Ciberseguridad y cumplimiento

Implantación técnica del ENS en León: MAGERIT, PILAR y Anexo II para proveedores del sector público leonés

La Diputación de León, el Ayuntamiento de León y la Universidad de León (ULE) están sujetos al Esquema Nacional de Seguridad por el RD 311/2022 (BOE-A-2022-7191). Sus proveedores y contratistas tecnológicos también: si tu empresa suministra software, servicios en la nube, mantenimiento de sistemas o cualquier solución que entre en contacto con sus sistemas de información, el ENS te aplica con la misma fuerza que al propio organismo. En Summum Sistemas nos ocupamos del plano técnico-operativo de esa adecuación: análisis de riesgos con metodología MAGERIT y la herramienta PILAR del CCN, implantación de las 75 medidas del Anexo II en sus tres marcos y dieciséis familias, monitorización de eventos de seguridad, hardening de sistemas y preparación de las evidencias técnicas que necesita el auditor de conformidad. Sin certificados propios —eso es competencia exclusiva de las entidades acreditadas por ENAC—, pero con la profundidad técnica necesaria para llegar a esa auditoría con todas las garantías.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedores tecnológicos de la Administración leonesa
EnfoqueImplantación técnica: MAGERIT · PILAR · Anexo II · ciberseguridad operativa

El Real Decreto 311/2022, de 3 de mayo, aprueba el Esquema Nacional de Seguridad y actualiza el marco que los organismos públicos españoles y sus proveedores deben aplicar a sus sistemas de información. En León, los principales organismos sujetos al ENS son la Diputación de León —que presta servicios a decenas de municipios de la provincia y gestiona sistemas de información propios y delegados—, el Ayuntamiento de León y la Universidad de León (ULE), cuya actividad de investigación y gestión académica genera un ecosistema de proveedores tecnológicos que, en muchos casos, no han completado aún su adecuación. Operar sin adecuación supone un incumplimiento que puede bloquear el acceso a licitaciones y contratos con estos organismos, dado que la normativa de contratación pública exige el cumplimiento de los requisitos de seguridad aplicables a cada contrato.

El artículo 2 del RD 311/2022 extiende el ámbito de aplicación del ENS a las entidades privadas que presten servicios o provean soluciones a las entidades del sector público. Esto incluye integradores de software, desarrolladores de aplicaciones de gestión, proveedores de servicios en la nube (con especial atención a las medidas de la familia op.nub del Anexo II), empresas de mantenimiento de infraestructuras TIC y cualquier organización que procese datos por cuenta de un organismo público leonés. El nivel de exigencia depende de la categoría del sistema: básica, media o alta, determinada conforme al Anexo I del RD 311/2022 según el impacto potencial de un incidente de seguridad en las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). La categoría determina también la vía de conformidad: la categoría básica permite una declaración de conformidad autoevaluada; la media y la alta exigen certificación por una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065.

El Anexo II del RD 311/2022 organiza las medidas de seguridad obligatorias en 75 controles distribuidos en tres marcos —marco organizativo, marco operacional y medidas de protección— y dieciséis familias. El marco operacional agrupa siete familias y treinta y tres medidas, incluyendo la familia op.nub, específica para servicios en la nube, cuya relevancia ha crecido notablemente a medida que la Administración leonesa ha ido adoptando soluciones cloud para sus sistemas de gestión interna y de atención ciudadana. En Summum Sistemas abordamos cada una de estas familias desde el plano técnico: análisis de riesgos con metodología MAGERIT y la herramienta PILAR (de uso oficial en el CCN), configuración segura de sistemas operativos y servicios, gestión de vulnerabilidades, control de accesos privilegiados, monitorización y correlación de eventos de seguridad (SIEM), cifrado de comunicaciones y almacenamiento, y planes de continuidad orientados a garantizar la disponibilidad de los servicios en los niveles exigidos por el sistema contratado.

El proceso de Implantación técnica del ENS en León.

