Bilbao, como capital económica de Euskadi y sede de la Diputación Foral de Bizkaia y del Ayuntamiento de Bilbao, concentra una parte relevante de la contratación pública tecnológica del País Vasco. El Gobierno Vasco, con organismos y servicios dependientes que también operan desde Bilbao, y la Universidad del País Vasco (UPV/EHU), con campus en Bizkaia, se suman a esa demanda con contratos de servicios digitales, mantenimiento de infraestructura, desarrollo de software a medida y gestión de datos de ciudadanos. Todas estas entidades están sujetas al ENS como organismos del sector público; por tanto, todos sus proveedores que gestionan sistemas de información en contacto con los suyos deben adecuarse al mismo Esquema Nacional de Seguridad. El artículo 2 del RD 311/2022 es explícito: el ENS se aplica también a las entidades privadas cuando sus sistemas de información tratan información del sector público o prestan servicios a entidades de ese sector.
Summum Calidad aborda la adecuación al ENS desde la óptica de la gestión y la mejora continua, el mismo enfoque que vertebra la ISO 27001:2022. Ambos marcos comparten la misma lógica: política de seguridad, análisis de riesgos, selección de controles proporcionales al nivel de riesgo, implantación documentada y revisión periódica. Cuando una empresa bilbaína ya dispone de un SGSI certificado en ISO 27001, la brecha hacia el ENS se concentra en los aspectos específicos del marco español —la categorización del Anexo I, los controles del Anexo II sin equivalente exacto en la norma internacional y la adaptación de la documentación al formato de la CCN— y el esfuerzo adicional es sensiblemente menor que iniciar un proyecto desde cero.
El Anexo II del RD 311/2022 recoge 73 medidas de seguridad distribuidas en tres marcos (organizativo, operacional y de protección) y 16 familias, incluyendo la familia op.nub específica para servicios en la nube, muy relevante para los proveedores SaaS que operan en el ecosistema público del País Vasco. La categorización del sistema —básico, medio o alto según el impacto en las cinco dimensiones CIDAT— determina qué medidas son exigibles y qué vía de conformidad aplica: para categoría básica, declaración de conformidad autoevaluada conforme a la CCN-STIC 809; para categoría media o alta, certificación por entidad de inspección acreditada por ENAC según la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —es competencia exclusiva de las entidades acreditadas— sino que prepara tu sistema para superarlo con solvencia, desde la categorización inicial hasta la revisión pre-auditoría.