Sector publico y seguridad

Conformité ENS à Burgos : système de management de la sécurité pour les fournisseurs de l'Administration locale

Si votre entreprise à Burgos fournit des services, des logiciels ou gère des systèmes d'information pour la Diputación de Burgos, l'Ayuntamiento de Burgos ou l'Universidad de Burgos (UBU), l'Esquema Nacional de Seguridad (Schéma National de Sécurité) vous est pleinement applicable. Le RD 311/2022 (BOE-A-2022-7191) impose que les entités du secteur public et leurs fournisseurs et prestataires mettent leurs systèmes d'information en conformité avec l'ENS, au niveau básico, medio ou alto selon l'impact potentiel d'un incident de sécurité. Summum Calidad vous accompagne sous l'angle du système de management de la sécurité de l'information (SMSI) : intégré à l'ISO 27001 si vous êtes déjà certifié, construit de zéro dans le cas contraire. Un projet structuré, sans doublons, orienté vers l'obtention de la déclaration ou de la certification de conformité exigée par votre catégorie.

RéglementationRD 311/2022 · BOE-A-2022-7191
Périmètre localDiputación de Burgos · Ayuntamiento de Burgos · UBU
ModalitéAccompagnement et préparation — Summum Calidad

Burgos dispose d'un tissu d'entreprises technologiques et de services avec une présence croissante dans la commande publique locale et provinciale. La Diputación de Burgos gère des services pour plus de 370 communes de la province et met régulièrement en appel d'offres des contrats portant sur des systèmes d'information, la maintenance technologique et la numérisation des services. L'Ayuntamiento de Burgos, doté d'une administration électronique consolidée, achète des solutions de gestion documentaire, des plateformes citoyennes et des services en nuage. L'Universidad de Burgos (UBU), en tant qu'entité du secteur public universitaire, est également soumise à l'ENS et entraîne dans son périmètre ses fournisseurs informatiques. Toute entreprise burgalaise opérant dans l'un de ces environnements devait avoir achevé sa mise en conformité ENS : le délai général pour les systèmes existants a expiré le 5 mai 2024, conformément à la disposition transitoire unique du RD 311/2022, et les nouveaux systèmes doivent être conformes dès leur mise en service.

L'Esquema Nacional de Seguridad organise ses exigences autour d'un système de management de la sécurité : politique, analyse des risques, sélection proportionnée des mesures, exploitation, surveillance et amélioration continue. Cette approche est structurellement identique au cycle Plan-Do-Check-Act de l'ISO 27001:2022, ce qui fait de l'intégration des deux référentiels la voie la plus efficiente pour un fournisseur de l'Administration. L'Annexe II du RD 311/2022 recense 75 mesures de sécurité organisées en trois cadres (organisationnel, opérationnel et de protection) et 16 familles, dont 7 familles et 33 mesures relèvent du cadre opérationnel — notamment la famille op.nub sur la sécurité des services en nuage, particulièrement pertinente pour les fournisseurs SaaS hébergeant des applications pour des entités publiques burgalaises. Lorsqu'une organisation dispose déjà d'un SMSI ISO 27001, bon nombre de ces mesures sont déjà couvertes ou nécessitent uniquement une adaptation documentaire au contexte de l'ENS.

La catégorie du système — básico, medio ou alto — est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service dans le périmètre. La catégorie n'est pas un détail mineur : elle détermine quelles mesures de l'Annexe II sont obligatoires et, surtout, quelle forme de conformité est requise. Pour les systèmes de catégorie básico, la conformité est démontrée par une déclaration de conformité auto-évaluée selon la CCN-STIC 809. Pour les catégories medio ou alto, une certification par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065 est obligatoire. Summum Calidad n'émet pas de certificats de conformité — c'est la compétence exclusive des tiers accrédités —, mais prépare votre organisation à aborder ce processus dans les meilleures conditions : système documenté, preuves complètes et écarts comblés avant l'arrivée de l'auditeur externe.