El proceso · cuatro tiempos
01

Categorización técnica del sistema y alcance ENS

Identificamos todos los sistemas de información en alcance —los que tienen contacto con los sistemas de la Diputación de León, el Ayuntamiento de León o la ULE— y los valoramos conforme al Anexo I del RD 311/2022. Para cada servicio analizamos el impacto potencial de un incidente de seguridad en las cinco dimensiones CIDAT, determinamos la categoría resultante (básica, media o alta) y definimos el subconjunto de medidas del Anexo II que son obligatorias para esa categoría. Esta fase produce el informe de categorización que documenta la lógica de la decisión con trazabilidad normativa.

02

Análisis de riesgos con MAGERIT y PILAR

Ejecutamos el análisis de riesgos según la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), desarrollada por el CCN y de referencia obligada en el contexto del ENS. Empleamos la herramienta PILAR para modelar activos, amenazas, vulnerabilidades e impactos, y generar el mapa de riesgos con el nivel de criticidad de cada activo del sistema. El resultado es el informe de análisis de riesgos que sustenta la selección justificada de medidas del Anexo II y que el auditor de conformidad revisará como pieza central del expediente.

03

Implantación de las 75 medidas del Anexo II

Diseñamos e implantamos las medidas de seguridad del Anexo II correspondientes a la categoría del sistema: marco organizativo (políticas, roles, gestión de riesgos, adquisición de productos), marco operacional (planificación, control de acceso, explotación, servicios externos, continuidad, monitorización y familia op.nub para entornos cloud) y medidas de protección (instalaciones, sistemas, datos, comunicaciones, soportes). Cada medida queda documentada con evidencias técnicas trazables y verificables en una auditoría de conformidad.

04

Herramientas CCN: INES y verificación del estado de conformidad

Empleamos la herramienta INES (Informe Nacional del Estado de Seguridad) del CCN para autoevaluar el estado de madurez de los controles implantados y generar métricas que reflejan el grado de cumplimiento real del sistema. Esta evaluación periódica permite detectar desviaciones antes de la auditoría externa y ajustar el plan de acción. Las métricas INES también son comparables con las del sector público, lo que facilita la comunicación con los organismos contratantes sobre el estado de la adecuación.

Qué incluye

Qué incluye Implantación técnica del ENS en León.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I RD 311/2022)

    Documento técnico que justifica la categoría asignada al sistema —básico, medio o alto— valorando el impacto en las cinco dimensiones CIDAT para cada servicio en alcance, con metodología trazable y referenciada al RD 311/2022 y a los sistemas de la Administración leonesa contratante.

  • Análisis de riesgos MAGERIT con herramienta PILAR

    Análisis completo de activos, amenazas, vulnerabilidades e impactos según la metodología MAGERIT del CCN, ejecutado con la herramienta PILAR: mapa de riesgos, valoración de criticidad y plan de tratamiento priorizado conforme a la categoría del sistema.

  • Plan de implantación de las 75 medidas del Anexo II

    Diseño e implantación de las medidas obligatorias del Anexo II del RD 311/2022 en los tres marcos y dieciséis familias aplicables a la categoría del sistema, con cronograma, responsables y evidencias técnicas de cada control implantado.

  • Informe de estado INES y métricas de madurez

    Evaluación periódica del estado de madurez de los controles mediante la herramienta INES del CCN, con métricas comparables con las del sector público leonés y plan de acción para cerrar las brechas detectadas antes de la auditoría de conformidad.

  • Configuración segura (hardening) y gestión de vulnerabilidades

    Configuración documentada de sistemas operativos, servicios y comunicaciones conforme a las guías CCN-STIC aplicables, acompañada de un proceso estructurado de gestión de vulnerabilidades que incluye el seguimiento de boletines del CCN-CERT y el registro de parches aplicados.

  • Paquete de evidencias técnicas para la auditoría de conformidad

    Conjunto completo de evidencias técnicas estructuradas para la auditoría de conformidad ENS: informes MAGERIT/PILAR, registros de configuración, logs de monitorización, actas de pruebas de continuidad y trazas de incidentes, organizados conforme al formato esperado por las entidades acreditadas por ENAC.

Preguntas frecuentes sobre Implantación técnica del ENS en León.

¿Por qué el ENS afecta a los proveedores tecnológicos de la Diputación de León y el Ayuntamiento de León?

