Sector publico y seguridad

Adecuación al ENS en Palencia: sistema de gestión para proveedores de la Administración

La Diputación Provincial de Palencia y el Ayuntamiento de Palencia están sujetos al Esquema Nacional de Seguridad. Eso significa que las empresas que les prestan servicios tecnológicos, gestionan sus sistemas de información o quieren acceder a sus licitaciones deben adecuarse también al ENS, tal y como establece el RD 311/2022 (BOE-A-2022-7191), de 3 de mayo. En Summum Calidad abordamos esa adecuación desde el sistema de gestión de la seguridad de la información (SGSI), integrándola con la ISO 27001:2022 para que tu empresa cumpla con el Esquema, aproveche los controles ya implantados y llegue a la declaración o certificación de conformidad que le corresponde según su categoría, sin duplicar esfuerzo ni documentación.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedores y contratistas de la Administración pública de Palencia
ModalidadProyecto de adecuación con acompañamiento continuo desde el SGSI

El RD 311/2022, de 3 de mayo, aprueba el Esquema Nacional de Seguridad y fija su ámbito en el artículo 2: quedan sujetos las entidades del sector público y, en lo que les afecte, los proveedores que presten servicios o suministren soluciones a esas entidades. La Diputación Provincial de Palencia y el Ayuntamiento de Palencia —como administraciones territoriales integradas en el sector público español— están dentro de ese ámbito. Cualquier empresa que gestione sus sistemas de información, les suministre software, procese datos de ciudadanos en su nombre o mantenga su infraestructura tecnológica comparte la obligación de adecuarse al ENS. El plazo general para los sistemas ya existentes finalizó el 5 de mayo de 2024. Operar sin adecuación puede cerrar el acceso a contratos públicos y generar responsabilidades para la administración contratante.

Summum Calidad trata la adecuación al ENS como lo que es: la construcción o actualización de un sistema de gestión de la seguridad de la información orientado al contexto de la Administración Pública española. El ENS articula sus requisitos en torno a los mismos pilares que la ISO 27001:2022 —política de seguridad, análisis de riesgos, selección proporcional de medidas y mejora continua—, lo que permite integrar ambas normas en un único proyecto. El Anexo II del RD 311/2022 recoge 75 medidas estructuradas en tres marcos (organizativo, operacional y de protección) y 16 familias, incluyendo la familia op.nub para servicios en la nube. Cuando una empresa proveedora de la Diputación o el Ayuntamiento de Palencia ya tiene la ISO 27001 certificada o en curso, el solapamiento con las medidas del Anexo II del ENS es significativo: el análisis de brechas identifica con precisión qué falta y qué puede reutilizarse directamente, reduciendo el coste y el tiempo del proyecto.

La categoría del sistema —básica, media o alta— se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance, conforme al Anexo I del RD 311/2022. Esa categoría define las medidas del Anexo II que son obligatorias y la vía de conformidad exigible: para sistemas de categoría básica es suficiente una declaración de conformidad autoevaluada según la CCN-STIC 809; para categoría media o alta se requiere certificación por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —eso es competencia exclusiva de los terceros acreditados—, pero prepara el sistema de la organización para afrontar ese proceso con garantías: desde el diagnóstico inicial hasta la revisión previa a la auditoría de conformidad.

El proceso de Adecuación al ENS en Palencia.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema

Analizamos el alcance real de los servicios que prestas a la Diputación Provincial de Palencia, al Ayuntamiento de Palencia o a cualquier otro organismo público local, identificamos los sistemas de información implicados y determinamos la categoría ENS que les corresponde según el Anexo I del RD 311/2022, valorando el impacto en las cinco dimensiones CIDAT. Si dispones de una certificación ISO 27001 vigente, evaluamos en paralelo el punto de partida para aprovechar controles ya implantados y reducir el alcance del proyecto.

02

Análisis de brechas ENS–ISO 27001 y plan de trabajo

Mapeamos los 75 controles del Anexo II del ENS contra las prácticas de seguridad y los controles de tu sistema de gestión existente. El resultado es una tabla priorizada de brechas —controles ausentes, parcialmente implantados y reutilizables directamente— con el esfuerzo estimado para cerrar cada gap y un plan de trabajo estructurado con plazos realistas orientados a la conformidad.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cubra simultáneamente los requisitos de la ISO 27001:2022 y los del ENS. Elaboramos la Declaración de Aplicabilidad integrada, que justifica la selección y exclusión de cada control del Anexo II conforme al formato esperado por los auditores de conformidad, y redactamos la política de seguridad de la información adaptada al artículo 12 del RD 311/2022.

04

Implantación de controles y paquete de evidencias

Acompañamos la implantación de las medidas de los tres marcos del Anexo II —organizativo, operacional y de protección— y generamos la documentación de evidencias requerida: procedimientos de gestión de accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios y gestión de incidentes. La parte técnica de implantación de controles la coordinamos con Summum Sistemas para que el plano normativo y el plano técnico avancen juntos.

Qué incluye

Qué incluye Adecuación al ENS en Palencia.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada —básica, media o alta— valorando el impacto en las cinco dimensiones CIDAT para cada servicio en alcance vinculado a la Administración pública de Palencia, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de los 75 controles del Anexo II del ENS con los controles de tu sistema de gestión existente, identificando reutilizaciones, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap antes de la auditoría de conformidad.

