ENS pour entreprises privées : obligation et conformité

·

Le Schéma National de Sécurité (ENS — Esquema Nacional de Seguridad) a été créé en 2010 pour protéger les informations traitées par le secteur public espagnol. Cependant, depuis l'entrée en vigueur du Décret royal 311/2022, du 3 mai, la question que nous posent de plus en plus de directeurs de PME et de responsables informatiques est toujours la même : «Mon entreprise privée doit-elle également se conformer à l'ENS ?». La réponse courte est : cela dépend de si vous fournissez des services ou gérez des systèmes pour une administration publique. La réponse longue — celle dont vous avez besoin avant votre prochain appel d'offres public — est celle que nous développons dans cet article.

Qu'est-ce que l'ENS et pourquoi concerne-t-il désormais les entreprises privées ?

Le Schéma National de Sécurité est le cadre réglementaire espagnol qui établit les principes, les exigences et les mesures de sécurité devant être appliqués par toutes les entités qui traitent des informations ou fournissent des services électroniques dans le périmètre des administrations publiques. Le texte en vigueur, le Décret royal 311/2022, a abrogé le décret de 2010 et a considérablement élargi son champ d'application.

L'élément clé pour les entreprises privées se trouve à l'article 2 du Décret royal 311/2022, qui étend l'application de l'ENS aux «fournisseurs du secteur privé qui fournissent des services ou des solutions aux entités du secteur public». En pratique, si votre entreprise gère une plateforme SaaS pour une municipalité, développe des logiciels pour une administration régionale, héberge des données d'un organisme public ou fournit des services informatiques gérés à l'Administration, la réglementation ENS vous s'applique directement. Ce n'est pas une option ; c'est une exigence contractuelle opposable dans les cahiers des charges des marchés publics.

Quelles entreprises privées sont tenues de respecter l'ENS ? Les trois cas principaux

Pour lever toute ambiguïté, il convient de distinguer les cas où l'obligation est claire de ceux où elle peut naître par voie contractuelle ou par extension :

Ce qui ne génère pas d'obligation ENS directe, c'est le fait de fournir des services exclusivement à des clients privés sans aucun contrat ni donnée publique. Dans ce cas, le standard de référence de facto est la norme ISO 27001, qui partage de nombreux contrôles avec l'ENS et facilite la transition si vous décidez d'accéder à des marchés publics à l'avenir.

Les trois niveaux de catégorisation de l'ENS : basique, moyen et élevé

L'ENS n'est pas un cadre uniforme. Son application concrète dépend du niveau de catégorie du système à traiter ou à gérer. La catégorie est déterminée par l'entité publique propriétaire du système — et non par le fournisseur privé —, mais c'est le fournisseur qui doit mettre en œuvre les mesures de sécurité correspondant à cette catégorie pour sa partie du service.

Catégorie du système Impact en cas d'incident Instrument de conformité requis Qui le délivre
Basique Limité (informations de gestion interne, démarches à faible risque) Déclaration de Conformité (DDC) L'entité elle-même ou le fournisseur (auto-évaluation avec preuves)
Moyen Grave (atteinte aux droits des citoyens, fonctionnement de services essentiels, données sensibles) Certification ENS par un organisme accrédité ENAC Auditeur externe accrédité par l'ENAC
Élevé Très grave ou catastrophique (infrastructures critiques, sécurité nationale, données classifiées) Certification ENS par un organisme accrédité ENAC Auditeur externe accrédité par l'ENAC + validation du CCN dans certains cas

La grande majorité des contrats de services informatiques avec les administrations locales et régionales relèvent de la catégorie moyenne, ce qui implique une certification par un auditeur externe accrédité par l'ENAC. La catégorie basique, bien qu'elle permette une déclaration propre, exige néanmoins une analyse des risques documentée, la mise en œuvre des mesures de l'Annexe II du Décret royal 311/2022 et des preuves auditables.

