Sector publico y seguridad

Conformité ENS intégrée à l'ISO 27001

Si votre entreprise fournit des services, des produits ou des solutions technologiques à des organismes publics espagnols, l'Esquema Nacional de Seguridad (ENS) n'est pas optionnel. Le Décret Royal 311/2022 (BOE-A-2022-7191) impose que les systèmes d'information des entités du secteur public et de leurs prestataires soient mis en conformité — échéance expirée le 5 mai 2024 pour les systèmes préexistants. Summum Calidad vous accompagne dans ce processus selon l'approche du système de management de la sécurité de l'information (SMSI), en intégrant les exigences de l'ENS à celles de l'ISO 27001:2022 : contrôles mutualisés, charge documentaire réduite et préparation à la déclaration ou à la certification de conformité adaptée à votre catégorie. Deux référentiels, un seul projet coordonné, sans redondances inutiles.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilPrestataires de l'Administration publique espagnole
ModalitéProjet structuré avec accompagnement continu

L'Esquema Nacional de Seguridad, adopté par le Décret Royal 311/2022 du 3 mai, fixe les principes et exigences minimales de sécurité pour les systèmes d'information du secteur public espagnol et des entités privées qui leur fournissent des services. Son champ d'application est plus large que beaucoup d'entreprises ne le croient : si vous participez à des appels d'offres publics, si vous traitez des données de citoyens pour le compte d'une Administration, ou si vos logiciels s'exécutent sur des infrastructures du secteur public, l'ENS vous est pleinement applicable. La disposition transitoire unique du RD 311/2022 accordait 24 mois à compter de l'entrée en vigueur du texte — le 5 mai 2022 — pour mettre les systèmes existants en conformité ; ce délai a expiré le 5 mai 2024. Opérer sans conformité constitue aujourd'hui un manquement susceptible de compromettre votre accès aux marchés publics et d'engager la responsabilité de l'entité adjudicatrice.

Summum Calidad aborde la conformité ENS selon la logique du management de la sécurité de l'information, la même qui gouverne l'ISO 27001:2022. Les deux référentiels ne sont pas des mondes séparés : l'ENS structure ses exigences autour d'un système de management — politique de sécurité, analyse des risques, sélection et application de mesures proportionnées, revue de direction, amélioration continue — qui correspond essentiellement au cycle PDCA de l'ISO 27001 appliqué au contexte de l'Administration publique espagnole. Lorsqu'une organisation est déjà certifiée ISO 27001 ou s'y prépare, la conformité ENS s'appuie sur le travail déjà réalisé : les contrôles de l'Annexe A de l'ISO 27001:2022 recoupent les mesures de l'Annexe II de l'ENS, la documentation sert aux deux référentiels et un seul cycle d'audit interne couvre les exigences des deux normes. L'économie par rapport à deux projets distincts est estimée entre 30 % et 40 % en coût et en mobilisation d'équipes.

La catégorisation du système — point de départ obligatoire de l'ENS, régi par l'Annexe I du RD 311/2022 — détermine le niveau d'exigence applicable : basique, moyen ou élevé, selon l'impact qu'un incident de sécurité aurait sur les cinq dimensions de sécurité (confidentialité, intégrité, disponibilité, authenticité et traçabilité, soit l'acronyme CIDAT). Cette catégorisation définit le sous-ensemble de mesures de l'Annexe II qui sont obligatoires et la voie de conformité requise : pour les systèmes de catégorie basique, une déclaration de conformité auto-évaluée suffit ; pour les catégories moyenne ou élevée, une certification par un organisme d'inspection accrédité par l'ENAC selon la norme UNE-EN ISO/IEC 17065 est exigée. Summum Calidad n'émet pas ce certificat — cela relève exclusivement des organismes accrédités — mais nous préparons votre système à le franchir : analyse des écarts, mise en œuvre des mesures, documentation des preuves et revue pré-audit rigoureuse avant l'arrivée de l'auditeur de conformité.

L’ENS n’est qu’une partie de la conformité globale de votre entreprise. Le volet juridique —protection des données (RGPD), DPO externe, canal de signalement, compliance pénale, plans d’égalité et prévention du blanchiment— est assuré par notre division spécialisée, Summum Consultoría, pour un interlocuteur unique en conformité.

