L'Esquema Nacional de Seguridad, adopté par le Décret Royal 311/2022 du 3 mai, impose que les systèmes d'information du secteur public espagnol — et ceux de leurs fournisseurs — respectent des exigences minimales de sécurité. À León, cela se traduit par une réalité concrète : la Diputación de León gère les services municipaux de dizaines d'ayuntamientos de la province, l'Ayuntamiento de León exploite des plateformes numériques de service aux citoyens et de passation de marchés électroniques, et l'Universidad de León (ULE), en tant qu'université publique, est également soumise à l'ENS. Si votre entreprise fournit des services technologiques, développe des logiciels, gère des infrastructures ou traite des données pour le compte de l'un de ces organismes, l'ENS vous est directement applicable. Le délai de mise en conformité des systèmes existants a expiré le 5 mai 2024 ; opérer sans avoir achevé ce processus représente un risque réel pour votre accès aux marchés publics provinciaux et régionaux.
Summum Calidad aborde la mise en conformité à l'ENS selon l'approche du système de management, la même qui régit l'ISO 27001:2022 : politique de sécurité, analyse des risques, sélection de mesures proportionnelles au niveau d'impact du système, mise en œuvre avec des preuves auditables et cycle de révision et d'amélioration continue. L'Annexe II du RD 311/2022 recense 75 mesures de sécurité organisées en trois cadres — organisationnel, opérationnel et de protection — et 16 familles, dont la famille op.nub spécifique aux services en nuage. Cette structure est compatible avec l'Annexe A de l'ISO 27001:2022, ce qui permet de construire un unique système de management satisfaisant aux deux normes. Pour une entreprise fournissant des organismes publics à León, cette approche intégrée réduit non seulement le temps et le coût : elle positionne également l'organisation pour répondre avec agilité lorsque les cahiers des charges exigeront une attestation de conformité à l'ENS.
Le processus de mise en conformité commence par la catégorisation du système selon l'Annexe I du RD 311/2022 : l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) est évalué pour chaque service en périmètre, et le résultat détermine si le système est de catégorie basique, intermédiaire ou élevée. La catégorie définit à la fois le sous-ensemble de mesures de l'Annexe II qui sont obligatoires et la voie de conformité requise : pour les systèmes de catégorie basique, une déclaration de conformité auto-évaluée suivant la CCN-STIC 809 est suffisante ; pour les catégories intermédiaire ou élevée, la conformité doit être certifiée par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Calidad accompagne l'intégralité de ce processus — diagnostic, catégorisation, mise en œuvre, documentation et préparation à l'audit — mais n'émet pas de certificats de conformité, qui sont de la compétence exclusive des organismes accrédités.