Sector publico y seguridad

Adecuación al ENS en Tenerife: sistema de gestión de la seguridad para proveedores del sector público canario

El Cabildo Insular de Tenerife, el Ayuntamiento de Santa Cruz de Tenerife, la Universidad de La Laguna y los demás organismos públicos de la isla están sujetos al Esquema Nacional de Seguridad. Eso significa que sus proveedores también lo están: si contratas con cualquiera de esas entidades o aspiras a licitar con ellas, el RD 311/2022 (BOE-A-2022-7191) exige que tus sistemas de información estén adecuados al ENS antes de que el contrato entre en vigor. Summum Calidad te acompaña en ese proceso desde el enfoque del sistema de gestión de la seguridad de la información (SGSI), integrando los requisitos del ENS con los de la ISO 27001:2022 para que el cumplimiento no sea una carga adicional sino parte de la operación ordinaria de tu empresa. Trabajamos con empresas tecnológicas y proveedoras de servicios que quieren ganar cuota en la contratación pública canaria sin duplicar esfuerzos documentales.

NormativaRD 311/2022 · BOE-A-2022-7191
Entorno fiscalRégimen Económico de Canarias (IGIC, sin IVA peninsular)
ModalidadProyecto estructurado con acompañamiento continuo

Tenerife concentra una parte significativa del sector público canario: el Cabildo Insular de Tenerife como ente supramunicipal, el Ayuntamiento de Santa Cruz de Tenerife como capital de provincia, la Universidad de La Laguna como institución académica de referencia del archipiélago occidental, y decenas de consorcios, patronatos y entidades dependientes que contratan servicios tecnológicos, software de gestión, mantenimiento de infraestructuras y soluciones en la nube. Todas estas entidades están sujetas al ENS, y por extensión sus proveedores privados también. El artículo 2 del RD 311/2022 es explícito: el Esquema aplica a los sistemas de información de las entidades del sector público y a los sistemas de sus proveedores cuando dichos sistemas tratan información clasificada o cuya seguridad sea relevante para la del sector público. La disposición transitoria única fijó el 5 de mayo de 2024 como fecha límite para la adecuación de los sistemas ya existentes. Operar desde Tenerife con contratos públicos activos y sistemas sin adecuar supone un incumplimiento que puede comprometer la renovación del contrato o la participación en nuevas licitaciones.

El entorno fiscal de Canarias añade una capa de singularidad operativa relevante para cualquier proyecto de adecuación. Las empresas con sede en Tenerife operan bajo el Régimen Económico y Fiscal de Canarias (REF): el Impuesto General Indirecto Canario (IGIC) sustituye al IVA peninsular, con tipos distintos y un esquema de liquidación propio. Esto tiene implicaciones en la gestión de la documentación contable y fiscal que puede afectar a los controles del Anexo II del ENS relacionados con la trazabilidad de operaciones y la integridad de registros. Summum Calidad conoce este entorno y adapta los procedimientos del sistema de gestión a la casuística fiscal canaria, evitando que los documentos del SGSI entren en contradicción con la realidad operativa de tu empresa. No es un detalle menor: los auditores de conformidad ENS revisan la coherencia entre los procesos documentados y los procesos reales, y una empresa que factura en IGIC y documenta sus flujos en términos de IVA genera incongruencias que debilitan la evidencia.

El Anexo II del RD 311/2022 organiza los requisitos en 75 medidas distribuidas en tres marcos —organizativo, operacional y de protección— y 16 familias de controles. El marco operacional concentra 7 familias y 33 medidas, entre ellas la familia op.nub (seguridad en la nube), especialmente relevante para proveedores que ofrecen software como servicio (SaaS) o infraestructura en la nube a organismos canarios, habida cuenta del creciente peso de las soluciones cloud en la administración pública de las islas. La categorización del sistema —básico, medio o alto según el impacto en las cinco dimensiones de seguridad CIDAT— determina el subconjunto de medidas aplicable y la vía de conformidad exigida: declaración de conformidad autoevaluada para categoría básica (conforme a CCN-STIC 809), y certificación por entidad de inspección acreditada por ENAC conforme a UNE-EN ISO/IEC 17065 para categorías media y alta. Summum Calidad no emite certificados de conformidad —eso es competencia exclusiva de los terceros acreditados por ENAC—, sino que prepara tu sistema para alcanzar la categoría que te corresponde con las garantías que exige la norma.

