El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, obliga no solo a las Administraciones Públicas sino también a los proveedores privados cuyos sistemas de información entran en contacto con los del sector público. En el entorno de Palencia esto significa, concretamente, que cualquier empresa tecnológica que preste servicios a la Diputación Provincial de Palencia, al Ayuntamiento de Palencia o a cualquier organismo dependiente —Instituto Provincial de Bienestar Social, organismos autónomos municipales, consorcios de entidades locales palentinas— debe adecuar sus sistemas al nivel de categoría que corresponda: básica, media o alta, según el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como plazo máximo para los sistemas preexistentes. Operar sin adecuación es ya un incumplimiento formal que compromete la capacidad de licitar y puede trasladar responsabilidades a la Administración contratante.
El Anexo II del RD 311/2022 recoge 75 medidas de seguridad distribuidas en tres marcos y dieciséis familias. El marco organizativo (cuatro familias) regula la política de seguridad, la normativa interna, los procedimientos operativos y el proceso de autorización de los sistemas. El marco operacional (siete familias) cubre la planificación, el control del acceso, la explotación, los servicios externos —incluida la familia op.nub para entornos en la nube, especialmente relevante dado el creciente uso de plataformas SaaS en los organismos palentinos—, la continuidad del servicio, la monitorización del sistema y la adquisición de nuevos componentes. Las medidas de protección (cinco familias) abordan las instalaciones e infraestructuras, la gestión del personal, los equipos, las comunicaciones, los soportes de información, las aplicaciones e integración en el ciclo de desarrollo y la protección de los servicios. Summum Sistemas implanta estas medidas sobre los sistemas reales de la organización, no en papel: cada medida queda técnicamente operativa y documentada con evidencias verificables.
La metodología de análisis de riesgos que exige el ENS en España es MAGERIT, desarrollada por el Consejo Superior de Administración Electrónica. MAGERIT estructura el análisis en tres libros: el método (proceso de análisis y tratamiento), el catálogo de elementos (activos, amenazas, salvaguardas tipificadas) y la guía de técnicas. Summum Sistemas aplica MAGERIT en su versión vigente sobre el inventario real de activos de la organización —servidores, aplicaciones, redes, datos, personal—, valora las amenazas sobre cada activo, calcula el riesgo intrínseco y el residual tras salvaguardas, y genera el informe de riesgo que documenta las decisiones de tratamiento. Este análisis no es un formulario genérico: se realiza específicamente sobre los sistemas que están en el alcance del ENS y se modela con la herramienta PILAR del CCN, cuyo resultado exportable en formato XML es directamente utilizable por los auditores de conformidad y por la propia Administración contratante cuando solicita evidencias del estado de seguridad del proveedor.