  • Declaración de Aplicabilidad integrada ENS–ISO 27001

    Documento formal que recoge la selección y exclusión justificada de los controles del ENS y del Anexo A de la ISO 27001:2022, conforme al formato esperado por los auditores de conformidad y por la CCN-STIC 809.

  • Política de seguridad conforme al artículo 12 del RD 311/2022

    Política corporativa redactada según los requisitos del artículo 12 del RD 311/2022 y adaptada a la estructura y cultura de tu organización: propósito, alcance, roles, compromisos de la dirección y ciclo de revisión bienal.

  • Procedimientos, registros y paquete completo de evidencias

    Conjunto estructurado de procedimientos operativos y registros que acreditan la implantación real de los controles del Anexo II: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal.

  • Revisión pre-auditoría y simulacro de conformidad

    Para categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de que llegue el auditor externo, reduciendo el riesgo de no conformidades en la auditoría de certificación.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS desde el sistema de gestión se refuerza cuando va acompañada de la implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas: análisis de riesgos con MAGERIT y PILAR, hardening de sistemas, monitorización de eventos de seguridad y preparación del paquete de evidencias técnicas. Los dos equipos cubren el plano normativo-documental y el plano técnico-operativo en un único proyecto coordinado, evitando huecos entre marcos.

Preguntas frecuentes sobre Adecuación al ENS en Palencia.

¿Qué organismos de Palencia están sujetos al ENS y, por tanto, obligan a sus proveedores?

La Diputación Provincial de Palencia y el Ayuntamiento de Palencia son administraciones territoriales del sector público español y quedan directamente sujetas al ENS conforme al artículo 2 del RD 311/2022. Además, están sujetos otros organismos dependientes o vinculados, como patronatos, consorcios y entidades instrumentales de la Administración local palentina. Cualquier empresa que preste servicios tecnológicos, gestione sistemas de información o procese datos de ciudadanos en nombre de esos organismos comparte la obligación de adecuarse al ENS en lo que les afecte.

¿Una empresa proveedora del Ayuntamiento de Palencia necesita certificarse en ENS para seguir licitando?

Depende de la categoría del sistema de información implicado en el contrato. Si los sistemas son de categoría básica, es suficiente una declaración de conformidad autoevaluada conforme a la CCN-STIC 809; no se necesita certificación por tercero acreditado. Si son de categoría media o alta, la certificación por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065 es obligatoria. Los pliegos de contratación de cada licitación suelen especificar el nivel de exigencia concreto; es recomendable revisarlos antes de iniciar el proceso de adecuación.

¿Por qué integrar la adecuación al ENS con la ISO 27001 y no hacerlo por separado?

Porque el ENS y la ISO 27001:2022 comparten la misma arquitectura de gestión: política de seguridad, análisis de riesgos, selección proporcional de controles y mejora continua. Muchos controles del Anexo II del ENS tienen su equivalente directo en el Anexo A de la ISO 27001:2022, de modo que quien ya tiene la norma certificada puede cerrar el gap hacia el ENS concentrándose solo en los aspectos específicos del marco español. Abordarlos de forma integrada evita duplicar documentación, reduce la carga de auditoría y optimiza el coste total del proyecto.

¿Cuántas medidas tiene el Anexo II del ENS y cómo se estructuran?

El Anexo II del RD 311/2022 recoge 75 medidas de seguridad distribuidas en tres marcos y 16 familias. El marco organizativo agrupa las medidas de política, normativa, procedimientos y autorización; el marco operacional incluye 7 familias con 33 medidas que cubren la planificación, control de acceso, explotación, recursos externos, continuidad y la familia op.nub para servicios en la nube; el marco de protección recoge las medidas de protección de activos concretos. No todas las medidas son obligatorias para todos los sistemas: el subconjunto aplicable depende de la categoría (básica, media o alta) asignada al sistema en el proceso de categorización del Anexo I.

¿Cuánto tiempo lleva adecuarse al ENS para una empresa proveedora en Palencia?

El plazo depende de la categoría del sistema, el tamaño de la organización y el punto de partida en materia de seguridad. Para sistemas de categoría básica con prácticas de seguridad ya implantadas, el proceso puede completarse en tres a seis meses. Para categoría media o alta, sin ISO 27001 previa, el proceso suele requerir entre nueve y dieciocho meses, incluyendo el análisis de riesgos, la implantación de medidas y la auditoría de conformidad por la entidad acreditada. Con ISO 27001 certificada, los plazos se reducen de forma significativa.

¿Cómo ayuda Summum Calidad a las empresas de Palencia que ya tienen ISO 27001?

Cuando una empresa ya tiene la ISO 27001 certificada o en proceso de certificación, Summum Calidad realiza un análisis de brechas preciso que mapea los controles del Anexo II del ENS contra los controles ya implantados en el SGSI. El resultado es un inventario de lo que puede reutilizarse directamente —sin trabajo adicional—, lo que requiere ajuste documental y lo que es genuinamente nuevo respecto al ENS. De ese modo, el proyecto se concentra en cerrar únicamente los gaps reales, sin rehacer lo que ya funciona, y el coste se reduce de forma considerable respecto a un proyecto de adecuación desde cero.