El proceso de Adecuación al ENS en Tenerife.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema en contexto canario

Analizamos el alcance real de tus sistemas de información en relación con los contratos públicos activos o previstos con organismos de Tenerife y Canarias —Cabildo, Ayuntamiento de Santa Cruz, ULL u otros— y determinamos la categoría ENS que te corresponde según el Anexo I del RD 311/2022, valorando el impacto en las cinco dimensiones CIDAT para cada servicio. Revisamos también la estructura operativa bajo el REF canario para garantizar que la documentación del sistema de gestión refleje la realidad fiscal de una empresa que opera bajo el régimen de IGIC.

02

Análisis de brechas ENS–ISO 27001 con mapa de controles

Cruzamos las 75 medidas del Anexo II del ENS contra los controles de tu sistema de gestión ISO 27001 existente o, si aún no tienes ISO 27001, contra las prácticas de seguridad ya implantadas en tu organización. El resultado es una tabla priorizada de brechas —controles reutilizables, controles parcialmente cubiertos y controles ausentes— con el esfuerzo estimado para cerrar cada gap antes de la declaración o certificación de conformidad que te corresponda según tu categoría.

03

Diseño del SGSI integrado ENS–ISO 27001

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cubra simultáneamente los requisitos del ENS y los de la ISO 27001:2022. Elaboramos la Declaración de Aplicabilidad integrada, la política de seguridad de la información adaptada al artículo 12 del RD 311/2022 y los procedimientos del marco organizativo del Anexo II. Todo el diseño tiene en cuenta las particularidades operativas de una empresa con actividad en Tenerife: tipología de contratos públicos locales, régimen fiscal IGIC y estructura habitual de las pymes tecnológicas canarias.

04

Implantación de controles y documentación de evidencias

Acompañamos la implantación de los controles organizativos, operacionales y de protección pendientes del Anexo II y generamos el paquete completo de evidencias requeridas: procedimientos, registros, análisis de riesgos, actas de revisión por la dirección y registros de formación del personal. La implantación técnica de los controles del marco operacional —hardening, monitorización, seguridad en la nube (op.nub)— se coordina con Summum Sistemas, garantizando coherencia entre el plano documental-normativo y el plano técnico.

Qué incluye

Qué incluye Adecuación al ENS en Tenerife.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada —básico, medio o alto— valorando el impacto en las cinco dimensiones CIDAT para cada servicio prestado a organismos públicos canarios, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de las 75 medidas del Anexo II del ENS (3 marcos, 16 familias) con los controles de tu sistema ISO 27001:2022 o con las prácticas de seguridad existentes, identificando reutilizaciones, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap.

  • SGSI integrado y Declaración de Aplicabilidad

    Sistema de gestión de la seguridad de la información diseñado para cubrir simultáneamente el ENS y la ISO 27001:2022, con Declaración de Aplicabilidad integrada que justifica la selección y exclusión de controles conforme al formato esperado por los auditores de conformidad.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según el artículo 12 del RD 311/2022 y adaptada a la realidad operativa de empresas con sede en Tenerife que prestan servicios a organismos del sector público canario bajo el régimen fiscal IGIC.

  • Procedimientos, registros y paquete de evidencias

    Conjunto completo de procedimientos operativos, registros y evidencias que acreditan la implantación real de los controles del Anexo II: gestión de usuarios, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal.

  • Revisión pre-auditoría y simulacro de conformidad

    Para categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de la auditoría de certificación, minimizando el riesgo de no conformidades.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS desde el sistema de gestión se refuerza cuando se integra con la implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas: análisis de riesgos MAGERIT/PILAR, hardening de sistemas, monitorización de eventos de seguridad y preparación del paquete de evidencias técnicas. En Tenerife, donde la administración pública canaria avanza hacia soluciones cloud, la familia op.nub del Anexo II requiere atención específica que los dos equipos cubren de forma coordinada.

Preguntas frecuentes sobre Adecuación al ENS en Tenerife.

