El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, no es una norma de gestión documental: es un marco técnico-operativo que exige la implantación real de medidas de seguridad sobre los sistemas de información. El Anexo II del RD 311/2022 organiza esas medidas en tres marcos —organizativo, operacional y de protección— articulados en 16 familias y 75 medidas concretas, con diferentes requisitos según la categoría del sistema (básica, media o alta). Las medidas operacionales incluyen la familia op.nub de computación en la nube, especialmente relevante para proveedores que ofrecen servicios SaaS o infraestructura cloud a la Administración burgalesa. Cumplir el ENS significa que esas medidas están técnicamente implantadas, configuradas y verificables, no solo redactadas en una política.
En Burgos, los principales organismos del sector público sujetos al ENS son la Diputación Provincial de Burgos, el Ayuntamiento de Burgos y la Universidad de Burgos (UBU). Los tres contratan servicios tecnológicos, software de gestión, conectividad y mantenimiento de sistemas a empresas privadas. Cuando una empresa burgalesa —o con proyección hacia la licitación pública en la provincia— quiere acceder a esa contratación, debe acreditar que sus propios sistemas cumplen el ENS en la categoría que corresponda al servicio prestado. No es una exigencia futura: la disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como fecha límite para los sistemas existentes. Los nuevos sistemas deben cumplir desde su puesta en producción.
Summum Sistemas aborda la adecuación desde la ingeniería. El punto de partida es el análisis de riesgos con metodología MAGERIT (Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones Públicas), la metodología de referencia del CCN para el ENS. La utilizamos con la herramienta PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos), desarrollada por el Centro Criptológico Nacional, que permite modelar activos, amenazas y salvaguardas de forma trazable y produce un informe de riesgos residuales directamente referenciable ante la entidad auditora. Una vez conocidos los riesgos, diseñamos e implantamos las salvaguardas técnicas del Anexo II que cierran las brechas detectadas: control de accesos (op.acc), continuidad del servicio (op.cont), monitorización y auditoría (op.mon), protección de las comunicaciones (mp.com) y protección del puesto de usuario (mp.eq), entre otras. Para la verificación del estado de conformidad usamos INES (Instrumento Nacional de Evaluación de la Seguridad), la plataforma del CCN que genera el informe de estado del ENS y sirve de base para la declaración de conformidad de categoría básica.