Le processus Conformité ENS à Burgos.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système

Nous analysons les services que vous fournissez aux organismes publics burgalais — Diputación, Ayuntamiento, UBU ou autres entités publiques provinciales — et les systèmes d'information concernés. Nous appliquons l'Annexe I du RD 311/2022 pour déterminer la catégorie ENS applicable à votre situation, en évaluant l'impact CIDAT pour chaque dimension. Si vous êtes déjà certifié ISO 27001, nous identifions dès ce stade les contrôles réutilisables et les écarts spécifiques à l'ENS qui restent à combler.

02

Analyse des écarts ENS par rapport au système de management existant

Nous mettons en correspondance les 75 mesures de l'Annexe II du RD 311/2022 avec les contrôles de votre SMSI ISO 27001 ou avec vos pratiques de sécurité actuelles si vous n'êtes pas encore certifié. Le résultat est un tableau d'écarts hiérarchisé — contrôles absents, partiellement couverts ou directement réutilisables — avec l'effort estimé pour combler chaque écart avant l'audit de conformité. Nous accordons une attention particulière à la famille op.nub si vos services sont fournis depuis le nuage.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour le système de management de la sécurité de l'information pour couvrir simultanément les exigences de l'ENS et celles de l'ISO 27001:2022. Nous rédigeons la Déclaration d'Applicabilité intégrée, qui justifie la sélection et l'exclusion des contrôles dans le format attendu par les auditeurs de conformité ENS et par la CCN-STIC 809, ainsi que la politique de sécurité de l'information conformément à l'article 12 du RD 311/2022.

04

Mise en œuvre des contrôles et documentation des preuves

Nous accompagnons la mise en œuvre des mesures de sécurité de l'Annexe II encore manquantes — organisationnelles, opérationnelles et de protection — et produisons la documentation de preuves : procédures, enregistrements, rapports d'analyse des risques, procès-verbaux de revue de direction et registres de formation. La partie technique de la mise en œuvre (durcissement, surveillance, outils PILAR/MAGERIT) est coordonnée, lorsque le projet le requiert, avec Summum Sistemas.

Ce qui est inclus

Ce qu'inclut Conformité ENS à Burgos.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée — básico, medio ou alto — par l'évaluation de l'impact CIDAT pour chaque service fourni aux organismes publics burgalais, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse des écarts ENS–ISO 27001 avec contrôles mis en correspondance

    Tableau croisé des 75 mesures de l'Annexe II de l'ENS face aux contrôles de votre système de management, identifiant réutilisations directes, écarts partiels et contrôles absents, avec effort estimé pour combler chaque écart.

  • Déclaration d'Applicabilité intégrée ENS–ISO 27001

    Document formel enregistrant la sélection et l'exclusion justifiées des contrôles dans le format attendu par les auditeurs de conformité et la CCN-STIC 809, intégré à la Déclaration d'Applicabilité ISO 27001:2022 le cas échéant.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée selon l'article 12 du RD 311/2022 et adaptée à la culture et à la structure de votre organisation : objet, périmètre, rôles, engagements de la direction et cycle de révision biennal.

  • Dossier de preuves pour l'audit de conformité

    Ensemble complet de procédures opérationnelles, d'enregistrements et de preuves attestant la mise en œuvre réelle des contrôles : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents et formation du personnel.

  • Revue pré-audit et simulation de conformité

    Pour les catégories medio ou alto, audit interne préalable simulant le processus de l'organisme accrédité ENAC : examen des preuves, détection des points faibles et correction avant l'arrivée de l'auditeur externe, minimisant le risque de non-conformités.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité ENS à Burgos sous l'angle du système de management est complétée par la mise en œuvre technique des mesures de l'Annexe II assurée par Summum Sistemas : analyse des risques avec MAGERIT et l'outil PILAR, durcissement des systèmes, configuration de la surveillance et constitution du dossier de preuves techniques. Ensemble, les deux équipes couvrent le volet documentaire-normatif et le volet technique-opérationnel dans un projet coordonné unique, sans que vous ayez à gérer deux prestataires distincts pour la même mise en conformité.

Questions fréquentes sur Conformité ENS à Burgos.

Mon entreprise burgalaise doit-elle se conformer à l'ENS si elle ne travaille qu'avec la Diputación ou l'Ayuntamiento de Burgos ?

