriz que entregamos junto al contrato y que aceptan los responsables de seguridad de las administraciones contratantes.

Para procesos de licitación bajo la Ley 9/2017, el plan Enterprise incluye soporte de procurement con apoyo en redacción técnica de la oferta, emisión de Facturae 3.2 vía FACe, residencia única España con PoP en Madrid o Barcelona, sello cualificado de tiempo eIDAS y plan de salida documentado conforme al artículo 26 de la Ley 39/2015.

En breve

  • Constituida, enrutada y operada en la UE, con los datos dentro de la UE y, donde se exige, dentro de un país concreto (residencia única España con PoP en Madrid o Barcelona).
  • ISO 27001:2022 mapeado a los 75 controles del ENS nivel ALTO (RD 311/2022) en una matriz que aceptan los responsables de seguridad de las administraciones contratantes.
  • Comunicaciones al ciudadano conformes a la EN 301 549 contra WCAG 2.2 AA, cubriendo el RD 1112/2018 y la Ley Europea de Accesibilidad exigible desde el 28 de junio de 2025.
  • Configuración de entrega electrónica registrada cualificada bajo el artículo 44 de eIDAS; la cualificación la concede el supervisor nacional, no la afirmamos nosotros.
  • Listos para contratación pública: Facturae 3.2 vía FACe, sello cualificado de tiempo eIDAS, plan de salida conforme al artículo 26 de la Ley 39/2015 y procurement típico de 9-12 meses gestionado de extremo a extremo.
Cifras clave
Clientes sector público UE
8
Residencia país único
Estándar
Certificación ISO 27001
Nivel ALTO mapeable
Notificación brechas AEPD
Documentación incluida

¿Por qué el sector público español tiene exigencias propias?

Las administraciones públicas españolas (AGE, CCAA, EELL) y los proveedores que contratan con ellas operan bajo un marco regulatorio que añade capas sobre el RGPD/LOPDGDD: el Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022) en sus niveles BÁSICO, MEDIO y ALTO, la Ley 9/2017 de Contratos del Sector Público que regula la subcontratación TIC, las obligaciones específicas de la Ley 39/2015 sobre archivo y conservación de comunicaciones, las exigencias de accesibilidad bajo el Real Decreto 1112/2018 conforme a EN 301 549. Una infraestructura de email que sirva a administraciones tiene que documentar el cumplimiento de cada uno de estos frentes; el RGPD genérico por sí solo no cubre ese requisito.

¿Cómo encajáis con el ENS si no estáis certificados directamente?

El ENS se certifica formalmente sólo para entidades del sector público español o empresas que contratan directamente con AAPP españolas. OS Domains GmbH, como sociedad austriaca que presta servicio a través de subcontratación, no se certifica directamente, pero nuestro ISO 27001:2022 está mapeado por nuestro DPO a los 75 controles del ENS nivel ALTO en una matriz que entregamos junto al contrato. Para cada control ENS, la matriz documenta: control ISO 27001 equivalente, evidencias específicas, gaps si los hay y cómo se cierran contractualmente. Este es el formato habitual aceptado por los responsables de seguridad de las administraciones contratantes y por la Junta de Contratación cuando evalúan ofertas.

Clientes del sector público que servimos.

Servimos a entidades del sector público europeo bajo contratos Enterprise: administraciones locales y regionales para comunicaciones a residentes (notificaciones de pago de tributos, avisos administrativos, alertas de emergencia), servicios sanitarios regionales para comunicación con pacientes, una universidad pública para comunicación académica (matrículas, calificaciones, comunicación con docentes), y organismos europeos (instituciones UE) bajo el régimen específico de protección de datos del Reglamento (UE) 2018/1725. Para España, las contrataciones siguen los procedimientos abiertos o restringidos de la Ley 9/2017 según presupuesto y servicio.

¿Qué particularidades tiene la contratación pública española?

La contratación pública con administraciones españolas tiene plazos y procedimientos específicos que afectan a un proveedor de email: el procedimiento de licitación tipo dura entre 3 y 12 meses según presupuesto base de licitación, los criterios de adjudicación habitualmente puntúan certificaciones de seguridad (ISO 27001 hasta 10 puntos, ISO 22301 sobre continuidad, ENS certificación o equivalencia) y experiencia previa en sector público (típicamente con peso 15-25% del baremo), las garantías definitivas se constituyen al 5% del presupuesto de adjudicación, la facturación se hace vía FACe (Facturación Electrónica AAPP) en formato Facturae 3.2. El plan Enterprise incluye soporte de procurement con apoyo en redacción técnica para la oferta y emisión de Facturae 3.2.

