ElPlan de Adecuaciónes un conjunto ordenado de acciones tendentes a satisfacer lo exigido por el ENS. Este Plan deberá contemplar las siguientes fases:
Preparar y aprobar la Política de Seguridad de la Información (PSI) y la Normativa Interna de Seguridad, incluyendo la definición de roles y laasignación de responsabilidadesa los mismos. Si se trata de sistemas que manejan información clasificada, asimismo se atenderá a criterios adicionales deorganización de la seguridad.
Analizar y categorizar los sistemas de información, atendiendo a la valoración de la información manejada, teniendo en cuenta si incluye datos de carácter personal, y la valoración de los servicios prestados.
Preparar laDeclaración de AplicabilidadInicial de las medidas del Anexo II del ENS atendiendo, si procede, a determinado Perfil de Cumplimiento al que pueda adscribirse el/los sistema(s) de información.
Desarrollar un Análisis de Riesgos, a fin de verificar que las medidas de seguridad derivadas de la Declaración de Aplicabilidad Inicial son adecuadas y suficientes.
Obtener la Declaración de Aplicabilidad definitiva.
Iniciar las acciones tendentes a la implantación del resto de las medidas exigidas para el nivel de seguridad y la categoría de seguridad definidas.