Le Real Decreto 311/2022 du 3 mai, portant approbation de l'Esquema Nacional de Seguridad, dépasse largement le cadre du secteur public : son article 2 rend la mise en conformité obligatoire pour les systèmes d'information des entités privées qui fournissent des services ou des solutions technologiques à toute entité du secteur public soumise à l'ENS. Dans l'environnement de Las Palmas de Gran Canaria, cela concerne les fournisseurs du Gobierno de Canarias — dont la direction de l'administration publique pilote la transformation numérique régionale —, du Cabildo de Gran Canaria, de l'Ayuntamiento de Las Palmas de Gran Canaria et de l'Universidad de Las Palmas de Gran Canaria (ULPGC). Si vos systèmes d'information entrent en contact avec ceux de l'une de ces entités — parce que vous leur fournissez un service géré, un logiciel, ou que vous traitez des données de citoyens pour leur compte —, la mise en conformité avec l'ENS est une obligation légale. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes préexistants ; depuis lors, opérer sans conformité constitue un manquement susceptible de bloquer l'accès aux marchés publics.
Summum Sistemas aborde la mise en conformité à l'ENS sous l'angle technique et opérationnel : le déploiement effectif des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 75 mesures en trois cadres et seize familles. Le cadre organisationnel couvre la politique de sécurité, la réglementation et les procédures internes, le processus d'autorisation et l'acquisition de nouveaux composants. Le cadre opérationnel, avec ses sept familles — planification (op.pl), contrôle d'accès (op.acc), exploitation (op.exp), services externes (op.ext), gestion des incidents (op.mon), continuité de service (op.cont) et exploitation dans le nuage (op.nub) — regroupe les 33 mesures les plus exigeantes sur le plan technique, notamment celles spécifiques aux environnements cloud (op.nub), particulièrement pertinentes dans un marché comme celui de Gran Canaria où de nombreuses entreprises TIC s'appuient sur une infrastructure cloud publique pour servir des clients du secteur public. Les mesures de protection, réparties en neuf familles, couvrent les installations et l'environnement physique, la gestion du personnel, la protection des postes de travail, des communications, des supports d'information, des applications informatiques, de l'information et des services.
L'analyse de risques avec la méthodologie MAGERIT et l'outil PILAR du Centro Criptológico Nacional constitue le cœur technique du processus de conformité. MAGERIT permet d'identifier tous les actifs du système d'information — matériel, logiciel, données, services, communications et installations —, de cartographier leurs dépendances et de calculer l'impact que chaque menace matérialisée aurait sur les cinq dimensions de sécurité CIDAT : confidentialité, intégrité, disponibilité, authenticité et traçabilité. L'outil PILAR, développé et distribué par le CCN, met en œuvre cette méthodologie dans un environnement guidé qui génère des rapports directement utilisables comme preuves techniques devant les auditeurs de conformité. Parallèlement à PILAR, le CCN met à disposition l'outil INES (Índice Nacional de Evaluación de la Seguridad), qui évalue le niveau de maturité de déploiement de chaque mesure de l'Annexe II et produit le tableau de bord qui accompagne la déclaration de conformité ou prépare l'audit par un organisme accrédité ENAC.