El Esquema Nacional de Seguridad, aprobado mediante el Real Decreto 311/2022 de 3 de mayo, establece los principios y requisitos mínimos que deben cumplir los sistemas de información del sector público español y los de las entidades privadas que les presten servicios. Su alcance es más amplio de lo que muchas empresas creen: si participas en licitaciones públicas, si gestionas datos de ciudadanos por cuenta de una Administración o si tu software se ejecuta en infraestructuras del sector público, el ENS te aplica con toda su fuerza. La disposición transitoria única del RD 311/2022 dio 24 meses desde la entrada en vigor de la norma —el 5 de mayo de 2022— para que los sistemas ya existentes se adecuaran; ese plazo expiró el 5 de mayo de 2024. Operar hoy sin adecuación supone un incumplimiento que puede comprometer tu acceso a la contratación pública y generar responsabilidades para la entidad que contrató tus servicios.
Summum Calidad aborda la adecuación al ENS desde el enfoque propio de la gestión de la seguridad de la información, el mismo que rige la ISO 27001:2022. No son dos mundos separados: el ENS estructura sus requisitos en torno a un sistema de gestión —política de seguridad, análisis de riesgos, selección y aplicación de medidas proporcionales, revisión y mejora continua— que es esencialmente el ciclo PDCA de la ISO 27001 aplicado al contexto de la Administración Pública española. Cuando una organización ya está certificada en ISO 27001 o trabaja hacia esa certificación, la adecuación al ENS aprovecha el trabajo ya hecho: controles del Anexo A de la ISO 27001:2022 que coinciden con medidas del Anexo II del ENS, documentación que sirve para ambas normas y una sola auditoría interna que cubre los requisitos de las dos. El ahorro estimado respecto a dos proyectos paralelos es de entre el 30 % y el 40 % en coste y tiempo de equipo.
La categorización del sistema —el punto de partida obligatorio del ENS, regulado en el Anexo I del RD 311/2022— determina el nivel de exigencia: básico, medio o alto, según el impacto que un incidente de seguridad tendría sobre las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, o CIDAT). Esta categorización define las medidas del Anexo II que debes aplicar y la vía de conformidad que se te exige. Para sistemas de categoría básica, es suficiente una declaración de conformidad autoevaluada según el procedimiento de la CCN-STIC 809. Para categoría media o alta, se requiere certificación por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Calidad no emite ese certificado —eso es competencia exclusiva de los terceros acreditados—, pero sí prepara tu sistema para superarlo con garantías: diagnóstico de brechas, implantación de medidas, documentación de evidencias y revisión rigurosa antes de que llegue el auditor de conformidad.
El ENS es una pieza del cumplimiento integral de tu empresa. La capa legal —protección de datos (RGPD), DPO externo, canal de denuncias, compliance penal, planes de igualdad y prevención de blanqueo de capitales— la cubre nuestra división especializada, Summum Consultoría, para que tengas un único interlocutor de cumplimiento.