Sector público

Implantación técnica del ENS en Bilbao para proveedores de la Administración

Si tu empresa presta servicios tecnológicos al Gobierno Vasco, a la Diputación Foral de Bizkaia, al Ayuntamiento de Bilbao o a la Universidad del País Vasco (UPV/EHU), el Esquema Nacional de Seguridad (RD 311/2022, BOE-A-2022-7191) exige que tus sistemas de información se adecuen a sus requisitos técnicos. Summum Sistemas se ocupa del plano operativo: análisis de riesgos con metodología MAGERIT, modelado de amenazas con la herramienta PILAR del CCN, implantación de las 73 medidas técnicas del Anexo II y el paquete de evidencias que necesitas para la declaración o certificación de conformidad. Licitación más sólida en el mercado público vasco, seguridad real en tus sistemas.

NormativaRD 311/2022 · BOE-A-2022-7191
ÁmbitoProveedores TIC de la Administración en Bilbao y Bizkaia
EnfoqueImplantación técnica · MAGERIT · PILAR · INES · Anexo II

El Real Decreto 311/2022, de 3 de mayo, que aprueba el Esquema Nacional de Seguridad, extiende en su artículo 2 la obligación de adecuación a los sistemas de información de las entidades privadas que prestan servicios o suministran soluciones a entidades del sector público sujetas al ENS. En Bilbao eso alcanza a cualquier empresa proveedora del Ayuntamiento de Bilbao, de la Diputación Foral de Bizkaia —cuya sede institucional radica en la ciudad—, de los organismos y servicios del Gobierno Vasco que operan desde Bilbao o de la Universidad del País Vasco (UPV/EHU), con presencia consolidada en el territorio a través de Bizkaia Aretoa y el campus de Leioa. La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como fecha límite para los sistemas ya existentes; operar sin adecuación a partir de esa fecha puede bloquear el acceso a contratos con cualquiera de estas administraciones.

Summum Sistemas aborda la adecuación desde el ángulo que le es propio: la implantación técnica de las medidas de seguridad del Anexo II del RD 311/2022. Ese Anexo recoge 73 medidas organizadas en tres marcos —organizativo, operacional y de protección— y dieciséis familias, siete de ellas dentro del bloque operacional, que incluye la familia op.nub específica para servicios en la nube. No basta con redactar políticas: hay que configurar sistemas, endurecer servicios, implantar monitorización, gestionar vulnerabilidades y demostrar con evidencias técnicas verificables que cada medida está efectivamente aplicada.

El análisis de riesgos es el núcleo del proceso: el ENS exige que la selección y proporcionalidad de las medidas se base en un análisis formal de los riesgos a los que están expuestos los sistemas en alcance. Summum Sistemas emplea MAGERIT —la metodología de referencia del CCN— apoyada en la herramienta PILAR y en INES para evaluar la madurez de implantación por familia de medidas. Una singularidad relevante para las administraciones vascas: además de las entidades de inspección acreditadas por ENAC, el Gobierno Vasco cuenta desde 2026 con Cyberzaintza, la Agencia Vasca de Ciberseguridad, reconocida por el CCN como Órgano de Auditoría Técnica (OAT) del sector público para certificar el cumplimiento del ENS en Euskadi. Trabajamos el análisis técnico y el paquete de evidencias para que sea presentable indistintamente ante ENAC o ante Cyberzaintza, según cuál sea la vía de conformidad de tu administración contratante.

El proceso de Implantación técnica del ENS en Bilbao para proveedores de la Administración.

El proceso · cuatro tiempos
01

Inventario de activos y determinación de la categoría ENS

Levantamos el inventario de activos de información —hardware, software, datos, servicios y comunicaciones— que forman parte del alcance del ENS en tu organización. Valoramos el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio que prestas al Ayuntamiento de Bilbao, la Diputación Foral de Bizkaia, el Gobierno Vasco o la UPV/EHU, y determinamos la categoría del sistema —básica, media o alta— conforme al Anexo I del RD 311/2022. Esta categoría fija qué medidas del Anexo II son obligatorias y qué vía de conformidad debes seguir.

