Burgos dispose d'un tissu d'entreprises technologiques et de services avec une présence croissante dans la commande publique locale et provinciale. La Diputación de Burgos gère des services pour plus de 370 communes de la province et met régulièrement en appel d'offres des contrats portant sur des systèmes d'information, la maintenance technologique et la numérisation des services. L'Ayuntamiento de Burgos, doté d'une administration électronique consolidée, achète des solutions de gestion documentaire, des plateformes citoyennes et des services en nuage. L'Universidad de Burgos (UBU), en tant qu'entité du secteur public universitaire, est également soumise à l'ENS et entraîne dans son périmètre ses fournisseurs informatiques. Toute entreprise burgalaise opérant dans l'un de ces environnements devait avoir achevé sa mise en conformité ENS : le délai général pour les systèmes existants a expiré le 5 mai 2024, conformément à la disposition transitoire unique du RD 311/2022, et les nouveaux systèmes doivent être conformes dès leur mise en service.
L'Esquema Nacional de Seguridad organise ses exigences autour d'un système de management de la sécurité : politique, analyse des risques, sélection proportionnée des mesures, exploitation, surveillance et amélioration continue. Cette approche est structurellement identique au cycle Plan-Do-Check-Act de l'ISO 27001:2022, ce qui fait de l'intégration des deux référentiels la voie la plus efficiente pour un fournisseur de l'Administration. L'Annexe II du RD 311/2022 recense 75 mesures de sécurité organisées en trois cadres (organisationnel, opérationnel et de protection) et 16 familles, dont 7 familles et 33 mesures relèvent du cadre opérationnel — notamment la famille op.nub sur la sécurité des services en nuage, particulièrement pertinente pour les fournisseurs SaaS hébergeant des applications pour des entités publiques burgalaises. Lorsqu'une organisation dispose déjà d'un SMSI ISO 27001, bon nombre de ces mesures sont déjà couvertes ou nécessitent uniquement une adaptation documentaire au contexte de l'ENS.
La catégorie du système — básico, medio ou alto — est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service dans le périmètre. La catégorie n'est pas un détail mineur : elle détermine quelles mesures de l'Annexe II sont obligatoires et, surtout, quelle forme de conformité est requise. Pour les systèmes de catégorie básico, la conformité est démontrée par une déclaration de conformité auto-évaluée selon la CCN-STIC 809. Pour les catégories medio ou alto, une certification par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065 est obligatoire. Summum Calidad n'émet pas de certificats de conformité — c'est la compétence exclusive des tiers accrédités —, mais prépare votre organisation à aborder ce processus dans les meilleures conditions : système documenté, preuves complètes et écarts comblés avant l'arrivée de l'auditeur externe.