Sector público

Adecuación al ENS en Zaragoza desde el sistema de gestión

El Gobierno de Aragón, la Diputación Provincial de Zaragoza, el Ayuntamiento de Zaragoza y la Universidad de Zaragoza concentran en la ciudad una parte muy relevante de la demanda de proveedores tecnológicos del sector público aragonés. Si tu empresa suministra software, servicios en la nube, mantenimiento de sistemas o cualquier otra solución a estas instituciones, el Esquema Nacional de Seguridad (RD 311/2022, BOE-A-2022-7191) ya te obliga: el plazo de adecuación para sistemas existentes finalizó el 5 de mayo de 2024. Summum Calidad te acompaña desde el enfoque del sistema de gestión de la seguridad de la información (SGSI), integrando los requisitos del ENS con los de la ISO 27001:2022 para aprovechar controles comunes, eliminar duplicidades documentales y llegar a la declaración o certificación de conformidad que tu categoría exige.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedoras del Gobierno de Aragón y entidades de Zaragoza
ModalidadProyecto estructurado con acompañamiento continuo

Zaragoza es sede del Gobierno de Aragón y de sus principales departamentos, lo que convierte a la ciudad en el nodo central de contratación pública tecnológica de la comunidad autónoma. La Diputación Provincial de Zaragoza, el Ayuntamiento de Zaragoza y la Universidad de Zaragoza suman a esa demanda contratos de servicios digitales, mantenimiento de infraestructura, desarrollo de software a medida y gestión de datos de ciudadanos y estudiantes. Todas estas entidades están sujetas al ENS como organismos del sector público; por tanto, todos sus proveedores que gestionan sistemas de información en contacto con los suyos deben adecuarse al mismo Esquema Nacional de Seguridad. El artículo 2 del RD 311/2022 es explícito: el ENS se aplica también a las entidades privadas cuando sus sistemas de información tratan información del sector público o prestan servicios a entidades de ese sector.

Summum Calidad aborda la adecuación al ENS desde la óptica de la gestión y la mejora continua, el mismo enfoque que vertebra la ISO 27001:2022. Ambos marcos comparten la misma lógica: política de seguridad, análisis de riesgos, selección de controles proporcionales al nivel de riesgo, implantación documentada y revisión periódica. Cuando una empresa zaragozana ya dispone de un SGSI certificado en ISO 27001, la brecha hacia el ENS se concentra en los aspectos específicos del marco español —la categorización del Anexo I, los controles del Anexo II sin equivalente exacto en la norma internacional y la adaptación de la documentación al formato de la CCN— y el esfuerzo adicional es sensiblemente menor que iniciar un proyecto desde cero.

El Anexo II del RD 311/2022 recoge 73 medidas de seguridad —4 organizativas, 33 operacionales y 36 de protección— distribuidas en tres marcos y 16 familias, incluyendo la familia op.nub específica para servicios en la nube, muy relevante para los proveedores SaaS que operan en el ecosistema público aragonés. La categorización del sistema —básico, medio o alto según el impacto en las cinco dimensiones CIDAT— determina qué medidas son exigibles y qué vía de conformidad aplica: para categoría básica, declaración de conformidad autoevaluada conforme a la CCN-STIC 809; para categoría media o alta, certificación por entidad de inspección acreditada por ENAC según la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —es competencia exclusiva de las entidades acreditadas— sino que prepara tu sistema para superarlo con solvencia, desde la categorización inicial hasta la revisión pre-auditoría.

El proceso de Adecuación al ENS en Zaragoza desde el sistema de gestión.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema

Analizamos el alcance de tus sistemas de información en relación con los contratos públicos activos o en curso de licitación con entidades de Zaragoza —Gobierno de Aragón, Diputación Provincial, Ayuntamiento, Universidad de Zaragoza u otras— y determinamos la categoría ENS que te corresponde según el Anexo I del RD 311/2022, valorando el impacto sobre las cinco dimensiones de seguridad CIDAT. Al mismo tiempo, identificamos el punto de partida en materia de sistema de gestión —si dispones de ISO 27001 certificada o en curso— para diseñar el camino más eficiente hacia la conformidad ENS.

02

Análisis de brechas ENS–ISO 27001

Mapeamos los 73 controles del Anexo II del ENS —en sus 16 familias y tres marcos— contra los controles de tu sistema de gestión ISO 27001 o contra las prácticas de seguridad existentes. El resultado es una tabla priorizada de brechas con el esfuerzo estimado para cerrar cada gap, diferenciando lo que puede reutilizarse directamente, lo que requiere ajuste menor y lo que debe implantarse desde cero, con especial atención a la familia op.nub si usas infraestructura o servicios en la nube para prestar servicio a la Administración aragonesa.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cubra simultáneamente los requisitos de la ISO 27001:2022 y los del ENS. Elaboramos la Declaración de Aplicabilidad integrada, que justifica la selección y exclusión de controles conforme al formato de la CCN-STIC 809, y redactamos la política de seguridad de la información según el artículo 12 del RD 311/2022, adaptada a la estructura y cultura de tu organización.

04

Implantación de controles y documentación de evidencias

Acompañamos la implantación de las medidas de seguridad pendientes del Anexo II —organizativas, operacionales y de protección— y generamos la documentación de evidencias requerida: procedimientos, registros, informes de análisis de riesgos, actas de revisión por la dirección y registros de formación del personal. Todo queda estructurado y listo para presentar ante la entidad auditora o para sustentar la declaración de conformidad autoevaluada. La implantación técnica de controles —hardening, monitorización, cifrado— la coordina con nosotros Summum Sistemas.

