El Real Decreto 311/2022, de 3 de mayo, que aprueba el Esquema Nacional de Seguridad, no es una norma exclusiva del sector público: su artículo 2 extiende la obligación de adecuación a los sistemas de información de las entidades privadas que presten servicios o suministren soluciones a las entidades del sector público sujetas al ENS. En el entorno de Barcelona eso significa que cualquier empresa proveedora de la Generalitat de Catalunya, del Ajuntament de Barcelona, de la Diputació de Barcelona, de l'Àrea Metropolitana de Barcelona o de universidades públicas como la Universitat de Barcelona (UB), la Universitat Autònoma de Barcelona (UAB), la Universitat Politècnica de Catalunya (UPC) o la Universitat Pompeu Fabra (UPF) debe adecuar sus sistemas antes de poder operar o licitar. La disposición transitoria única fijó el 5 de mayo de 2024 como fecha límite para los sistemas ya existentes; a partir de ese momento, operar sin adecuación supone un incumplimiento que puede bloquear el acceso a contratos públicos.
Summum Sistemas aborda la adecuación desde el ángulo que le es propio: la implantación técnica de las medidas de seguridad del Anexo II del RD 311/2022. Ese Anexo recoge 73 medidas organizadas en tres marcos —marco organizativo, marco operacional y medidas de protección— y dieciséis familias, siete de ellas dentro del bloque operacional, que incluye la familia op.nub específica para servicios en la nube, muy relevante en el denso ecosistema de proveedores SaaS y cloud que operan en Barcelona. No basta con redactar políticas: hay que configurar sistemas, endurecer servicios, implantar monitorización, gestionar vulnerabilidades y demostrar que cada medida está efectivamente aplicada con evidencias técnicas verificables.
El análisis de riesgos es el núcleo del proceso. El ENS exige que la selección y proporcionalidad de las medidas de seguridad se base en un análisis formal de los riesgos a los que están expuestos los sistemas en alcance. Summum Sistemas emplea la metodología MAGERIT —la referencia oficial del CCN para el análisis de riesgos en el contexto de la Administración Pública española— y la apoya con la herramienta PILAR del propio CCN, que permite modelar activos, amenazas, vulnerabilidades e impactos de forma estructurada y generar los informes que los auditores de conformidad esperan encontrar. Para la evaluación del estado de implantación de las medidas, empleamos además INES (Informe Nacional del Estado de Seguridad), el instrumento de autoevaluación del CCN que proporciona un cuadro de madurez por familia y medida. El resultado es un análisis técnico trazable, referenciado a la normativa y presentable ante cualquier entidad acreditada por ENAC.