L'Annexe II du Décret Royal 311/2022 régissant l'Esquema Nacional de Seguridad recense les mesures de sécurité que doivent appliquer les systèmes d'information soumis à l'ENS, regroupées en trois cadres : organisationnel (politiques, rôles et responsabilités), opérationnel (planification, contrôle d'accès, exploitation, services externes, gestion des incidents et continuité) et mesures de protection (installations, systèmes, communications, supports d'information, applications et utilisateurs). Chaque mesure s'applique en fonction de la catégorie du système — basique, moyenne ou élevée — et est détaillée dans les guides de la série CCN-STIC 800, notamment la CCN-STIC 808 pour la vérification de la mise en conformité. Implanter ces mesures de façon efficace et démontrable exige une connaissance technique du cadre réglementaire espagnol, une expérience des systèmes les plus courants dans les environnements de marchés publics et la maîtrise des outils que le CCN lui-même met à disposition pour faciliter le processus.
Summum Sistemas applique la méthodologie MAGERIT v3 — la méthode d'analyse et de gestion des risques des systèmes d'information des administrations publiques, maintenue par le ministère espagnol des Finances — et l'outil PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos), développé et distribué par le CCN, pour réaliser l'analyse des risques qui fonde la sélection des mesures de l'Annexe II. L'analyse part d'un inventaire des actifs, évalue leurs interdépendances et détermine l'impact qu'une menace matérialisée aurait sur les cinq dimensions de sécurité CIDAT. Le résultat — la cartographie des risques et son plan de traitement — justifie quelles mesures de l'Annexe II doivent être appliquées, à quel niveau de renforcement et dans quel délai, et constitue l'un des documents que les auditeurs de conformité examinent avec le plus de rigueur.
Pour les systèmes de catégorie basique, le CCN fournit l'outil INES (Índice Nacional de Evaluación de la Seguridad), qui guide l'auto-évaluation requise pour la déclaration de conformité et génère le rapport de résultats. Pour les catégories moyenne et élevée, l'outil AMPARO facilite la gestion continue du système de sécurité une fois mis en œuvre. Pour préparer l'audit de conformité — qu'il s'agisse de l'audit interne préalable ou du processus avec l'organisme accrédité ENAC — le CCN dispose de CLARA (CHECKlist-based Lightweight Assessments for Reviewing Administration), qui structure les listes de vérification de l'auditeur. Summum Sistemas dispose d'une expérience pratique dans l'utilisation de tous ces outils et les intègre dans son flux de travail pour que le processus de mise en conformité soit traçable, efficace et directement exploitable lors de l'audit de conformité.