Qué incluye

Qué incluye Adecuación al ENS en Zaragoza desde el sistema de gestión.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada —básico, medio o alto— valorando el impacto sobre las cinco dimensiones CIDAT para cada servicio en alcance, con metodología trazable y referenciada al RD 311/2022 y al contexto contractual público de la empresa en Zaragoza.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de los 73 controles del Anexo II del ENS con los controles de tu sistema ISO 27001:2022, identificando reutilizaciones, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap antes de la auditoría de conformidad.

  • Declaración de Aplicabilidad integrada

    Documento formal que recoge la selección y exclusión justificada de los controles del ENS y del Anexo A de la ISO 27001:2022, conforme al formato esperado por los auditores de conformidad y por la CCN-STIC 809.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según el artículo 12 del RD 311/2022, adaptada a la estructura y relaciones contractuales de tu organización con el sector público aragonés: propósito, alcance, roles, compromisos de la dirección y ciclo de revisión.

  • Procedimientos, registros y paquete de evidencias

    Conjunto completo de procedimientos operativos, registros y evidencias que acreditan la implantación real de los controles: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal.

  • Revisión pre-auditoría y simulacro de conformidad

    Para categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de que llegue el auditor externo, minimizando el riesgo de no conformidades en la auditoría de certificación.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS en Zaragoza desde el sistema de gestión se complementa con la implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas: análisis de riesgos con MAGERIT y la herramienta PILAR, hardening de sistemas, configuración de la monitorización y preparación del paquete de evidencias técnicas. Juntos, los dos equipos cubren el plano documental-normativo y el plano técnico-operativo en un único proyecto coordinado, para que tu empresa pueda licitar con las instituciones públicas de Zaragoza y del Gobierno de Aragón con plenas garantías de cumplimiento.

Preguntas frecuentes sobre Adecuación al ENS en Zaragoza desde el sistema de gestión.

¿Por qué las empresas proveedoras del Gobierno de Aragón tienen que adecuarse al ENS?

El Gobierno de Aragón, con sede en Zaragoza, es una Administración del sector público autonómico sujeta al Esquema Nacional de Seguridad. El artículo 2 del RD 311/2022 establece que el ENS se aplica también a los sistemas de información de las entidades privadas cuando tratan información del sector público o prestan servicios a entidades sujetas al Esquema. Si tu empresa gestiona datos de ciudadanos, opera sistemas en nombre del Gobierno de Aragón o le suministra soluciones tecnológicas, debes adecuarte. El plazo para sistemas ya existentes finalizó el 5 de mayo de 2024.

¿El ENS afecta también a los proveedores del Ayuntamiento de Zaragoza y la Universidad de Zaragoza?

Sí. Tanto el Ayuntamiento de Zaragoza como la Universidad de Zaragoza son entidades del sector público sujetas al ENS. Sus contratos de servicios digitales —desarrollo de software, mantenimiento de sistemas, servicios en la nube, tratamiento de datos de ciudadanos o estudiantes— arrastran la obligación de adecuación al ENS a sus proveedores privados. La Diputación Provincial de Zaragoza está en la misma situación. Si licitáis o prestáis servicios a cualquiera de estas instituciones, el ENS os aplica.

¿Cómo sé si mi sistema es de categoría básica, media o alta?

La categoría se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT —confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad— para cada servicio en alcance. Si el impacto máximo en cualquier dimensión es BAJO, el sistema es de categoría básica; si alguna dimensión alcanza MEDIO, es categoría media; si alguna alcanza ALTO, es categoría alta. La categoría determina las medidas del Anexo II que son obligatorias y si necesitas una declaración de conformidad autoevaluada (básica) o una certificación por entidad acreditada ENAC (media o alta). Summum Calidad realiza ese análisis de categorización como primer paso del proyecto.

¿Puedo integrar la adecuación al ENS con mi certificación ISO 27001 existente?

Sí, y es la vía más eficiente. La ISO 27001:2022 y el ENS comparten la misma lógica de sistema de gestión —política de seguridad, análisis de riesgos, selección de controles, revisión y mejora continua— y muchos de sus controles son coincidentes o directamente reutilizables. Con ISO 27001 certificada o en curso, la brecha hacia el ENS se concentra en los aspectos específicos del marco español: la categorización del Anexo I, los controles sin equivalente exacto en ISO 27001 y la adaptación de la documentación al formato de la CCN. Summum Calidad cierra únicamente lo que falta, sin rehacer lo que ya funciona.

¿Qué son las 73 medidas del Anexo II del ENS y cuáles me aplican?

El Anexo II del RD 311/2022 recoge 73 medidas de seguridad organizadas en tres marcos —organizativo (4 medidas), operacional (33 medidas) y de protección (36 medidas)— y 16 familias. Las medidas aplicables dependen de la categoría de tu sistema: básico, medio o alto. No todas las 73 medidas son exigibles en todos los niveles; cada medida especifica a qué categorías aplica. Entre las familias con mayor relevancia para proveedores de servicios digitales destacan op.nub (seguridad en servicios en la nube), mp.com (protección de comunicaciones) y op.exp (explotación). Summum Calidad identifica el subconjunto exacto de medidas que te aplica y prioriza su implantación según el esfuerzo y el impacto sobre la conformidad.

¿Qué diferencia hay entre la declaración de conformidad y la certificación ENS?

Para sistemas de categoría básica, la conformidad se acredita mediante una declaración de conformidad autoevaluada por la propia organización, siguiendo el procedimiento de la CCN-STIC 809: la empresa declara bajo su responsabilidad que cumple los requisitos del ENS para esa categoría. Para sistemas de categoría media o alta, la conformidad debe ser certificada por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065: un tercero independiente audita el sistema y emite el certificado. Summum Calidad no emite ese certificado —es competencia exclusiva de las entidades acreditadas— pero sí prepara tu documentación, controles y evidencias para superar ese proceso de certificación con garantías.