Le Schéma National de Sécurité espagnol, approuvé par le Real Decreto 311/2022 du 3 mai, s'applique non seulement aux administrations publiques, mais aussi aux fournisseurs privés dont les systèmes d'information interagissent avec ceux du secteur public. Dans l'environnement de Palencia, cela signifie concrètement que toute entreprise technologique prestataire de la Diputación Provincial de Palencia, de l'Ayuntamiento de Palencia ou de tout organisme dépendant — Instituto Provincial de Bienestar Social, organismes autonomes municipaux, consortiums d'entités locales palentines — doit mettre ses systèmes en conformité avec la catégorie de sécurité applicable : basique, intermédiaire ou élevée, selon l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité). La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes préexistants. Opérer sans conformité constitue déjà un manquement formel qui compromet la capacité à soumissionner aux marchés publics et peut engager la responsabilité de l'administration contractante.
L'Annexe II du RD 311/2022 recense 75 mesures de sécurité réparties en trois cadres et seize familles. Le cadre organisationnel (quatre familles) régit la politique de sécurité, la réglementation interne, les procédures opérationnelles et le processus d'autorisation des systèmes. Le cadre opérationnel (sept familles) couvre la planification, le contrôle des accès, l'exploitation, les services externes — dont la famille op.nub pour les environnements en nuage, particulièrement pertinente compte tenu du recours croissant aux plateformes SaaS au sein des organismes palentins —, la continuité du service, la surveillance du système et l'acquisition de nouveaux composants. Le cadre des mesures de protection (cinq familles) traite des installations et infrastructures, de la gestion du personnel, des équipements, des communications, des supports d'information, des applications et de leur intégration dans le cycle de développement, ainsi que de la protection des services. Summum Sistemas met en œuvre ces mesures sur les systèmes réels de production, pas uniquement sur le papier : chaque mesure est techniquement opérationnelle et documentée avec des preuves vérifiables.
La méthodologie d'analyse des risques requise par l'ENS en Espagne est MAGERIT, développée par le Conseil supérieur de l'administration électronique. MAGERIT structure l'analyse en trois volumes : la méthode (processus d'analyse et de traitement), le catalogue d'éléments (actifs, menaces, sauvegardes typifiées) et le guide des techniques. Summum Sistemas applique la version en vigueur de MAGERIT à l'inventaire réel des actifs de l'organisation — serveurs, applications, réseaux, données, personnel —, évalue les menaces sur chaque actif, calcule le risque intrinsèque et résiduel après sauvegardes, et génère le rapport de risque documentant les décisions de traitement. Cette analyse n'est pas un formulaire générique : elle est réalisée spécifiquement sur les systèmes entrant dans le périmètre ENS et modélisée avec l'outil PILAR du CCN, dont le résultat exportable au format XML peut être directement utilisé par les auditeurs de conformité et par l'administration contractante lorsqu'elle sollicite des preuves de la posture de sécurité du fournisseur.