Lo que no fingimos ser.

No somos un procesador de información clasificada plenamente habilitado. No tenemos habilitación EU RESTRICTED ni EU CONFIDENTIAL para nuestras instalaciones ni para nuestro personal a la escala actual, ni el equivalente nacional español que acredita la Oficina Nacional de Seguridad bajo el Centro Criptológico Nacional. Las administraciones que manejan información clasificada (equivalente OTAN) no pueden usarnos para esa carga. Somos apropiados para comunicaciones no clasificadas de cara al ciudadano, difusión de información pública, notificaciones de licitaciones, anuncios regulatorios y notificaciones operativas de servicio público. Para cargas clasificadas, orientamos al cliente hacia proveedores especializados del sector público —Bundesdruckerei en Alemania, proveedores cualificados por ANSSI en Francia, o las soluciones acreditadas por el CCN en España—. Decir esto en una oferta importa, porque un evaluador ha visto a proveedores exagerar su alcance, y nombrar el límite con claridad lee como más creíble que difuminarlo.

¿Cómo aplica la Ley Europea de Accesibilidad al email del sector público?

La Ley Europea de Accesibilidad pasó a ser exigible el 28 de junio de 2025, y a lo largo de 2026 la pregunta dejó de ser si hay que cumplir para pasar a ser quién lo está comprobando. Los remitentes del sector público ya cargan la obligación de la Directiva de Accesibilidad Web para sus propios sitios y apps —en España, el Real Decreto 1112/2018—; la EAA añade encima los servicios de cara al consumidor, y ambas apuntan al mismo estándar técnico, la EN 301 549. La versión armonizada actual es la v3.2.1, que mapea a WCAG 2.1 nivel AA; la actualizada v4.1.1, desarrollada bajo el mandato de normalización de la Comisión y que incorpora WCAG 2.2, se espera que se publique durante 2026, así que un programa que construye hacia WCAG 2.2 ahora apunta a donde va el estándar y no a donde estaba en 2021. La vigilancia es nacional y tiene dientes: Francia la canaliza por ARCOM y la DGCCRF, Alemania por la Agencia Federal de Redes, Italia por AGID, y en España el control se apoya en el Observatorio de Accesibilidad Web y en las unidades responsables de cada administración. Las sanciones sobre la mesa incluyen requerimientos correctivos, restricciones de mercado y multas que varios marcos nacionales fijan en decenas de miles de euros. La consecuencia específica para el email es concreta. Una notificación al ciudadano que se renderiza como un bloque HTML inaccesible suspende la misma barra que un sitio web. Nuestras plantillas de mensaje y el portal de cliente cumplen la EN 301 549 contra WCAG 2.2 AA, y los patrones de plantilla que entregamos llevan esa conformidad, así que el trabajo de accesibilidad se hace una vez en la capa de plantilla en lugar de redescubrirse tras una reclamación.

eIDAS 2.0 y la cartera de identidad aterrizan en 2026, junto a las notificaciones al ciudadano.

eIDAS 2.0, el Reglamento (UE) 2024/1183, entró en vigor en mayo de 2024 y obliga a cada Estado miembro a ofrecer una Cartera Europea de Identidad Digital a ciudadanos, residentes y empresas, con el despliegue cayendo a lo largo de 2026. La cartera guarda credenciales verificadas por la administración y soporta Firmas Electrónicas Cualificadas reconocidas en toda la Unión, y se asienta sobre una base criptográfica certificada atada al marco europeo de certificación de ciberseguridad. Para una autoridad pública, la cartera cambia la superficie de alta y de autenticación alrededor del mismo ciudadano que recibe tu email, lo que sube el listón en la parte de la notificación: una notificación legal entregada por email necesita cada vez más encajar en un flujo de entrega cualificada en lugar de aterrizar como correo ordinario. eIDAS mantiene la entrega electrónica registrada cualificada como servicio de confianza en su artículo 44, y ahí es donde encajamos. Proporcionamos una configuración que cumple los requisitos técnicos de un servicio de entrega electrónica registrada cualificada —la entrega, la evidencia, los sellos de tiempo— mientras la cualificación en sí permanece en el organismo supervisor nacional del lado del cliente: la SEAD y los prestadores supervisados en España, el TKG en Austria, la Bundesnetzagentur en Alemania, ANSSI en Francia. Somos deliberados con la línea: operamos la entrega técnica y la evidencia de prueba de entrega, y el estatus legal de cualificación se concede a tu servicio por tu supervisor, no lo afirmamos nosotros.

La facturación electrónica B2G ya es obligatoria, y el email es la capa de cortesía.