02

Análisis de riesgos con MAGERIT y modelado con PILAR

Ejecutamos el análisis de riesgos con la metodología MAGERIT v3 del CCN: identificación de activos, dependencias, amenazas aplicables del catálogo MAGERIT, valoración de frecuencia e impacto y cálculo del riesgo residual tras la aplicación de salvaguardas. El modelado se realiza con la herramienta PILAR del CCN, que genera un informe estructurado de activos, amenazas y riesgos directamente utilizable como evidencia técnica, tanto ante una entidad acreditada por ENAC como ante Cyberzaintza.

03

Evaluación de madurez con INES y mapa de brechas técnicas

Aplicamos el cuestionario INES (Informe Nacional del Estado de Seguridad) para evaluar el nivel de implantación actual de cada una de las 73 medidas del Anexo II en las familias que corresponden a la categoría asignada. El resultado es un mapa de madurez por familia —de L0 (inexistente) a L5 (optimizado)— y una lista priorizada de brechas técnicas con estimación de esfuerzo y dependencias entre medidas.

04

Implantación técnica de las medidas del Anexo II

Ejecutamos la implantación de las medidas técnicas pendientes: hardening de sistemas operativos y servicios conforme a las guías CCN-STIC (511, 570, 610 y las específicas del fabricante), control de acceso y autenticación reforzada, registro y monitorización de eventos de seguridad, gestión de vulnerabilidades con ciclo de parcheo documentado, cifrado de comunicaciones y almacenamiento, y copias de seguridad conforme a la medida mp.info.9. Para servicios en la nube, trabajamos la familia op.nub: evaluación del proveedor, cadena de suministro y controles de acceso del entorno cloud.

Qué incluye

Qué incluye Implantación técnica del ENS en Bilbao para proveedores de la Administración.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de análisis de riesgos MAGERIT con PILAR

    Análisis formal de riesgos conforme a MAGERIT v3, ejecutado con la herramienta PILAR del CCN: inventario de activos, árbol de dependencias, valoración de amenazas e impactos y cálculo del riesgo residual. Documento presentable como evidencia técnica ante cualquier entidad de conformidad ENS.

  • Evaluación de madurez INES por familia de medidas

    Informe de estado de implantación de las medidas del Anexo II generado con la herramienta INES del CCN, con nivel de madurez por familia (L0-L5) y mapa de brechas priorizado para cerrar antes de la auditoría de conformidad.

  • Hardening técnico documentado por sistema

    Aplicación de las guías CCN-STIC pertinentes sobre cada sistema operativo, servicio y componente en alcance: configuración de seguridad, eliminación de servicios innecesarios, gestión de privilegios mínimos y evidencia de cada cambio con registro de versión y fecha.

  • Monitorización y gestión de eventos de seguridad

    Configuración de los mecanismos de registro, correlación y alerta conforme a las medidas op.mon y op.exp del Anexo II: fuentes de log, retención, alertas sobre eventos críticos y procedimiento de respuesta a incidentes técnicos documentado.

  • Plan y evidencias de gestión de vulnerabilidades

    Ciclo documentado de identificación, evaluación, priorización y remediación de vulnerabilidades técnicas: escaneos periódicos, criterios de priorización por categoría ENS, registros de parches aplicados y validación de cierre (medida op.exp.3).

  • Paquete de evidencias listo para ENAC o Cyberzaintza

    Conjunto estructurado de la documentación técnica requerida para la declaración de conformidad (categoría básica, CCN-STIC 809) o para la auditoría de una entidad acreditada por ENAC o de Cyberzaintza como Órgano de Auditoría Técnica del sector público vasco, según proceda.

Cluster Summum

Cómo se cruza con las hermanas.

La implantación técnica de las medidas del Anexo II se complementa con el plano documental y normativo que gestiona Summum Calidad en Bilbao: política de seguridad, Declaración de Aplicabilidad integrada con ISO 27001 y preparación de la declaración o certificación de conformidad. Los dos equipos trabajan de forma coordinada en un único proyecto, sin duplicidades y con un interlocutor único para el cliente.

Preguntas frecuentes sobre Implantación técnica del ENS en Bilbao para proveedores de la Administración.

