Burgos concentra un tejido empresarial tecnológico y de servicios con presencia creciente en la licitación pública local y provincial. La Diputación de Burgos gestiona servicios a más de 370 municipios de la provincia y licita regularmente contratos de sistemas de información, mantenimiento tecnológico y digitalización de servicios. El Ayuntamiento de Burgos, con una administración electrónica consolidada, contrata soluciones de gestión documental, plataformas ciudadanas y servicios en la nube. La Universidad de Burgos (UBU), como entidad del sector público universitario, también queda sujeta al ENS y arrastra a sus proveedores tecnológicos. Cualquier empresa burgalesa que opere en alguno de estos entornos necesita haber completado su adecuación al ENS: el plazo general para sistemas ya existentes expiró el 5 de mayo de 2024, conforme a la disposición transitoria única del RD 311/2022, y los nuevos sistemas deben cumplir desde su puesta en marcha.
El Esquema Nacional de Seguridad organiza sus requisitos en torno a un sistema de gestión de la seguridad: política, análisis de riesgos, selección proporcional de medidas, operación, vigilancia y mejora continua. Este enfoque es estructuralmente idéntico al ciclo PDCA de la ISO 27001:2022, lo que convierte la integración de ambas normas en la vía más eficiente para una empresa proveedora de la Administración. El Anexo II del RD 311/2022 recoge 75 medidas de seguridad organizadas en tres marcos (organizativo, operacional y de protección) y 16 familias, de las cuales 7 familias y 33 medidas corresponden al marco operacional —incluyendo la familia op.nub de seguridad en servicios en la nube, especialmente relevante para proveedores SaaS que alojan aplicaciones para entidades burgalesas—. Cuando una organización ya dispone de un SGSI ISO 27001, muchas de esas medidas quedan ya cubiertas o necesitan únicamente una adaptación documental al contexto del ENS.
La categoría del sistema —básico, medio o alto— se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance. La categoría no es un detalle menor: determina qué medidas del Anexo II son obligatorias y, sobre todo, qué forma de conformidad se exige. Para sistemas de categoría básica, la conformidad se acredita mediante una declaración de conformidad autoevaluada conforme a la CCN-STIC 809. Para sistemas de categoría media o alta, es obligatoria la certificación por una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad no emite certificados de conformidad —eso es competencia exclusiva de los terceros acreditados—, pero prepara tu organización para llegar a ese proceso en las mejores condiciones: sistema documentado, evidencias completas y brechas cerradas antes de que llegue el auditor externo.