El artículo 2 del RD 311/2022 extiende el ámbito de aplicación del ENS a las entidades privadas que presten servicios o soluciones a organismos del sector público sujetos a la norma. La Diputación de León, el Ayuntamiento de León y la Universidad de León (ULE) están sujetos al ENS. Por tanto, cualquier empresa que les suministre software, servicios en la nube, mantenimiento de sistemas o procesamiento de datos debe adecuar sus propios sistemas de información al ENS en la parte que entre en contacto con los sistemas de la Administración. Sin esa adecuación, la empresa puede quedar excluida de licitaciones o ver cuestionada la validez de los contratos vigentes.

¿Qué es MAGERIT y por qué es la metodología de referencia para el ENS?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología de análisis de riesgos desarrollada por el CCN (Centro Criptológico Nacional) y adoptada como referencia en el contexto del ENS. El artículo 13 del RD 311/2022 exige un análisis de riesgos que determine las amenazas a los sistemas de información, estime la probabilidad de que ocurran y evalúe su impacto potencial. MAGERIT proporciona el marco estructurado para realizar ese análisis, y la herramienta PILAR —también del CCN— permite ejecutarlo de forma trazable y generar el informe de riesgos que el auditor de conformidad revisará como documento central del expediente.

¿Qué cubre la familia op.nub del Anexo II y por qué es relevante para empresas que prestan servicios cloud a la ULE o a la Diputación?

La familia op.nub del marco operacional del Anexo II recoge las medidas específicas que deben aplicarse cuando los sistemas de información del sector público operan sobre infraestructuras o servicios en la nube. Si tu empresa proporciona servicios cloud a la Universidad de León, a la Diputación de León o al Ayuntamiento de León —ya sea como proveedor IaaS, PaaS o SaaS—, debes implantar las medidas op.nub correspondientes a la categoría del sistema: protección de los datos en tránsito y en reposo, segmentación de recursos, gestión de identidades y accesos en entornos multiusuario, y acuerdos de nivel de servicio que garanticen la disponibilidad exigida. En Summum Sistemas implantamos estas medidas de forma técnica y documentada.

¿Cuál es la diferencia entre declaración de conformidad y certificación en el ENS?

Para sistemas de categoría básica, la conformidad con el ENS se acredita mediante una declaración de conformidad autoevaluada por la propia organización, siguiendo el procedimiento descrito en la CCN-STIC 809. Para sistemas de categoría media o alta, se requiere una auditoría de conformidad realizada por una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065, que emite el correspondiente certificado de conformidad. Summum Sistemas no emite certificados —eso es competencia exclusiva de las entidades acreditadas—, sino que implanta las medidas técnicas necesarias y prepara las evidencias para que superes ese proceso con las máximas garantías.

¿Cuántas medidas del Anexo II son obligatorias y cómo se determina cuáles aplican a mi empresa?

El Anexo II del RD 311/2022 recoge 75 medidas de seguridad organizadas en tres marcos (organizativo, operacional y de protección) y dieciséis familias. No todas son obligatorias para todos los sistemas: el nivel de exigencia de cada medida —marcado como básico, medio o alto en el propio Anexo II— depende de la categoría del sistema determinada en el Anexo I. Un sistema de categoría básica debe cumplir las medidas marcadas con nivel básico; uno de categoría media, las de nivel básico y medio; uno de categoría alta, las de los tres niveles. En Summum Sistemas determinamos con precisión el subconjunto aplicable a tu situación tras la categorización técnica del sistema.

¿Qué herramientas del CCN utiliza Summum Sistemas en los proyectos de León?

Trabajamos con las dos herramientas principales que el CCN pone a disposición de las organizaciones para la adecuación al ENS. PILAR (Procedimiento Informático de Análisis de Riesgos) se utiliza para el análisis de riesgos según metodología MAGERIT: modelado de activos, amenazas, vulnerabilidades e impactos, y generación del mapa de riesgos trazable. INES (Informe Nacional del Estado de Seguridad) se utiliza para la autoevaluación periódica del estado de madurez de los controles implantados, generando métricas comparables con las del sector público y permitiendo detectar desviaciones antes de la auditoría de conformidad.