El RD 311/2022, de 3 de mayo, extiende el Esquema Nacional de Seguridad más allá de las propias administraciones: toda entidad privada cuyos sistemas de información traten, transporten o soporten servicios del sector público queda obligada a adecuarse al mismo nivel de exigencia que la Administración contratante. En el entorno de Salamanca, esto afecta de forma directa a empresas que prestan servicios de software, infraestructura, telecomunicaciones, mantenimiento de redes o procesamiento de datos a la Diputación Provincial de Salamanca, al Ayuntamiento de Salamanca o a la Universidad de Salamanca, institución que, al pertenecer al sector público universitario español, también está sujeta al ENS con plena vigencia. El plazo general para adecuar los sistemas ya existentes finalizó el 5 de mayo de 2024; los sistemas puestos en marcha con posterioridad deben cumplir desde el primer día de operación. Operar fuera del ENS no sólo expone a la empresa a incumplimientos normativos, sino que puede impedir directamente el acceso a nuevas licitaciones del sector público salmantino.
El punto de partida técnico de cualquier proyecto de adecuación al ENS es el análisis de riesgos sobre los sistemas en alcance. El ENS no impone una metodología concreta, pero reconoce expresamente MAGERIT —la metodología elaborada por el Consejo Superior de Administración Electrónica— como referencia de facto del sector público español. Summum Sistemas trabaja con MAGERIT v3 para identificar y valorar activos, amenazas y vulnerabilidades, calcular el riesgo intrínseco y residual, y documentar las decisiones de tratamiento. Ese análisis se modeliza con PILAR, la herramienta del Centro Criptológico Nacional, que genera automáticamente los informes de riesgo en el formato que exigen tanto las entidades del sector público como las entidades de inspección acreditadas por ENAC que certifican los sistemas de categoría media y alta. INES, también del CCN, complementa el análisis permitiendo evaluar el grado de cumplimiento del ENS de forma estructurada y exportable.
El Anexo II del RD 311/2022 organiza las medidas de seguridad en tres marcos —organizativo, operacional y de protección— que articulan 16 familias y un total de 75 medidas. Para cada categoría de sistema —básica, media o alta— el Anexo determina qué medidas son obligatorias y en qué nivel de refuerzo (r1, r2 o r3). Desde Summum Sistemas nos ocupamos de la implantación técnica de las medidas operacionales y de protección: políticas de control de acceso (op.acc), gestión de la continuidad (op.cont), protección de comunicaciones (mp.com), protección de los soportes de información (mp.si), protección de los servicios (mp.s) y, especialmente, la familia op.nub, que regula la utilización de servicios de computación en nube y que resulta crítica para proveedores que alojan sus soluciones en infraestructura cloud. La implantación de controles técnicos se complementa con la preparación del paquete de evidencias —registros, logs, resultados de análisis de vulnerabilidades— que el auditor de conformidad necesita revisar para verificar que las medidas están efectivamente operativas, no sólo documentadas.