El Real Decreto 311/2022, de 3 de mayo, aprueba el Esquema Nacional de Seguridad y actualiza el marco que los organismos públicos españoles y sus proveedores deben aplicar a sus sistemas de información. En León, los principales organismos sujetos al ENS son la Diputación de León —que presta servicios a decenas de municipios de la provincia y gestiona sistemas de información propios y delegados—, el Ayuntamiento de León y la Universidad de León (ULE), cuya actividad de investigación y gestión académica genera un ecosistema de proveedores tecnológicos que, en muchos casos, no han completado aún su adecuación. Operar sin adecuación supone un incumplimiento que puede bloquear el acceso a licitaciones y contratos con estos organismos, dado que la normativa de contratación pública exige el cumplimiento de los requisitos de seguridad aplicables a cada contrato.
El artículo 2 del RD 311/2022 extiende el ámbito de aplicación del ENS a las entidades privadas que presten servicios o provean soluciones a las entidades del sector público. Esto incluye integradores de software, desarrolladores de aplicaciones de gestión, proveedores de servicios en la nube (con especial atención a las medidas de la familia op.nub del Anexo II), empresas de mantenimiento de infraestructuras TIC y cualquier organización que procese datos por cuenta de un organismo público leonés. El nivel de exigencia depende de la categoría del sistema: básica, media o alta, determinada conforme al Anexo I del RD 311/2022 según el impacto potencial de un incidente de seguridad en las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). La categoría determina también la vía de conformidad: la categoría básica permite una declaración de conformidad autoevaluada; la media y la alta exigen certificación por una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065.
El Anexo II del RD 311/2022 organiza las medidas de seguridad obligatorias en 75 controles distribuidos en tres marcos —marco organizativo, marco operacional y medidas de protección— y dieciséis familias. El marco operacional agrupa siete familias y treinta y tres medidas, incluyendo la familia op.nub, específica para servicios en la nube, cuya relevancia ha crecido notablemente a medida que la Administración leonesa ha ido adoptando soluciones cloud para sus sistemas de gestión interna y de atención ciudadana. En Summum Sistemas abordamos cada una de estas familias desde el plano técnico: análisis de riesgos con metodología MAGERIT y la herramienta PILAR (de uso oficial en el CCN), configuración segura de sistemas operativos y servicios, gestión de vulnerabilidades, control de accesos privilegiados, monitorización y correlación de eventos de seguridad (SIEM), cifrado de comunicaciones y almacenamiento, y planes de continuidad orientados a garantizar la disponibilidad de los servicios en los niveles exigidos por el sistema contratado.