Le processus Conformité ENS intégrée à l'ISO 27001.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système

Nous examinons le périmètre de vos systèmes d'information, les services que vous fournissez à l'Administration et les données que vous traitez, afin de déterminer la catégorie ENS applicable selon l'Annexe I du RD 311/2022, en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service en périmètre. Nous analysons également si vous disposez d'une certification ISO 27001 en cours et dans quelle mesure ses contrôles couvrent déjà les exigences de l'ENS, afin de maximiser la réutilisation du travail existant.

02

Analyse des écarts ENS–ISO 27001

Nous cartographions les contrôles de l'Annexe II de l'ENS par rapport aux contrôles de votre système de management ISO 27001:2022 — ou par rapport aux pratiques de sécurité existantes si vous n'êtes pas encore certifié. Le résultat est un tableau d'écarts priorisé indiquant ce qui est déjà couvert, ce qui l'est partiellement et ce qui manque, accompagné de l'effort estimé pour fermer chaque écart avant l'audit de conformité.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour votre système de management de la sécurité de l'information pour qu'il couvre simultanément les exigences de l'ISO 27001:2022 et de l'ENS. Nous rédigeons la Déclaration d'Applicabilité intégrée, justifiant la sélection et l'exclusion des contrôles dans le format attendu par les auditeurs de conformité ENS, ainsi que la politique de sécurité de l'information conformément à l'article 12 du RD 311/2022.

04

Mise en œuvre des contrôles et documentation des preuves

Nous accompagnons la mise en œuvre des mesures de sécurité manquantes de l'Annexe II — organisationnelles, opérationnelles et de protection — et produisons la documentation de preuves requise : procédures, enregistrements, rapports d'analyse des risques, comptes rendus de revue de direction et enregistrements de formation. Tout est structuré et prêt à présenter à l'auditeur de conformité. La mise en œuvre technique des contrôles (durcissement, supervision, chiffrement) est coordonnée avec Summum Sistemas.

Ce qui est inclus

Ce qu'inclut Conformité ENS intégrée à l'ISO 27001.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie assignée au système — basique, moyenne ou élevée — en évaluant l'impact sur les cinq dimensions de sécurité CIDAT pour chaque service en périmètre, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse des écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des contrôles de l'Annexe II de l'ENS par rapport à vos contrôles ISO 27001:2022, identifiant les réutilisations possibles, les couvertures partielles et les contrôles manquants, avec l'effort estimé pour fermer chaque écart.

  • Déclaration d'Applicabilité intégrée

    Document formel consignant la sélection et l'exclusion justifiées des contrôles ENS et de l'Annexe A de l'ISO 27001:2022, dans le format attendu par les auditeurs de conformité et par la CCN-STIC 809.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée conformément à l'article 12 du RD 311/2022 et adaptée à la culture et à la structure de votre organisation : objet, périmètre, rôles, engagements de la direction et cycle de révision.

  • Procédures, enregistrements et dossier de preuves

    Ensemble complet de procédures opérationnelles, d'enregistrements et de preuves attestant la mise en œuvre effective des contrôles : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents et formation du personnel.

  • Revue pré-audit et simulation de conformité

    Pour les catégories moyenne ou élevée, audit interne simulant le processus de l'organisme accrédité ENAC : revue des preuves, identification des points faibles et correction avant l'arrivée de l'auditeur externe, minimisant le risque de non-conformités lors de l'audit de certification.

Questions fréquentes sur Conformité ENS intégrée à l'ISO 27001.

Quand l'ENS s'applique-t-il à une entreprise privée ?

Une entreprise privée doit se conformer à l'ENS lorsqu'elle fournit des services ou des solutions à des entités du secteur public espagnol elles-mêmes soumises à l'ENS. Cela inclut les fournisseurs de logiciels, les prestataires de services cloud, les sociétés de maintenance, les entreprises qui traitent des données pour le compte d'une Administration et tout service dans lequel les systèmes de l'entreprise privée interagissent avec les systèmes ou données du secteur public. L'échéance de conformité pour les systèmes préexistants était le 5 mai 2024, conformément à la disposition transitoire du RD 311/2022. Les nouveaux systèmes déployés après cette date doivent être conformes dès le premier jour.