Los proveedores del sector público llevan conviviendo con la facturación electrónica obligatoria a la administración más tiempo que el sector privado: la facturación electrónica business-to-government lleva años siendo obligatoria en buena parte de la UE, intercambiada sobre la red Peppol en formatos estructurados como XRechnung en Alemania, Factur-X en Francia y a través de FACe en España con Facturae 3.2. El paquete más amplio de IVA en la Era Digital arrastra ahora el business-to-business al mismo camino para 2030. Para una autoridad pública que envía comunicaciones de pago y de contratación, esto traza el mismo límite que trazamos en otros frentes. La factura estructurada que carga el peso legal y fiscal viaja por Peppol desde un sistema de finanzas, y nosotros no somos ese sistema; no generamos ni transmitimos documentos XRechnung, Factur-X ni Facturae y no lo aparentaremos. Lo que hace el email es transportar la confirmación legible por humanos, la actualización de estado, la copia de cortesía y la notificación procedimental al proveedor o al ciudadano, y nuestro trabajo es que aterricen de forma fiable y accesible sobre infraestructura residente en la UE. Mantener esa distinción explícita en una respuesta a licitación importa, porque los evaluadores han visto a proveedores inflar su alcance, y un proveedor que nombra la capa Peppol como trabajo de otro lee como más creíble que uno que la difumina.

¿Por qué la soberanía es estructural para el email del sector público?

Para una autoridad pública el requisito de residencia de datos rara vez se satisface con un ajuste de región en una plataforma con sede estadounidense, porque la preocupación es la jurisdicción y no la geografía: un proveedor con matriz estadounidense sigue expuesto a requerimientos de acceso extraterritoriales con independencia de dónde residan los bytes. Nuestra posición es estructural. La sociedad está constituida en Austria sin matriz estadounidense en la cadena corporativa, las cuentas del sector público fijan por defecto la selección de puntos de presencia solo-UE con las pasarelas de Dallas y Panamá deshabilitadas, y la lista de subprocesadores para esas cuentas excluye entidades que enrutarían el procesamiento por operaciones solo-estadounidenses. Donde una norma nacional va más lejos y prohíbe que los datos fluyan incluso a otro país de la UE —las reglas para autoridades federales en Alemania y las restricciones de ANSSI en Francia son los casos habituales—, la residencia de país único fija todos los datos y el procesamiento dentro del Estado elegido. Esa elección cambia resiliencia por soberanía, porque un anclaje a un solo país limita el failover a los puntos de presencia dentro de ese país, y las autoridades aceptan el canje porque la restricción de soberanía no es negociable. El trabajo europeo de certificación de ciberseguridad y las distintas iniciativas de nube soberana en los Estados miembros apuntan en la misma dirección, y un proveedor cuya soberanía es una cuestión de estructura corporativa y no un interruptor de configuración es el que sobrevive a la revisión legal sin un asterisco.

Cómo lo resolvemos

Las capacidades específicas que importan para este caso.

01

Matriz ISO 27001 → ENS nivel ALTO

Documento de equivalencias entre los 114 controles de ISO 27001:2022 Anexo A y los 75 controles del ENS RD 311/2022 nivel ALTO. Actualizado anualmente tras recertificación ISO 27001. Suficiente para due diligence técnica de la administración contratante.

02

Residencia país único España

Pin a PoP exclusivamente español (Madrid o Barcelona) para todos los datos personales tratados. Configurado por addendum Enterprise por 499€/mes. Plan de continuidad documentado con failover a PoP UE diferente bajo cláusula de excepción aprobada por contrato.

03

Accesibilidad UNE 139803 y EN 301 549

Plantillas de email pre-validadas contra UNE 139803:2012 (versión española) y EN 301 549 V3.2.1 (versión europea). Cumplen el Real Decreto 1112/2018 sobre accesibilidad de sitios web y aplicaciones para móviles del sector público. Auditoría externa anual disponible bajo NDA.

04

Facturación electrónica FACe

Soportamos la emisión de Facturae 3.2 vía endpoint FACe del Estado. Para clientes del sector público español, esto significa que los pagos se procesan vía sistema de la administración sin pasar por SWIFT internacional. La facturación va a CIF del proveedor a través de FACe siguiendo el procedimiento estándar.

05

Conservación documental Ley 39/2015

Periodo de conservación configurable entre 7 días y 7 años según naturaleza del email. Para emails de comunicación administrativa con valor probatorio bajo el artículo 26 de la Ley 39/2015, retenemos hasta 5 años con sello de tiempo cualificado emitido por prestador de servicios de confianza cualificado UE.

