Le RD 311/2022, du 3 mai, étend l'Esquema Nacional de Seguridad bien au-delà des administrations elles-mêmes : toute entité privée dont les systèmes d'information traitent, transportent ou soutiennent des services du secteur public est tenue de se conformer au même niveau d'exigence que l'administration contractante. Dans l'environnement de Salamanque, cela concerne directement les entreprises qui fournissent des services de logiciels, d'infrastructure, de télécommunications, de maintenance de réseaux ou de traitement de données à la Diputación Provincial de Salamanca, à l'Ayuntamiento de Salamanca ou à l'Universidad de Salamanca, institution qui, en tant que membre du secteur universitaire public espagnol, est pleinement soumise à l'ENS. Le délai général pour mettre en conformité les systèmes existants a expiré le 5 mai 2024 ; les systèmes mis en service après cette date doivent être conformes dès le premier jour d'exploitation. Opérer hors ENS n'expose pas seulement l'entreprise à des infractions réglementaires, mais peut directement lui interdire l'accès aux nouveaux appels d'offres du secteur public salmantino.
Le point de départ technique de tout projet de mise en conformité ENS est l'analyse des risques portant sur les systèmes concernés. L'ENS n'impose pas de méthodologie spécifique, mais reconnaît expressément MAGERIT — la méthodologie élaborée par le Consejo Superior de Administración Electrónica — comme référence de facto du secteur public espagnol. Summum Sistemas travaille avec MAGERIT v3 pour identifier et valoriser les actifs, les menaces et les vulnérabilités, calculer le risque intrinsèque et résiduel, et documenter les décisions de traitement des risques. L'analyse est modélisée dans PILAR, l'outil du Centro Criptológico Nacional, qui génère automatiquement les rapports de risque dans le format exigé tant par les entités du secteur public que par les organismes d'inspection accrédités par ENAC qui certifient les systèmes de catégorie moyenne et haute. INES, également du CCN, complète l'analyse en permettant d'évaluer de manière structurée et exportable le degré de maturité par rapport à l'ENS.
L'Annexe II du RD 311/2022 organise les mesures de sécurité en trois cadres — organisationnel, opérationnel et de protection — articulant 16 familles et un total de 75 mesures. Pour chaque catégorie de système — basique, moyen ou élevé — l'Annexe détermine quelles mesures sont obligatoires et à quel niveau de renforcement (r1, r2 ou r3). Summum Sistemas se charge de la mise en oeuvre technique des mesures opérationnelles et de protection : politiques de contrôle d'accès (op.acc), gestion de la continuité (op.cont), protection des communications (mp.com), protection des supports d'information (mp.si), protection des services (mp.s) et, notamment, la famille op.nub, qui régit l'utilisation des services de cloud computing et s'avère critique pour les fournisseurs qui hébergent leurs solutions dans une infrastructure cloud. La mise en oeuvre des contrôles techniques est complétée par la préparation du dossier de preuves — registres, journaux, résultats d'analyses de vulnérabilités — que l'auditeur de conformité doit examiner pour vérifier que les mesures sont effectivement opérationnelles, et pas seulement documentées.