Sector publico y seguridad

Adecuación al ENS en Salamanca: sistema de gestión de seguridad para proveedoras de la Administración

Salamanca concentra organismos públicos de primer nivel —la Diputación Provincial, el Ayuntamiento de Salamanca y la Universidad de Salamanca (USAL)— que cada vez exigen a sus proveedoras y contratistas demostrar adecuación al Esquema Nacional de Seguridad antes de adjudicar contratos. El RD 311/2022 (BOE-A-2022-7191) ya establece con claridad que la obligación no es solo del sector público: afecta igualmente a las empresas privadas cuyos sistemas de información entran en contacto con los de esas entidades. Summum Calidad acompaña a las organizaciones de Salamanca en ese proceso desde el ángulo del sistema de gestión de la seguridad de la información, integrando los requisitos del ENS con los de la ISO 27001:2022 para reducir esfuerzo, evitar duplicidades documentales y llegar a la conformidad con la solidez que exigen los plazos de licitación.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedoras de la Administración Pública en Salamanca
ModalidadProyecto estructurado con acompañamiento continuo

La Diputación de Salamanca, el Ayuntamiento de Salamanca y la Universidad de Salamanca son tres de las entidades públicas con mayor volumen de contratación en la provincia. Las tres están sujetas al ENS como entidades del sector público y, por tanto, cualquier proveedor cuyos sistemas de información interactúen con los suyos —un integrador de software, una empresa de telecomunicaciones, un proveedor de servicios en la nube o un consultor que acceda a sus sistemas— debe acreditar adecuación al Esquema Nacional de Seguridad según el nivel que le corresponda. El plazo general para los sistemas ya existentes expiró el 5 de mayo de 2024, conforme a la disposición transitoria única del RD 311/2022. Las empresas salmantinas que no iniciaron el proceso en su momento se encuentran hoy en una situación de incumplimiento que puede bloquearlas en próximas licitaciones o generar responsabilidades frente al organismo contratante.

Summum Calidad aborda la adecuación al ENS desde el enfoque propio del sistema de gestión de la seguridad de la información. El ENS estructura sus requisitos —75 medidas organizadas en tres marcos y 16 familias en el Anexo II del RD 311/2022, incluyendo las siete familias del marco operacional y la familia op.nub específica para servicios en la nube— sobre una lógica de gestión que es esencialmente el ciclo PDCA de la ISO 27001 aplicado al contexto de la Administración Pública española. Cuando una empresa de Salamanca ya trabaja con ISO 27001 o se plantea certificarse, la adecuación al ENS no es un segundo proyecto: es una extensión del mismo sistema de gestión con controles compartidos, documentación reutilizable y una sola revisión por la dirección que cubre los requisitos de ambas normas.

El punto de partida del ENS es siempre la categorización del sistema según el Anexo I del RD 311/2022: básico, medio o alto, según el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). La categoría determina el subconjunto de las 75 medidas del Anexo II que son obligatorias y la vía de conformidad que se exige: para categoría básica basta una declaración de conformidad autoevaluada según la CCN-STIC 809; para categoría media o alta se requiere certificación por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Calidad guía ese proceso en su totalidad —diagnóstico, implantación, documentación de evidencias y preparación para la auditoría externa—, sin emitir el certificado, que es competencia exclusiva de los terceros acreditados.

El proceso de Adecuación al ENS en Salamanca.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema

Analizamos los sistemas de información de tu organización y los servicios que prestas a organismos como la Diputación de Salamanca, el Ayuntamiento o la USAL para determinar la categoría ENS aplicable según el Anexo I del RD 311/2022. Valoramos el impacto en las cinco dimensiones CIDAT y, al mismo tiempo, identificamos qué controles ISO 27001 ya tiene implantados tu organización para aprovecharlos al máximo sin empezar desde cero.

02

Análisis de brechas ENS–ISO 27001

Mapeamos las 75 medidas del Anexo II del ENS contra los controles de tu sistema de gestión o tus prácticas de seguridad actuales. El resultado es una tabla priorizada de brechas —controles ausentes, parcialmente cubiertos y directamente reutilizables— con esfuerzo estimado para cerrar cada gap antes de la declaración o auditoría de conformidad. Este análisis evita duplicar trabajo y concentra el esfuerzo donde realmente hace falta.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cubra simultáneamente el ENS y la ISO 27001:2022. Elaboramos la Declaración de Aplicabilidad integrada con la selección y exclusión justificada de los controles de ambas normas, y redactamos la política de seguridad conforme al artículo 12 del RD 311/2022, adaptada a la estructura real de tu organización en Salamanca.

04

Implantación de controles y documentación de evidencias

Acompañamos la implantación de las medidas pendientes del Anexo II —organizativas, operativas y de protección, incluidas las de la familia op.nub si utilizas servicios en la nube para prestar servicios a la Administración— y generamos la documentación de evidencias requerida: procedimientos, registros, informes de análisis de riesgos, actas de revisión por la dirección y registros de formación. La parte técnica de implantación —hardening, monitorización, cifrado— se coordina con Summum Sistemas.