06

Sello cualificado de tiempo eIDAS

Para emails con valor probatorio en sede electrónica, los sellos de tiempo son emitidos por prestador cualificado bajo el Reglamento (UE) 910/2014 (eIDAS). El sello incluye hash del email firmado, timestamp ETSI EN 319 422, OID del prestador. Verificable años después incluso si el certificado original ha caducado.

Retos habituales

Lo que vemos fallar y cómo lo arreglamos.

Plazos de procurement vs. urgencias operativas

La contratación pública española es lenta por diseño: la Ley 9/2017 está pensada para garantizar concurrencia, no para agilidad. Si tu administración necesita una solución de email funcionando en 30 días, la vía habitual es contratación basada en acuerdo marco previo (catalogación CORA en el Estado, sistemas de adquisición centralizada en CCAA) o contratación menor para arranque hasta licitación formal. Hemos soportado ambos caminos.

Diferencias de exigencia entre niveles ENS

El ENS define tres niveles (BÁSICO 33 controles, MEDIO 51, ALTO 75) según la criticidad de los datos tratados. Una notificación al ciudadano sobre el pago del IBI normalmente cae en MEDIO; comunicación con datos sanitarios o de menores cae en ALTO. La matriz de equivalencia ISO→ENS cubre los tres niveles, pero el nivel exigido depende del análisis de riesgos del responsable. Aportamos asesoramiento durante la fase de definición técnica de la licitación.

Cláusulas específicas en pliegos de licitación

Cada pliego de licitación pública incluye cláusulas técnicas y administrativas específicas que pueden ir más allá del estándar contractual. Habituales: notificación de brechas con plazo a la administración contratante en paralelo al plazo AEPD (típicamente 24 o 48 horas), cláusula de excepción de jurisdicción americana, cláusula de transferencia de conocimiento al término del contrato, cláusula de no exclusividad sobre datos de la administración. Las revisamos y negociamos caso a caso.

Preguntas frecuentes

Las preguntas que más nos hacen.

01

¿Tenéis certificación ENS oficial?

No directamente, porque ENS aplica a las administraciones públicas españolas y a sus contratistas españoles. Como OS Domains GmbH es sociedad austriaca que presta servicio vía subcontratación, no podemos certificarnos. Lo que sí proporcionamos: matriz documentada de equivalencia entre ISO 27001:2022 (sí certificados) y los 75 controles del ENS nivel ALTO, evaluada anualmente por nuestro DPO. Este formato es el aceptado por las administraciones contratantes en procesos de evaluación técnica.

02

¿Podemos firmar el contrato en español oficialmente?

Sí. Para clientes del sector público español el contrato Enterprise se firma en español como idioma oficial con cláusula de prevalencia del español. La traducción jurada al inglés se hace para nuestro uso interno. Las redlines se gestionan vía nuestro equipo legal con apoyo de bufete español especializado en contratación pública.

03

¿Cómo se gestiona la entrega de datos al término del contrato?

Plan de salida documentado obligatorio para sector público en addendum Enterprise: durante los últimos 6 meses del contrato (o desde notificación de cese si es anterior), entregamos export completo de todos los datos en formato estructurado, asistencia técnica para migración al nuevo proveedor o a infraestructura interna, cooperación con la administración contratante en transición de funciones críticas, plan de eliminación documentada de datos al final del periodo de gracia conforme al artículo 26 de la Ley 39/2015 sobre conservación.

04

¿Hay limitación de IPs por administración cliente?

No hay limitación operativa. La configuración habitual para administración pública española es 5-15 IPs dedicadas con residencia única España, plan Performance o Enterprise. Algunas administraciones grandes (entidades locales con más de 500.000 habitantes, organismos autónomos grandes) pueden requerir 25+ IPs para gestionar picos de notificaciones masivas (renta anual, padrón electoral, programas de ayudas con plazo de solicitud). Lo dimensionamos en oferta técnica con el cuerpo técnico de la administración.

05

¿Cómo encaja con el Esquema Nacional de Interoperabilidad (ENI)?

El ENI (Real Decreto 4/2010) regula las normas técnicas para la interoperabilidad entre administraciones. No aplica directamente al servicio de email infraestructura, pero las plantillas que entregamos a clientes del sector público están preparadas para incorporar datos estructurados en formatos compatibles ENI (XML con esquemas oficiales) cuando sea relevante.

Hablamos

Agenda una llamada técnica de 45 minutos con un ingeniero.

Sin SDR, sin comisiones, sin rondas de cualificación. Cuéntanos lo que necesitas, te decimos si encajamos, y te llevas una recomendación sea cual sea la respuesta.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa