Málaga concentra una de las mayores comunidades de proveedores tecnológicos de Andalucía, impulsada por el Parque Tecnológico de Andalucía (PTA), uno de los mayores parques tecnológicos del sur de Europa, y por la Universidad de Málaga (UMA), motor de I+D+i en la provincia. La Diputación Provincial de Málaga, el Ayuntamiento de Málaga y la propia Junta de Andalucía, a través de sus delegaciones territoriales y organismos con presencia en la ciudad, generan una demanda constante de contratos de servicios digitales, mantenimiento de infraestructura, desarrollo de software a medida y gestión de datos de ciudadanos. Todas estas entidades están sujetas al ENS como organismos del sector público; por tanto, todos sus proveedores que gestionan sistemas de información en contacto con los suyos deben adecuarse al mismo Esquema Nacional de Seguridad. El artículo 2 del RD 311/2022 es explícito: el ENS se aplica también a las entidades privadas cuando sus sistemas de información tratan información del sector público o prestan servicios a entidades de ese sector.
Summum Calidad aborda la adecuación al ENS desde la óptica de la gestión y la mejora continua, el mismo enfoque que vertebra la ISO 27001:2022. Ambos marcos comparten la misma lógica: política de seguridad, análisis de riesgos, selección de controles proporcionales al nivel de riesgo, implantación documentada y revisión periódica. Cuando una empresa malagueña ya dispone de un SGSI certificado en ISO 27001 —algo frecuente entre las compañías tecnológicas del Parque Tecnológico de Andalucía—, la brecha hacia el ENS se concentra en los aspectos específicos del marco español —la categorización del Anexo I, los controles del Anexo II sin equivalente exacto en la norma internacional y la adaptación de la documentación al formato de la CCN— y el esfuerzo adicional es sensiblemente menor que iniciar un proyecto desde cero.
El Anexo II del RD 311/2022 recoge 73 medidas de seguridad —4 organizativas, 33 operacionales y 36 de protección— distribuidas en tres marcos y 16 familias, incluyendo la familia op.nub específica para servicios en la nube, muy relevante para los proveedores SaaS que operan en el ecosistema tecnológico del Parque Tecnológico de Andalucía y prestan servicio a la Administración andaluza. La categorización del sistema —básico, medio o alto según el impacto en las cinco dimensiones CIDAT— determina qué medidas son exigibles y qué vía de conformidad aplica: para categoría básica, declaración de conformidad autoevaluada conforme a la CCN-STIC 809; para categoría media o alta, certificación por entidad de inspección acreditada por ENAC según la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —es competencia exclusiva de las entidades acreditadas— sino que prepara tu sistema para superarlo con solvencia, desde la categorización inicial hasta la revisión pre-auditoría.