Délais de mise en conformité : le régime transitoire du Décret royal 311/2022

Le Décret royal 311/2022 a établi une disposition transitoire unique accordant 24 mois à compter de sa publication au Journal officiel espagnol (3 mai 2022) aux systèmes préexistants pour atteindre la pleine conformité avec le nouveau cadre. Ce délai est arrivé à échéance en mai 2024.

En pratique, la période transitoire a déjà expiré. Pour un fournisseur privé, cela signifie que la conformité à l'ENS n'est plus «quelque chose qui arrive», mais une exigence opposable dès maintenant dans tout appel d'offres ou renouvellement de contrat. Les cahiers des charges publiés depuis 2025 sur des plateformes comme la Plateforme de Passation des Marchés du Secteur Public intègrent systématiquement la clause de conformité ENS comme condition d'admission.

La croissance des certifications a été substantielle ces dernières années : le portail de gouvernance du CCN enregistre une augmentation soutenue du nombre d'entités disposant d'une certification ENS valide, et une part significative de cette croissance provient d'entreprises privées ayant besoin du certificat pour maintenir ou développer leurs contrats publics.

ENS et ISO 27001 : sont-ils identiques ? L'un peut-il se substituer à l'autre ?

C'est l'une des questions les plus fréquentes que nous recevons chez Summum Calidad. La réponse est qu'ils ne sont pas équivalents, mais bien complémentaires, et que disposer de la certification ISO 27001 facilite considérablement la mise en conformité avec l'ENS.

La norme ISO 27001 est une norme internationale qui établit un Système de Management de la Sécurité de l'Information (SMSI) fondé sur l'analyse des risques. L'ENS, quant à lui, est une norme nationale espagnole avec un catalogue de mesures de sécurité très précis — 75 mesures regroupées dans l'Annexe II du Décret royal 311/2022 — et une orientation axée sur le service public.

Les principales différences sont :

Si votre entreprise dispose déjà de la certification ISO 27001 implantée avec Summum Calidad, le chemin vers l'ENS est nettement plus court : une analyse d'écart entre les contrôles de votre SMSI et les 75 mesures de l'ENS, un plan de remédiation pour les écarts identifiés, puis l'audit de certification par un organisme accrédité ENAC.

Le processus de mise en conformité ENS étape par étape

La mise en conformité ENS suit une logique structurée que Summum accompagne du début à l'obtention du certificat (toujours délivré par l'organisme certificateur externe accrédité par l'ENAC, et non par nous). Le processus habituel comporte quatre phases :

1. Analyse d'applicabilité et catégorisation

Le point de départ consiste à déterminer quels systèmes de l'organisation sont soumis à l'ENS et dans quelle catégorie ils s'inscrivent. Pour cela, on examine les contrats avec l'Administration, les systèmes qui traitent des informations publiques et l'impact potentiel d'un incident de sécurité sur la confidentialité, l'intégrité et la disponibilité de ces informations. Le résultat est le document de catégorisation, qui constitue le fondement de l'ensemble du projet.

2. Analyse des risques et diagnostic d'écart ENS

Une fois la catégorie connue, une analyse des risques est réalisée sur les actifs concernés, ainsi qu'une analyse d'écart (gap analysis) entre les mesures de sécurité déjà en place et les 75 mesures de l'Annexe II du Décret royal 311/2022 applicables à cette catégorie. Cette analyse génère le plan de mise en conformité, priorisé par risque et par effort.

3. Mise en œuvre des mesures et documentation

Les mesures techniques et organisationnelles identifiées lors du diagnostic d'écart sont mises en place : politiques de sécurité, gestion des identités, chiffrement, segmentation des réseaux, sauvegardes, gestion des vulnérabilités, formation du personnel, procédures de réponse aux incidents. Chaque mesure est documentée avec les preuves nécessaires à l'audit.

4. Audit de certification

Pour les catégories moyennes et élevées, un organisme accrédité par l'ENAC réalise l'audit de certification en deux phases : revue documentaire et audit sur site. Si le résultat est positif, il délivre le certificat de conformité ENS, valable deux ans, à l'issue desquels le renouvellement est obligatoire. Pour la catégorie basique, la Déclaration de Conformité est signée par le responsable de la sécurité, étayée par les preuves de l'analyse et des mesures mises en œuvre.