¿Por qué necesito adecuarme al ENS si soy proveedor del Ayuntamiento de Bilbao o de la Diputación Foral de Bizkaia?

El artículo 2 del RD 311/2022 extiende la obligación del ENS a los sistemas de información de las entidades privadas que prestan servicios a entidades del sector público sujetas al propio ENS. El Ayuntamiento de Bilbao, la Diputación Foral de Bizkaia, el Gobierno Vasco y la Universidad del País Vasco (UPV/EHU) están todas ellas sujetas al ENS como Administraciones Públicas. Si tus sistemas de información entran en contacto con los de cualquiera de estas entidades —porque les prestas un servicio, les suministras software o procesas datos por su cuenta—, la adecuación al ENS es obligatoria y puede exigirse como requisito en los pliegos de contratación pública.

¿Qué es Cyberzaintza y qué relación tiene con la conformidad ENS en Bilbao?

Cyberzaintza es la Agencia Vasca de Ciberseguridad, dependiente del Gobierno Vasco. En 2026 obtuvo el reconocimiento del Centro Criptológico Nacional (CCN) como Órgano de Auditoría Técnica (OAT) del sector público, lo que le habilita para certificar el cumplimiento del ENS en las administraciones públicas de Euskadi. Para una empresa proveedora en Bilbao, esto significa que la auditoría de conformidad de categoría media o alta puede tramitarse a través de Cyberzaintza además de por las entidades de inspección acreditadas por ENAC, según lo que determine la administración contratante. Summum Sistemas prepara el análisis técnico y el paquete de evidencias para que sea válido ante cualquiera de las dos vías.

¿Qué es MAGERIT y por qué el ENS lo exige?

MAGERIT es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el CCN. El ENS exige que la selección y aplicación de las medidas del Anexo II se base en un análisis formal de riesgos proporcional a la categoría del sistema. MAGERIT es la referencia del CCN para ese análisis en el contexto de la Administración española: permite identificar activos, modelar amenazas y calcular el riesgo residual de forma estructurada y trazable, tal y como esperan encontrar tanto los auditores acreditados por ENAC como Cyberzaintza.

¿Cuántas medidas tiene el Anexo II del ENS y cuáles son obligatorias para mi empresa?

El Anexo II del RD 311/2022 recoge 73 medidas organizadas en tres marcos y dieciséis familias: el marco organizativo (4 medidas), el marco operacional —con 7 familias y 33 medidas, incluyendo la familia op.nub para servicios en la nube— y las medidas de protección —con 8 familias y 36 medidas—. Qué medidas son obligatorias para tu empresa depende de la categoría del sistema (básica, media o alta) que resulte del análisis de impacto sobre las cinco dimensiones CIDAT. Summum Sistemas realiza el diagnóstico para determinar exactamente el subconjunto aplicable a tu caso.

¿En qué consiste la familia op.nub del Anexo II y cuándo me afecta como proveedor en Bizkaia?

La familia op.nub (operación en la nube) del marco operacional regula los requisitos de seguridad específicos para los servicios de computación en la nube. Aplica cuando el sistema en alcance usa servicios IaaS, PaaS o SaaS como parte de su arquitectura. Sus medidas cubren la evaluación de los proveedores cloud, la segregación de entornos, la gestión de accesos en el entorno de la nube y la cadena de suministro de servicios cloud. Si prestas servicios sobre infraestructura cloud pública al Ayuntamiento de Bilbao, a la Diputación Foral de Bizkaia o al Gobierno Vasco, esta familia debe quedar explícitamente tratada en tu análisis de riesgos y en el plan de adecuación.

¿Summum Sistemas emite la certificación o declaración de conformidad ENS?

No. Para sistemas de categoría básica, la declaración de conformidad la emite la propia organización de forma autoevaluada, conforme a CCN-STIC 809. Para sistemas de categoría media o alta, la certificación la emite una entidad de inspección acreditada por ENAC o, en el caso del sector público vasco, puede tramitarse a través de Cyberzaintza como Órgano de Auditoría Técnica reconocido por el CCN. Summum Sistemas no emite ningún certificado: implantamos las medidas técnicas del Anexo II, generamos el paquete de evidencias y preparamos tus sistemas para superar ese proceso de conformidad con garantías.