L'Esquema Nacional de Seguridad, adopté par le Décret Royal 311/2022 du 3 mai, fixe les principes et exigences minimales de sécurité pour les systèmes d'information du secteur public espagnol et des entités privées qui leur fournissent des services. Son champ d'application est plus large que beaucoup d'entreprises ne le croient : si vous participez à des appels d'offres publics, si vous traitez des données de citoyens pour le compte d'une Administration, ou si vos logiciels s'exécutent sur des infrastructures du secteur public, l'ENS vous est pleinement applicable. La disposition transitoire unique du RD 311/2022 accordait 24 mois à compter de l'entrée en vigueur du texte — le 5 mai 2022 — pour mettre les systèmes existants en conformité ; ce délai a expiré le 5 mai 2024. Opérer sans conformité constitue aujourd'hui un manquement susceptible de compromettre votre accès aux marchés publics et d'engager la responsabilité de l'entité adjudicatrice.
Summum Calidad aborde la conformité ENS selon la logique du management de la sécurité de l'information, la même qui gouverne l'ISO 27001:2022. Les deux référentiels ne sont pas des mondes séparés : l'ENS structure ses exigences autour d'un système de management — politique de sécurité, analyse des risques, sélection et application de mesures proportionnées, revue de direction, amélioration continue — qui correspond essentiellement au cycle PDCA de l'ISO 27001 appliqué au contexte de l'Administration publique espagnole. Lorsqu'une organisation est déjà certifiée ISO 27001 ou s'y prépare, la conformité ENS s'appuie sur le travail déjà réalisé : les contrôles de l'Annexe A de l'ISO 27001:2022 recoupent les mesures de l'Annexe II de l'ENS, la documentation sert aux deux référentiels et un seul cycle d'audit interne couvre les exigences des deux normes. L'économie par rapport à deux projets distincts est estimée entre 30 % et 40 % en coût et en mobilisation d'équipes.
La catégorisation du système — point de départ obligatoire de l'ENS, régi par l'Annexe I du RD 311/2022 — détermine le niveau d'exigence applicable : basique, moyen ou élevé, selon l'impact qu'un incident de sécurité aurait sur les cinq dimensions de sécurité (confidentialité, intégrité, disponibilité, authenticité et traçabilité, soit l'acronyme CIDAT). Cette catégorisation définit le sous-ensemble de mesures de l'Annexe II qui sont obligatoires et la voie de conformité requise : pour les systèmes de catégorie basique, une déclaration de conformité auto-évaluée suffit ; pour les catégories moyenne ou élevée, une certification par un organisme d'inspection accrédité par l'ENAC selon la norme UNE-EN ISO/IEC 17065 est exigée. Summum Calidad n'émet pas ce certificat — cela relève exclusivement des organismes accrédités — mais nous préparons votre système à le franchir : analyse des écarts, mise en œuvre des mesures, documentation des preuves et revue pré-audit rigoureuse avant l'arrivée de l'auditeur de conformité.
L’ENS n’est qu’une partie de la conformité globale de votre entreprise. Le volet juridique —protection des données (RGPD), DPO externe, canal de signalement, compliance pénale, plans d’égalité et prévention du blanchiment— est assuré par notre division spécialisée, Summum Consultoría, pour un interlocuteur unique en conformité.