Sector publico y seguridad

Adecuación al ENS en Burgos: sistema de gestión de la seguridad para proveedores de la Administración local

Si tu empresa en Burgos presta servicios, suministra software o gestiona sistemas de información para la Diputación de Burgos, el Ayuntamiento de Burgos o la Universidad de Burgos (UBU), el Esquema Nacional de Seguridad te aplica con plena vigencia. El RD 311/2022 (BOE-A-2022-7191) exige que tanto las entidades del sector público como sus proveedores y contratistas adecuen sus sistemas al ENS, en los niveles básico, medio o alto según el impacto potencial de un incidente. Summum Calidad te acompaña desde el ángulo del sistema de gestión de la seguridad de la información (SGSI): integrado con ISO 27001 cuando ya la tienes, construido desde cero cuando aún no. Un proyecto estructurado, sin duplicidades y orientado a que superes la declaración o certificación de conformidad que exige tu categoría.

NormativaRD 311/2022 · BOE-A-2022-7191
Ámbito localDiputación de Burgos · Ayuntamiento de Burgos · UBU
ModalidadAcompañamiento y preparación — Summum Calidad

Burgos concentra un tejido empresarial tecnológico y de servicios con presencia creciente en la licitación pública local y provincial. La Diputación de Burgos gestiona servicios a más de 370 municipios de la provincia y licita regularmente contratos de sistemas de información, mantenimiento tecnológico y digitalización de servicios. El Ayuntamiento de Burgos, con una administración electrónica consolidada, contrata soluciones de gestión documental, plataformas ciudadanas y servicios en la nube. La Universidad de Burgos (UBU), como entidad del sector público universitario, también queda sujeta al ENS y arrastra a sus proveedores tecnológicos. Cualquier empresa burgalesa que opere en alguno de estos entornos necesita haber completado su adecuación al ENS: el plazo general para sistemas ya existentes expiró el 5 de mayo de 2024, conforme a la disposición transitoria única del RD 311/2022, y los nuevos sistemas deben cumplir desde su puesta en marcha.

El Esquema Nacional de Seguridad organiza sus requisitos en torno a un sistema de gestión de la seguridad: política, análisis de riesgos, selección proporcional de medidas, operación, vigilancia y mejora continua. Este enfoque es estructuralmente idéntico al ciclo PDCA de la ISO 27001:2022, lo que convierte la integración de ambas normas en la vía más eficiente para una empresa proveedora de la Administración. El Anexo II del RD 311/2022 recoge 75 medidas de seguridad organizadas en tres marcos (organizativo, operacional y de protección) y 16 familias, de las cuales 7 familias y 33 medidas corresponden al marco operacional —incluyendo la familia op.nub de seguridad en servicios en la nube, especialmente relevante para proveedores SaaS que alojan aplicaciones para entidades burgalesas—. Cuando una organización ya dispone de un SGSI ISO 27001, muchas de esas medidas quedan ya cubiertas o necesitan únicamente una adaptación documental al contexto del ENS.

La categoría del sistema —básico, medio o alto— se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance. La categoría no es un detalle menor: determina qué medidas del Anexo II son obligatorias y, sobre todo, qué forma de conformidad se exige. Para sistemas de categoría básica, la conformidad se acredita mediante una declaración de conformidad autoevaluada conforme a la CCN-STIC 809. Para sistemas de categoría media o alta, es obligatoria la certificación por una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad no emite certificados de conformidad —eso es competencia exclusiva de los terceros acreditados—, pero prepara tu organización para llegar a ese proceso en las mejores condiciones: sistema documentado, evidencias completas y brechas cerradas antes de que llegue el auditor externo.

El proceso de Adecuación al ENS en Burgos.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema

Analizamos los servicios que prestas a organismos burgaleses —Diputación, Ayuntamiento, UBU u otras entidades del sector público provincial— y los sistemas de información implicados. Aplicamos el Anexo I del RD 311/2022 para determinar la categoría ENS que corresponde a tu caso, valorando el impacto en las cinco dimensiones CIDAT. Si ya dispones de ISO 27001 certificada, identificamos desde este momento qué controles se reutilizan y qué brechas específicas del ENS quedan por cubrir.

02

Análisis de brechas ENS frente al sistema de gestión existente

Mapeamos las 75 medidas del Anexo II del RD 311/2022 contra los controles de tu SGSI ISO 27001 o contra las prácticas de seguridad actuales si aún no tienes la norma certificada. El resultado es una tabla priorizada de brechas —controles ausentes, parcialmente cubiertos y directamente reutilizables— con el esfuerzo estimado para cerrar cada gap antes de la auditoría de conformidad. Prestamos especial atención a la familia op.nub si tus servicios se prestan desde la nube.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad para que cubra simultáneamente los requisitos del ENS y los de la ISO 27001:2022. Elaboramos la Declaración de Aplicabilidad integrada, que justifica la selección y exclusión de controles conforme al formato esperado por los auditores de conformidad ENS y la CCN-STIC 809, y redactamos la política de seguridad de la información conforme al artículo 12 del RD 311/2022.

04

Implantación de controles y documentación de evidencias

Acompañamos la implantación de las medidas de seguridad del Anexo II que quedan pendientes —organizativas, operacionales y de protección— y generamos la documentación de evidencias: procedimientos, registros, informes de análisis de riesgos, actas de revisión por la dirección y registros de formación. La parte técnica de implantación (hardening, monitorización, herramientas PILAR/MAGERIT) la coordina, cuando el proyecto lo requiere, con Summum Sistemas.