Quelle est la différence entre les catégories basique, moyenne et élevée de l'ENS ?

La catégorie est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT pour chaque service en périmètre. Si l'impact maximal sur toutes les dimensions est FAIBLE, le système est de catégorie basique ; si une dimension atteint un impact MOYEN, il est de catégorie moyenne ; si une dimension atteint un impact ÉLEVÉ, il est de catégorie élevée. La catégorie détermine les mesures obligatoires de l'Annexe II et la voie de conformité requise : basique = déclaration de conformité auto-évaluée ; moyenne ou élevée = certification par un organisme accrédité par l'ENAC.

Puis-je intégrer la conformité ENS à ma certification ISO 27001 existante ?

Oui, et c'est l'approche la plus efficace. L'ISO 27001:2022 et l'ENS partagent une structure de management très similaire et de nombreux contrôles se recoupent ou se complètent. Avec une certification ISO 27001 en place, l'écart vers l'ENS se concentre sur les aspects spécifiques du cadre espagnol : la catégorisation de l'Annexe I, les mesures de l'Annexe II sans équivalent direct dans l'ISO 27001 et l'adaptation de la documentation au format CCN. Summum Calidad réalise l'analyse d'écarts précise et ne comble que ce qui manque, sans refaire le travail déjà en place.

Qui émet le certificat de conformité ENS ?

Pour les systèmes de catégorie basique, la conformité est attestée par une déclaration de conformité auto-évaluée produite par l'organisation elle-même, selon la procédure de la CCN-STIC 809. Pour les catégories moyenne ou élevée, la certification doit être réalisée par un organisme d'inspection accrédité par l'ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Calidad n'émet aucun certificat de conformité — cela relève exclusivement des organismes accrédités — mais prépare votre système à réussir ce processus.

Combien de temps prend la mise en conformité ENS ?

Cela dépend de la catégorie du système, de la taille de l'organisation et du niveau de maturité en sécurité existant. Pour les systèmes de catégorie basique avec des pratiques de sécurité déjà en place, le processus peut se compléter en trois à six mois. Pour les catégories moyenne ou élevée, avec des systèmes complexes et sans ISO 27001 préalable, le processus requiert généralement neuf à dix-huit mois, incluant l'analyse complète des risques avec la méthodologie MAGERIT, la mise en œuvre des mesures techniques et organisationnelles et l'audit de conformité par l'organisme accrédité.

Qu'est-ce que la Déclaration d'Applicabilité dans le contexte de l'ENS ?

La Déclaration d'Applicabilité (DdA) est un document qui recense, pour chaque contrôle de l'Annexe II de l'ENS, s'il s'applique au système, dans quelle mesure il est mis en œuvre et la justification des exclusions. C'est une exigence à la fois de l'ENS et de l'ISO 27001:2022, ce qui facilite sa rédaction intégrée. La DdA est l'un des documents examinés le plus attentivement par les auditeurs de conformité ; sa rigueur et son exhaustivité sont donc déterminantes pour l'issue de l'audit.

À quelle fréquence la conformité ENS doit-elle être renouvelée ?

L'Annexe III du RD 311/2022 impose que les systèmes d'information soumis à l'ENS fassent l'objet d'un audit de sécurité au moins tous les deux ans. Pour les systèmes de catégorie basique, le renouvellement de la déclaration de conformité auto-évaluée suit le même cycle biennal. Pour les catégories moyenne ou élevée, l'organisme accrédité réalise l'audit de renouvellement dans ce délai. Tout changement significatif du périmètre ou de l'architecture du système peut imposer un audit extraordinaire hors cycle.

L'ENS et le RGPD sont-ils complémentaires ou redondants ?

Ils sont complémentaires. L'ENS régit la sécurité des systèmes d'information dans le contexte de l'Administration publique et de ses prestataires ; le RGPD régit la protection des données personnelles des citoyens européens. Lorsqu'un prestataire de l'Administration traite des données personnelles de citoyens — situation la plus fréquente — les deux cadres s'appliquent simultanément. De nombreuses mesures de sécurité de l'Annexe II de l'ENS — gestion des accès, chiffrement, sauvegardes, gestion des incidents — satisfont également les exigences de sécurité du RGPD, ce qui rend une approche intégrée efficace et réduit la duplication documentaire.