Pour initier le processus, la démarche la plus efficace est de solliciter une première évaluation auprès de notre équipe spécialisée : consultez ici le service de mise en conformité ENS de Summum Calidad.

Conséquences du non-respect : ce que vous risquez réellement

L'ENS ne dispose pas d'un régime de sanctions propre avec des amendes directes pour les fournisseurs privés. Cependant, les conséquences du non-respect sont tout aussi graves du point de vue commercial :

ENS et NIS2 : la convergence réglementaire à venir

La Directive NIS2 (Directive UE 2022/2555), dont la transposition en droit espagnol est en attente en 2026, étendra les obligations de cybersécurité à des secteurs qui n'étaient jusqu'ici pas concernés : fabrication industrielle, alimentation, gestion des déchets, services postaux, services numériques et fournisseurs de services gérés (MSP). Bon nombre de ces secteurs entretiennent des relations contractuelles avec l'Administration et se retrouveront confrontés à la nécessité de respecter simultanément l'ENS (pour leurs contrats publics) et les exigences de NIS2 (pour leur secteur).

La bonne nouvelle est que ces deux cadres partagent une logique commune fondée sur la gestion des risques, la gouvernance de la sécurité, la notification des incidents et la continuité d'activité. Une mise en conformité bien conduite avec l'ENS pose les bases permettant de couvrir une part significative des exigences de NIS2, notamment en ce qui concerne les mesures techniques et organisationnelles.

Questions fréquentes

Mon entreprise doit-elle obtenir la certification ENS même si le contrat public est de faible montant ?

L'obligation de conformité ENS ne dépend pas du montant du contrat, mais du fait que les systèmes impliqués traitent des informations du secteur public et de la catégorie de ces systèmes. Un contrat de faible montant impliquant l'accès à des données de citoyens ou à des plateformes de gestion municipale peut néanmoins exiger la conformité à l'ENS. C'est le niveau d'impact du système, et non la valeur économique du contrat, qui détermine l'exigence.

Combien de temps dure le processus de mise en conformité et de certification ?

Les délais varient selon le point de départ de l'organisation et la catégorie du système. Pour une entreprise disposant d'une posture de sécurité raisonnable et de systèmes de catégorie basique, le processus de déclaration de conformité peut être achevé en 3 à 5 mois. Pour une certification de catégorie moyenne par un organisme accrédité, le délai habituel est compris entre 6 et 12 mois, audit externe inclus. Si l'entreprise dispose déjà d'une certification ISO 27001, les délais se réduisent de façon significative, car l'analyse des risques et de nombreux contrôles sont déjà documentés et opérationnels.

La norme ISO 27001 remplace-t-elle l'ENS dans les marchés publics ?

Non. La norme ISO 27001 est un standard international de grande valeur et complémentaire, mais elle ne remplace pas l'ENS aux fins de conformité réglementaire dans les contrats avec l'Administration espagnole. Un appel d'offres exigeant la conformité ENS ne peut être satisfait par la seule certification ISO 27001. Cela étant, comme nous l'avons expliqué, disposer d'une certification ISO 27001 en cours de validité réduit considérablement l'effort et le coût de la mise en conformité ENS, car nombre de ses mesures sont déjà documentées et mises en œuvre.

Quels organismes peuvent certifier l'ENS en Espagne ?

Seuls les organismes d'inspection ou de certification accrédités par l'ENAC (Entidad Nacional de Acreditación — Organisme National d'Accréditation) dans le schéma spécifique du CCN (Centro Criptológico Nacional) peuvent certifier la conformité ENS pour les catégories moyenne et élevée. Plusieurs organismes opèrent en Espagne avec cette accréditation : AENOR, Bureau Veritas, SGS, DNV et d'autres entités. Summum Calidad, en tant que cabinet de conseil, accompagne le processus de mise en conformité, mais la certification est toujours délivrée par l'organisme externe accrédité.