Le Real Decreto 311/2022, du 3 mai, approuve le cadre national de sécurité espagnol et actualise les exigences que les organismes publics et leurs fournisseurs doivent appliquer à leurs systèmes d'information. À León, les principaux organismes soumis à l'ENS sont la Diputación de León — qui preste des services à des dizaines de communes de la province et gère des systèmes d'information propres et délégués —, l'Ayuntamiento de León et l'Universidad de León (ULE), dont les activités de recherche et de gestion académique génèrent un écosystème de fournisseurs technologiques qui, dans de nombreux cas, n'ont pas encore finalisé leur processus de mise en conformité. Opérer sans mise en conformité constitue un manquement susceptible de bloquer l'accès aux appels d'offres et aux marchés avec ces organismes, la réglementation de la commande publique exigeant le respect des exigences de sécurité applicables à chaque contrat.
L'article 2 du RD 311/2022 étend le champ d'application de l'ENS aux entités privées qui fournissent des services ou des solutions aux organismes du secteur public. Cela inclut les intégrateurs de logiciels, les développeurs d'applications de gestion, les prestataires de services en nuage (avec une attention particulière aux mesures de la famille op.nub de l'Annexe II), les entreprises de maintenance des infrastructures TIC et toute organisation qui traite des données pour le compte d'un organisme public léonais. Le niveau d'exigence dépend de la catégorie du système — de base, intermédiaire ou élevée —, déterminée conformément à l'Annexe I du RD 311/2022 selon l'impact potentiel d'un incident de sécurité sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité). La catégorie détermine également la voie de conformité : la catégorie de base permet une déclaration de conformité autoévaluée ; les catégories intermédiaire et élevée exigent une certification par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065.
L'Annexe II du RD 311/2022 organise les mesures de sécurité obligatoires en 75 contrôles répartis dans trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles. Le cadre opérationnel regroupe sept familles et trente-trois mesures, dont la famille op.nub, spécifique aux services en nuage, dont l'importance s'est considérablement accrue à mesure que l'administration léonaise a adopté des solutions cloud pour ses systèmes de gestion interne et de service aux citoyens. Chez Summum Sistemas, nous abordons chacune de ces familles sur le plan technique : analyse des risques selon la méthodologie MAGERIT et l'outil PILAR du CCN, configuration sécurisée des systèmes d'exploitation et des services, gestion des vulnérabilités, contrôle des accès privilégiés, surveillance et corrélation des événements de sécurité (SIEM), chiffrement des communications et des stockages, et plans de continuité visant à garantir la disponibilité des services aux niveaux requis par le système contractualisé.