Oui. Le RD 311/2022 établit que l'ENS s'applique non seulement aux entités du secteur public elles-mêmes, mais aussi à leurs fournisseurs et prestataires lorsque les systèmes d'information de l'entreprise privée entrent en contact avec ceux du secteur public. Si vous fournissez des services technologiques, gérez des données de citoyens ou livrez des logiciels à la Diputación de Burgos, à l'Ayuntamiento de Burgos ou à l'Universidad de Burgos (UBU), votre obligation de mise en conformité ENS est pleine et entière. Le délai pour les systèmes existants a expiré le 5 mai 2024 ; les nouveaux systèmes doivent être conformes dès leur mise en service.

L'Universidad de Burgos (UBU) est-elle soumise à l'ENS, et cela s'étend-il à ses fournisseurs informatiques ?

Oui. L'Universidad de Burgos est une entité du secteur public de l'enseignement supérieur et est expressément incluse dans le champ d'application de l'article 2 du RD 311/2022. Cela signifie que ses systèmes d'information doivent se conformer à l'ENS et que les fournisseurs gérant ou accédant à ces systèmes — plateformes de gestion académique, services en nuage, maintenance des infrastructures informatiques — sont également tenus de respecter le niveau de catégorie correspondant à ces services.

Quelle catégorie ENS s'applique généralement à un fournisseur de services en nuage pour l'administration locale burgalaise ?

Cela dépend du service et des données traitées, mais les fournisseurs SaaS hébergeant des applications pour des entités publiques catégorisent souvent leurs systèmes como básico ou medio. Si l'application gère des données à caractère personnel de citoyens, des informations budgétaires ou des dossiers administratifs présentant une certaine criticité, la catégorie medio est fréquente. La catégorie alto est moins courante dans le contexte local, mais peut s'appliquer aux systèmes gérant des infrastructures critiques ou des services d'urgence. La catégorisation finale nécessite d'évaluer les cinq dimensions CIDAT au cas par cas — ce qui constitue la première étape de tout projet que nous engageons.

Quel est l'avantage d'intégrer la mise en conformité ENS à l'ISO 27001 plutôt que de les traiter séparément ?

L'avantage principal est l'efficience. Les deux référentiels partagent une structure de management très similaire — politique de sécurité, analyse des risques, sélection des contrôles, audit et amélioration continue — et de nombreux contrôles de l'Annexe II de l'ENS ont des équivalents directs ou partiels dans l'Annexe A de l'ISO 27001:2022. Avec un SMSI ISO 27001 certifié ou en cours, l'écart vers l'ENS se concentre uniquement sur les aspects spécifiques au cadre espagnol. Traiter les deux référentiels dans un projet unique évite de dupliquer analyses des risques, documentation et audits internes, avec une économie estimée à 30–40 % par rapport à deux projets indépendants.

Qui certifie la conformité ENS pour les systèmes de catégorie medio ou alto à Burgos ?

La conformité à l'ENS pour les systèmes de catégorie medio ou alto ne peut être certifiée que par des organismes d'inspection accrédités par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Summum Calidad n'émet pas ce certificat. Ce que nous faisons, c'est préparer votre système — documentation, contrôles mis en œuvre, preuves et revue pré-audit — pour que vous réussissiez le processus de certification avec l'organisme accrédité de votre choix. Pour les systèmes de catégorie básico, la conformité est démontrée par une déclaration de conformité auto-évaluée conformément à la CCN-STIC 809, que nous préparons et accompagnons intégralement.

Comment l'ENS affecte-t-il une entreprise burgalaise souhaitant répondre à des appels d'offres publics dans les prochains mois ?

La conformité à l'ENS est une exigence de capacité technique dans les cahiers des charges des marchés publics portant sur des systèmes d'information. Si vous souhaitez soumissionner auprès de la Diputación de Burgos, de l'Ayuntamiento de Burgos ou de l'UBU pour des marchés impliquant la gestion de données ou de systèmes de l'Administration, les cahiers des charges exigent généralement la preuve de conformité ENS au niveau correspondant au marché. Ne pas l'avoir obtenue peut vous disqualifier d'emblée. Commencer le projet suffisamment tôt — au minimum trois à six mois pour la catégorie básico, neuf à dix-huit pour medio ou alto — est la seule façon d'être prêt à temps.