Le Décret Royal 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), n'est pas une norme exclusivement réservée au secteur public : son article 2 étend l'obligation de mise en conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions aux entités du secteur public soumises à l'ENS. Saragosse accueille le siège du Gobierno de Aragón et de ses principaux départements, ainsi que la Diputación Provincial de Saragosse, l'Ayuntamiento de Saragosse et l'Universidad de Zaragoza, ce qui fait de la ville le nœud central de la commande publique technologique de la communauté autonome. Toute entreprise fournisseuse de ces institutions doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner. La disposition transitoire unique a fixé au 5 mai 2024 la date limite pour les systèmes déjà existants ; passé ce délai, opérer sans mise en conformité constitue un manquement pouvant bloquer l'accès aux marchés publics.
Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage, particulièrement pertinente pour les fournisseurs SaaS opérant dans l'écosystème public aragonais. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.
L'analyse des risques est au cœur du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels sont exposés les systèmes concernés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — et s'appuie sur l'outil PILAR du CCN, qui permet de modéliser actifs, menaces, vulnérabilités et impacts de façon structurée et de générer les rapports attendus par les auditeurs de conformité. Pour évaluer le niveau d'implantation des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'auto-évaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse technique traçable, référencée à la réglementation et présentable devant toute entité accréditée par l'ENAC.