Qué incluye

Qué incluye Adecuación al ENS en Burgos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada —básico, medio o alto— valorando el impacto CIDAT para cada servicio prestado a organismos del sector público burgalés, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de las 75 medidas del Anexo II del ENS frente a los controles de tu sistema de gestión, identificando reutilizaciones directas, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap.

  • Declaración de Aplicabilidad integrada ENS–ISO 27001

    Documento formal que recoge la selección y exclusión justificada de controles conforme al formato esperado por los auditores de conformidad y la CCN-STIC 809, integrado con la Declaración de Aplicabilidad ISO 27001:2022 cuando procede.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según el artículo 12 del RD 311/2022 y adaptada a la cultura y estructura de tu organización: propósito, alcance, roles, compromisos de la dirección y ciclo de revisión bienal.

  • Paquete de evidencias para la auditoría de conformidad

    Conjunto completo de procedimientos operativos, registros y evidencias que acreditan la implantación real de los controles: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal.

  • Revisión pre-auditoría y simulacro de conformidad

    Para sistemas de categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de que llegue el auditor externo, minimizando el riesgo de no conformidades.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS en Burgos desde el sistema de gestión se complementa con la implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas: análisis de riesgos con MAGERIT y la herramienta PILAR, hardening de sistemas, configuración de la monitorización y preparación del paquete de evidencias técnicas. Juntos, los dos equipos cubren el plano documental-normativo y el plano técnico-operativo en un único proyecto coordinado, sin que tengas que gestionar dos proveedores distintos para la misma adecuación.

Preguntas frecuentes sobre Adecuación al ENS en Burgos.

¿Necesita mi empresa burgalesa adecuarse al ENS si solo trabaja con la Diputación o el Ayuntamiento de Burgos?

Sí. El RD 311/2022 establece que el ENS aplica no solo a las entidades del sector público, sino también a sus proveedores y contratistas cuando los sistemas de información de la empresa privada entran en contacto con los del sector público. Si prestas servicios tecnológicos, gestionas datos de ciudadanos o suministras software a la Diputación de Burgos, al Ayuntamiento de Burgos o a la Universidad de Burgos (UBU), tu obligación de adecuación al ENS es plena. El plazo para sistemas ya existentes expiró el 5 de mayo de 2024; los nuevos sistemas deben cumplir desde el primer día de operación.

¿La Universidad de Burgos (UBU) está sujeta al ENS y, por tanto, también sus proveedores TIC?

Sí. La Universidad de Burgos es una entidad del sector público universitario y queda expresamente incluida en el ámbito de aplicación del artículo 2 del RD 311/2022. Esto significa que sus sistemas de información deben adecuarse al ENS y que los proveedores que gestionan o acceden a esos sistemas —plataformas de gestión académica, servicios en la nube, mantenimiento de infraestructuras TIC— están igualmente obligados a cumplir con el nivel de categoría que corresponda a esos servicios.

¿Qué categoría ENS suele corresponder a un proveedor de servicios en la nube para la Administración local burgalesa?

Depende del servicio y de los datos que gestiona, pero los proveedores SaaS que alojan aplicaciones para entidades del sector público suelen categorizar sus sistemas como básico o medio. Si la aplicación gestiona datos de carácter personal de ciudadanos, información presupuestaria o expedientes administrativos con cierta criticidad, la categoría media es frecuente. La categoría alta es menos habitual en el ámbito local, pero puede darse en sistemas de gestión de infraestructuras críticas o servicios de emergencias. La categorización final requiere valorar las cinco dimensiones CIDAT caso a caso, que es el primer paso que hacemos en el proyecto.

¿Qué ventaja tiene integrar la adecuación al ENS con la ISO 27001 en lugar de hacerlos por separado?

La ventaja principal es la eficiencia. Ambas normas comparten una estructura de gestión muy similar —política de seguridad, análisis de riesgos, selección de controles, auditoría y mejora continua— y muchos controles del Anexo II del ENS tienen equivalentes directos o parciales en el Anexo A de la ISO 27001:2022. Con un SGSI ISO 27001 certificado o en proceso, el gap hacia el ENS se concentra únicamente en los aspectos específicos del marco español. Abordar ambas normas en un único proyecto evita duplicar análisis de riesgos, documentación y auditorías internas, con un ahorro estimado de entre el 30 % y el 40 % respecto a dos proyectos independientes.

¿Quién certifica la conformidad con el ENS para sistemas de categoría media o alta en Burgos?

Las entidades que pueden certificar la conformidad con el ENS para sistemas de categoría media o alta son exclusivamente entidades de inspección acreditadas por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado. Lo que hacemos es preparar tu sistema —documentación, controles implantados, evidencias y revisión pre-auditoría— para que superes el proceso de certificación con la entidad acreditada que tú elijas. Para sistemas de categoría básica, la conformidad se acredita mediante una declaración de conformidad autoevaluada conforme a la CCN-STIC 809, que sí preparamos y acompañamos íntegramente.

¿Cómo afecta el ENS a una empresa burgalesa que quiere licitar contratos públicos en los próximos meses?

El cumplimiento del ENS es un requisito de solvencia técnica en los pliegos de contratos públicos que afectan a sistemas de información. Si quieres licitar con la Diputación de Burgos, el Ayuntamiento de Burgos o la UBU en contratos que impliquen gestión de datos o sistemas de la Administración, es habitual que los pliegos exijan la acreditación de adecuación al ENS en la categoría que corresponda al contrato. No haberla completado puede excluirte de plano de esa licitación. Iniciar el proyecto con suficiente antelación —mínimo tres a seis meses para categoría básica, nueve a dieciocho para media o alta— es la única garantía de llegar a tiempo.