El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, obliga a que los sistemas de información del sector público español y los de sus proveedores cumplan unos requisitos mínimos de seguridad. En León, eso se traduce en una realidad concreta: la Diputación de León gestiona servicios municipales de decenas de ayuntamientos de la provincia, el Ayuntamiento de León tiene plataformas digitales de atención ciudadana y contratación electrónica, y la Universidad de León (ULE) como universidad pública está igualmente sujeta al ENS. Si tu empresa presta servicios tecnológicos, desarrolla software, gestiona infraestructuras o procesa datos por cuenta de cualquiera de estas entidades, el ENS te alcanza directamente. El plazo de adecuación para sistemas ya existentes expiró el 5 de mayo de 2024; operar sin haber completado ese proceso supone un riesgo real para tu acceso a la contratación pública provincial y autonómica.
Desde Summum Calidad abordamos la adecuación al ENS desde el enfoque del sistema de gestión, que es el mismo que rige la ISO 27001:2022: política de seguridad, análisis de riesgos, selección de medidas proporcionales al nivel de impacto del sistema, implantación con evidencias auditables y ciclo de revisión y mejora continua. El Anexo II del RD 311/2022 recoge 75 medidas de seguridad organizadas en tres marcos —organizativo, operacional y de protección— y 16 familias, incluyendo la familia op.nub específica para servicios en la nube. Esta estructura es compatible con el Anexo A de la ISO 27001:2022, lo que permite construir un único sistema de gestión que cumpla con ambas normas. Para una empresa proveedora de la Administración leonesa, trabajar con ese enfoque integrado no solo ahorra tiempo y coste: también posiciona a la organización para responder con agilidad cuando los pliegos de contratación exijan acreditación de conformidad con el ENS.
El proceso de adecuación comienza con la categorización del sistema según el Anexo I del RD 311/2022: se evalúa el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance, y el resultado determina si el sistema es de categoría básica, media o alta. La categoría define tanto el subconjunto de medidas del Anexo II que son obligatorias como la vía de conformidad requerida: para sistemas de categoría básica, basta con una declaración de conformidad autoevaluada siguiendo la guía CCN-STIC 809; para sistemas de categoría media o alta, la conformidad debe certificarla una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad acompaña todo ese proceso —diagnóstico, categorización, implantación, documentación y preparación para la auditoría— pero no emite certificados de conformidad, que son competencia exclusiva de las entidades acreditadas.