¿El ENS obliga a los proveedores del Cabildo de Tenerife y del Ayuntamiento de Santa Cruz?

Sí. El artículo 2 del RD 311/2022 establece que el ENS aplica a los sistemas de información de las entidades del sector público y a los de sus proveedores cuando dichos sistemas tratan información cuya seguridad es relevante para la del sector público. El Cabildo Insular de Tenerife, el Ayuntamiento de Santa Cruz de Tenerife y la Universidad de La Laguna son entidades sujetas al ENS, y cualquier empresa privada que preste servicios tecnológicos, software de gestión, mantenimiento de sistemas o soluciones en la nube a esas entidades debe tener sus sistemas adecuados. La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como fecha límite para los sistemas ya existentes.

¿Cómo afecta el régimen fiscal canario (IGIC) al proyecto de adecuación al ENS?

El IGIC no modifica los requisitos técnicos del ENS, pero sí tiene implicaciones en la documentación del sistema de gestión. Los controles del Anexo II relacionados con la trazabilidad de operaciones, la integridad de registros y la gestión documental deben reflejar la realidad fiscal de una empresa que opera bajo el Régimen Económico y Fiscal de Canarias: tipos distintos de IGIC, liquidaciones propias y un esquema contable diferente al del IVA peninsular. Los auditores de conformidad revisan la coherencia entre los procesos documentados y los procesos reales, por lo que Summum Calidad adapta los procedimientos del SGSI a la casuística canaria para evitar incongruencias que debiliten la evidencia.

¿Cuál es la diferencia entre categoría básica, media y alta en el ENS?

La categoría se determina valorando el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio en alcance. Impacto máximo BAJO en todas las dimensiones equivale a categoría básica; si alguna dimensión alcanza impacto MEDIO, el sistema es de categoría media; si alguna llega a impacto ALTO, el sistema es de categoría alta. La categoría determina el subconjunto de las 75 medidas del Anexo II que son obligatorias y la vía de conformidad exigida: básica significa declaración de conformidad autoevaluada conforme a la CCN-STIC 809; media o alta exige certificación por una entidad acreditada por ENAC conforme a UNE-EN ISO/IEC 17065.

¿Puedo integrar la adecuación al ENS con ISO 27001 si ya estoy certificado?

Sí, y es la vía más eficiente. La ISO 27001:2022 y el ENS comparten una estructura de gestión muy similar —ciclo PDCA, análisis de riesgos, selección proporcional de controles, revisión por la dirección y mejora continua— y muchos controles son coincidentes o complementarios. Con ISO 27001 certificada, el gap hacia el ENS se concentra en los aspectos específicos del marco español: categorización del Anexo I, controles del Anexo II sin equivalente exacto en ISO 27001 y adaptación de la documentación al formato de la CCN. Summum Calidad realiza el análisis de brechas preciso y cierra únicamente lo que falta, sin rehacer el trabajo ya implantado.

¿Qué entidades públicas de Tenerife pueden exigirme el ENS en un pliego de contratación?

Cualquier entidad del sector público sujeta al ENS puede incluir la adecuación como requisito de solvencia técnica o condición de ejecución del contrato. En Tenerife, esto incluye el Cabildo Insular de Tenerife, el Ayuntamiento de Santa Cruz de Tenerife, el Ayuntamiento de La Laguna, la Universidad de La Laguna, el Servicio Canario de Empleo en sus oficinas insulares, los organismos autónomos dependientes del Gobierno de Canarias con sede en la isla y los consorcios y patronatos de administración local. La exigencia del ENS en los pliegos es cada vez más habitual en los contratos de servicios digitales y tecnológicos, especialmente desde que venció el plazo de adecuación en mayo de 2024.

¿Summum Calidad emite el certificado de conformidad ENS?

No. El certificado de conformidad ENS para sistemas de categoría media o alta solo puede emitirlo una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Calidad no es una entidad acreditada y no emite ningún certificado oficial. Lo que hacemos es preparar tu sistema de gestión de la seguridad de la información para que, cuando llegue la auditoría de conformidad realizada por el tercero acreditado que tú elijas, tu organización esté lista para superarla con garantías: diagnóstico de brechas, implantación de medidas, documentación de evidencias y revisión pre-auditoría antes de la auditoría oficial.