Las Palmas de Gran Canaria concentre les principales institutions de l'archipel oriental des Canaries : le Gobierno de Canarias, le Cabildo de Gran Canaria, l'Ayuntamiento de la capitale et l'ULPGC gèrent des systèmes d'information à fort impact pour les citoyens — registres d'état civil, guichets électroniques, gestion fiscale propre au Régime Économique et Fiscal des Canaries (REF), plateformes de marchés publics — et sont tous soumis à l'Esquema Nacional de Seguridad. Cette concentration institutionnelle fait de Las Palmas l'un des marchés de la commande publique les plus actifs des Canaries, avec un flux constant d'appels d'offres pour des services technologiques, la maintenance d'infrastructures numériques et des solutions de gestion administrative. Pour toute entreprise souhaitant concourir sur ce marché, la conformité au ENS n'est pas une formalité optionnelle : c'est une condition d'accès que les cahiers des charges de ces administrations intègrent avec une fréquence croissante.
Summum Calidad aborde la mise en conformité avec l'ENS sous l'angle du système de management de la sécurité de l'information — le même axe qui structure la norme ISO 27001:2022. L'ENS n'est pas une liste de contrôle technique déconnectée de la gestion ; son cadre — politique de sécurité, analyse des risques, catégorisation du système, sélection de mesures proportionnées, révision et amélioration continue — reproduit le cycle PDCA que la norme ISO 27001 applique depuis des décennies au contexte des organisations. Lorsqu'un fournisseur dispose déjà d'une certification ISO 27001 valide, ou travaille activement vers cette certification, le chemin vers la conformité ENS se raccourcit considérablement : les contrôles de l'Annexe A de la norme ISO 27001:2022 couvrent directement de nombreuses mesures parmi les 75 de l'Annexe II du ENS, réparties en trois cadres (organisationnel, opérationnel et de protection) et seize familles, dont la famille op.nub, qui régit l'utilisation des services en nuage — particulièrement pertinente pour les entreprises qui fournissent des services cloud aux organismes publics canariens.
La catégorie ENS du système — basique, moyenne ou élevée, selon l'impact sur les cinq dimensions de sécurité CIDAT — détermine à la fois les mesures exigibles et la voie de conformité requise. Pour les systèmes de catégorie basique, la réglementation permet une déclaration de conformité auto-évaluée conformément à la CCN-STIC 809, sans intervention d'un tiers accrédité. Pour les catégories moyenne ou élevée, la certification doit être réalisée par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Summum Calidad n'émet pas de certificats de conformité — c'est la compétence exclusive des tiers accrédités. Notre travail consiste à préparer le système de management de l'organisation pour que, lorsque l'auditeur externe arrive, il trouve des contrôles réellement mis en œuvre, une documentation rigoureuse et des preuves auditables. L'objectif est que l'audit de conformité soit le couronnement naturel d'un travail bien fait, non un test improvisé.