Qué incluye

Qué incluye Adecuación al ENS en Salamanca.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada al sistema —básico, medio o alto— valorando el impacto en las cinco dimensiones CIDAT para cada servicio prestado a organismos públicos de Salamanca, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de las 75 medidas del Anexo II del ENS con los controles de tu sistema de gestión ISO 27001:2022, identificando reutilizaciones, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap antes de la conformidad.

  • Declaración de Aplicabilidad integrada ENS–ISO 27001

    Documento formal que recoge la selección y exclusión justificada de los controles del ENS y del Anexo A de la ISO 27001:2022, conforme al formato esperado por los auditores de conformidad y por la CCN-STIC 809.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según el artículo 12 del RD 311/2022 y adaptada a la estructura de tu organización: propósito, alcance, roles, compromisos de la dirección, ciclo de revisión bienal y referencias a los organismos públicos salmantinos con los que trabajas.

  • Procedimientos, registros y paquete de evidencias

    Conjunto completo de procedimientos operativos y evidencias que acreditan la implantación real de los controles: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal, listo para presentar ante la entidad auditora.

  • Revisión pre-auditoría y simulacro de conformidad

    Para categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de que llegue el auditor externo, minimizando el riesgo de no conformidades.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS desde el sistema de gestión gana solidez cuando se complementa con la implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas: análisis de riesgos con MAGERIT y PILAR, hardening de sistemas, monitorización continua y preparación del paquete de evidencias técnicas. Juntos cubrimos el plano documental-normativo y el plano técnico-operativo en un único proyecto coordinado, sin que tu equipo tenga que gestionar dos interlocutores distintos.

Preguntas frecuentes sobre Adecuación al ENS en Salamanca.

¿Necesito adecuarme al ENS si trabajo como proveedor de la Diputación de Salamanca o del Ayuntamiento?

Sí, si tus sistemas de información interactúan con los de la Diputación Provincial de Salamanca, el Ayuntamiento de Salamanca o cualquier otra entidad del sector público sujeta al ENS —incluyendo la Universidad de Salamanca (USAL), organismo público universitario—, el RD 311/2022 te exige adecuarte al nivel que corresponda a tu sistema. Esto aplica tanto a integradores de software, como a proveedores de servicios gestionados, empresas de telecomunicaciones o consultores con acceso a sistemas de esos organismos. El plazo general expiró el 5 de mayo de 2024.

¿Qué ocurre si licito con la USAL o la Diputación de Salamanca sin estar adecuado al ENS?

La falta de adecuación al ENS puede convertirse en motivo de exclusión en licitaciones públicas que exijan acreditación del cumplimiento, o en causa de resolución contractual si se descubre durante la ejecución del contrato. Además, genera responsabilidad para la entidad pública contratante, que puede ver cuestionado su propio cumplimiento si sus proveedores no están adecuados. A efectos prácticos, cada vez más pliegos de la contratación pública en Castilla y León incorporan como requisito técnico la acreditación del ENS en el nivel correspondiente.

¿Cuál es la diferencia entre categoría básica, media y alta, y cuál me corresponde?

La categoría se determina evaluando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) de los servicios en alcance. Si el impacto máximo en cualquier dimensión es bajo, el sistema es de categoría básica; si alguna dimensión alcanza un impacto medio, es categoría media; si alguna alcanza impacto alto, es categoría alta. La categoría básica exige una declaración de conformidad autoevaluada (CCN-STIC 809); la media o alta exige certificación por entidad acreditada por ENAC. Summum Calidad realiza la categorización como primer paso del proyecto.

¿Cuánto tarda el proceso de adecuación al ENS para una empresa en Salamanca?

Depende de la categoría del sistema y del punto de partida en materia de seguridad. Para sistemas de categoría básica con algunas prácticas ya implantadas, el proceso puede completarse en tres a seis meses. Para categoría media o alta sin ISO 27001 previa, el plazo habitual está entre nueve y dieciocho meses, incluyendo el análisis de riesgos, la implantación de medidas técnicas y organizativas y la auditoría de conformidad por la entidad acreditada. Si ya dispones de ISO 27001 certificada, el tiempo se reduce considerablemente porque el gap se concentra en los aspectos específicos del marco español.

¿Puedo integrar la adecuación al ENS con la ISO 27001 que ya tengo o estoy implantando?

Sí, y es la vía más eficiente. El ENS y la ISO 27001:2022 comparten la misma estructura de gestión —política, análisis de riesgos, selección de controles proporcionales, revisión y mejora continua— y muchos controles del Anexo II del ENS tienen equivalente directo en el Anexo A de la ISO 27001:2022. Con ISO 27001 en curso o certificada, el gap hacia el ENS se concentra en los aspectos específicos del marco español y el trabajo se reduce entre un 30 % y un 40 % respecto a dos proyectos independientes. Summum Calidad hace ese análisis de brechas y cierra únicamente lo que falta.

¿Summum Calidad emite el certificado de conformidad del ENS?

No. El certificado de conformidad para categoría media o alta solo puede emitirlo una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Para categoría básica, la declaración de conformidad la emite la propia organización según el procedimiento de la CCN-STIC 809. Summum Calidad te prepara para superar ese proceso con garantías: diagnóstico, implantación, documentación de evidencias y revisión pre-auditoría. El certificado final lo emite el tercero acreditado que tú elijas; nosotros te dejamos en las mejores condiciones posibles para afrontar esa auditoría.