Madrid concentra en su término municipal y área metropolitana la sede de la Comunidad de Madrid, el Ayuntamiento de Madrid, la mayoría de los ministerios y organismos de la Administración General del Estado, y un número muy elevado de agencias, entes públicos y sociedades estatales, lo que convierte a la ciudad en el mayor nodo de contratación pública tecnológica del país. A esa demanda se suman las universidades públicas madrileñas —la Universidad Complutense, la Universidad Autónoma de Madrid, la Universidad Politécnica de Madrid, la Universidad Carlos III y la Universidad Rey Juan Carlos— con contratos de servicios digitales, mantenimiento de infraestructura, desarrollo de software a medida y gestión de datos de estudiantes y personal. Todas estas entidades están sujetas al ENS como organismos del sector público; por tanto, todos sus proveedores que gestionan sistemas de información en contacto con los suyos deben adecuarse al mismo Esquema Nacional de Seguridad. El artículo 2 del RD 311/2022 es explícito: el ENS se aplica también a las entidades privadas cuando sus sistemas de información tratan información del sector público o prestan servicios a entidades de ese sector.
Summum Calidad aborda la adecuación al ENS desde la óptica de la gestión y la mejora continua, el mismo enfoque que vertebra la ISO 27001:2022. Ambos marcos comparten la misma lógica: política de seguridad, análisis de riesgos, selección de controles proporcionales al nivel de riesgo, implantación documentada y revisión periódica. Cuando una empresa con sede en Madrid ya dispone de un SGSI certificado en ISO 27001, la brecha hacia el ENS se concentra en los aspectos específicos del marco español —la categorización del Anexo I, los controles del Anexo II sin equivalente exacto en la norma internacional y la adaptación de la documentación al formato de la CCN— y el esfuerzo adicional es sensiblemente menor que iniciar un proyecto desde cero.
El Anexo II del RD 311/2022 recoge 73 medidas de seguridad —4 organizativas, 33 operacionales y 36 de protección— distribuidas en tres marcos (organizativo, operacional y de protección) y 16 familias, incluyendo la familia op.nub específica para servicios en la nube, muy relevante para los proveedores SaaS que operan en el ecosistema público de la Comunidad de Madrid y del Estado. La categorización del sistema —básico, medio o alto según el impacto en las cinco dimensiones CIDAT— determina qué medidas son exigibles y qué vía de conformidad aplica: para categoría básica, declaración de conformidad autoevaluada conforme a la CCN-STIC 809; para categoría media o alta, certificación por entidad de inspección acreditada por ENAC según la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —es competencia exclusiva de las entidades acreditadas— sino que prepara tu sistema para superarlo con solvencia, desde la categorización inicial hasta la revisión pre-auditoría.