Le Real Decreto 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), n'est pas une norme réservée aux organismes publics : son article 2 étend l'obligation de conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions aux entités du secteur public elles-mêmes soumises à l'ENS. Dans l'environnement de Valencia, cela signifie que toute entreprise fournissant la Generalitat Valenciana — dont le siège se trouve dans la ville —, la Diputación de Valencia, l'Ayuntamiento de Valencia, l'Universitat de València ou l'Universitat Politècnica de València doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner à des marchés publics. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; à compter de cette date, opérer sans conformité constitue un manquement susceptible de bloquer l'accès à la commande publique.
Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage, particulièrement pertinente pour les fournisseurs SaaS qui opèrent dans l'écosystème public de la Comunitat Valenciana. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.
L'analyse des risques est le socle du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels les systèmes en périmètre sont exposés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — en s'appuyant sur l'outil PILAR du CCN, qui permet de modéliser actifs, menaces, vulnérabilités et impacts de façon structurée et de générer les rapports que les auditeurs de conformité s'attendent à trouver. Pour évaluer le niveau d'implantation actuel des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'autoévaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse techniquement rigoureuse, référencée à la norme et présentable devant tout organisme d'inspection accrédité par ENAC.