Le Schéma National de Sécurité, approuvé par le décret royal RD 311/2022 du 3 mai, n'est pas une norme de gestion documentaire : c'est un cadre technico-opérationnel qui exige la mise en œuvre concrète de mesures de sécurité sur les systèmes d'information. L'Annexe II du RD 311/2022 organise ces mesures en trois cadres — organisationnel, opérationnel et de protection — structurés en 16 familles et 75 mesures spécifiques, avec des exigences variables selon la catégorie du système (de base, intermédiaire ou élevée). Les mesures opérationnelles incluent la famille op.nub pour l'informatique en nuage, particulièrement pertinente pour les fournisseurs qui proposent des services SaaS ou une infrastructure cloud à l'administration publique de Burgos. Respecter l'ENS signifie que ces mesures sont techniquement mises en œuvre, configurées et vérifiables — et non simplement rédigées dans un document de politique.
À Burgos, les principaux organismes du secteur public soumis à l'ENS sont la Diputación Provincial de Burgos, l'Ayuntamiento de Burgos et l'Universidad de Burgos (UBU). Ces trois entités contractent des services technologiques, des logiciels de gestion, de la connectivité et de la maintenance de systèmes auprès d'entreprises privées. Lorsqu'une entreprise burgalaise — ou souhaitant répondre aux appels d'offres publics de la province — souhaite accéder à ces marchés, elle doit justifier que ses propres systèmes respectent l'ENS dans la catégorie correspondant au service fourni. Il ne s'agit pas d'une exigence future : la disposition transitoire unique du RD 311/2022 a fixé le 5 mai 2024 comme échéance pour les systèmes existants. Les nouveaux systèmes doivent être conformes dès leur mise en production.
Summum Sistemas aborde la mise en conformité sous l'angle de l'ingénierie. Le point de départ est l'analyse des risques selon la méthodologie MAGERIT (Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones Públicas), la méthodologie de référence du CCN pour l'ENS. Nous l'utilisons avec l'outil PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos), développé par le Centro Criptológico Nacional, qui modélise les actifs, les menaces et les sauvegardes de façon traçable et produit un rapport de risques résiduels directement référençable devant l'entité auditrice. Une fois les risques identifiés, nous concevons et mettons en œuvre les sauvegardes techniques de l'Annexe II qui comblent les lacunes détectées : contrôle d'accès (op.acc), continuité de service (op.cont), surveillance et audit (op.mon), protection des communications (mp.com) et protection du poste utilisateur (mp.eq), entre autres. Pour la vérification de l'état de conformité, nous utilisons INES (Instrumento Nacional de Evaluación de la Seguridad), la plateforme du CCN qui génère le rapport d'état ENS du système et sert de base à la déclaration de conformité pour les systèmes de catégorie de base.