Le Real Decreto 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), n'est pas une norme réservée aux organismes publics : son article 2 étend l'obligation de conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des entités du secteur public elles-mêmes soumises à l'ENS. Madrid concentre sur son territoire municipal et son aire métropolitaine le siège de la Comunidad de Madrid, de l'Ayuntamiento de Madrid, de la plupart des ministères et organismes de l'Administration générale de l'État, ainsi que plusieurs universités publiques — dont l'Universidad Complutense de Madrid, qui maintient depuis 2023 son propre plan de mise en conformité à l'ENS —, ce qui fait de la capitale le plus grand pôle de commande publique technologique du pays. Toute entreprise qui fournit des services numériques, livre des logiciels ou exploite des systèmes en contact avec ceux de ces institutions doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner à des marchés publics. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; à compter de cette date, opérer sans conformité constitue un manquement susceptible de bloquer l'accès à la commande publique.
Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage, particulièrement pertinente pour les fournisseurs SaaS opérant dans l'écosystème public madrilène. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.
L'analyse des risques est le socle du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels les systèmes en périmètre sont exposés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — en s'appuyant sur l'outil PILAR du CCN, qui permet de modéliser actifs, menaces, vulnérabilités et impacts de façon structurée et de générer les rapports que les auditeurs de conformité s'attendent à trouver. Pour évaluer le niveau d'implantation actuel des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'autoévaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse techniquement rigoureuse, référencée à la norme et présentable devant tout organisme d'inspection accrédité par ENAC.