Sector publico y seguridad

Adéquation ENS à Las Palmas de Gran Canaria : conformité intégrée avec la norme ISO 27001

Le Gobierno de Canarias, le Cabildo de Gran Canaria, l'Ayuntamiento de Las Palmas de Gran Canaria et l'Université de Las Palmas de Gran Canaria (ULPGC) sont des entités du secteur public espagnol soumises à l'Esquema Nacional de Seguridad. Si votre entreprise fournit des services technologiques, des solutions logicielles ou tout autre service dans lequel vos systèmes d'information interagissent avec les leurs, le RD 311/2022 (BOE-A-2022-7191) vous oblige à vous conformer à l'ENS. Le délai pour les systèmes existants a expiré le 5 mai 2024. Summum Calidad accompagne les entreprises fournisseurs de Las Palmas de Gran Canaria sous l'angle du système de management de la sécurité de l'information (SMSI), en intégrant les exigences de l'ENS à celles de la norme ISO 27001:2022 pour que le processus soit efficace, traçable et directement orienté vers la conformité.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilFournisseurs d'organismes publics de Las Palmas de Gran Canaria
ModalitéProjet structuré de SMSI intégré avec accompagnement continu

Las Palmas de Gran Canaria concentre les principales institutions de l'archipel oriental des Canaries : le Gobierno de Canarias, le Cabildo de Gran Canaria, l'Ayuntamiento de la capitale et l'ULPGC gèrent des systèmes d'information à fort impact pour les citoyens — registres d'état civil, guichets électroniques, gestion fiscale propre au Régime Économique et Fiscal des Canaries (REF), plateformes de marchés publics — et sont tous soumis à l'Esquema Nacional de Seguridad. Cette concentration institutionnelle fait de Las Palmas l'un des marchés de la commande publique les plus actifs des Canaries, avec un flux constant d'appels d'offres pour des services technologiques, la maintenance d'infrastructures numériques et des solutions de gestion administrative. Pour toute entreprise souhaitant concourir sur ce marché, la conformité au ENS n'est pas une formalité optionnelle : c'est une condition d'accès que les cahiers des charges de ces administrations intègrent avec une fréquence croissante.

Summum Calidad aborde la mise en conformité avec l'ENS sous l'angle du système de management de la sécurité de l'information — le même axe qui structure la norme ISO 27001:2022. L'ENS n'est pas une liste de contrôle technique déconnectée de la gestion ; son cadre — politique de sécurité, analyse des risques, catégorisation du système, sélection de mesures proportionnées, révision et amélioration continue — reproduit le cycle PDCA que la norme ISO 27001 applique depuis des décennies au contexte des organisations. Lorsqu'un fournisseur dispose déjà d'une certification ISO 27001 valide, ou travaille activement vers cette certification, le chemin vers la conformité ENS se raccourcit considérablement : les contrôles de l'Annexe A de la norme ISO 27001:2022 couvrent directement de nombreuses mesures parmi les 75 de l'Annexe II du ENS, réparties en trois cadres (organisationnel, opérationnel et de protection) et seize familles, dont la famille op.nub, qui régit l'utilisation des services en nuage — particulièrement pertinente pour les entreprises qui fournissent des services cloud aux organismes publics canariens.

La catégorie ENS du système — basique, moyenne ou élevée, selon l'impact sur les cinq dimensions de sécurité CIDAT — détermine à la fois les mesures exigibles et la voie de conformité requise. Pour les systèmes de catégorie basique, la réglementation permet une déclaration de conformité auto-évaluée conformément à la CCN-STIC 809, sans intervention d'un tiers accrédité. Pour les catégories moyenne ou élevée, la certification doit être réalisée par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Summum Calidad n'émet pas de certificats de conformité — c'est la compétence exclusive des tiers accrédités. Notre travail consiste à préparer le système de management de l'organisation pour que, lorsque l'auditeur externe arrive, il trouve des contrôles réellement mis en œuvre, une documentation rigoureuse et des preuves auditables. L'objectif est que l'audit de conformité soit le couronnement naturel d'un travail bien fait, non un test improvisé.

Le processus Adéquation ENS à Las Palmas de Gran Canaria.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système

Nous analysons les services que vous fournissez aux organismes publics de Las Palmas de Gran Canaria — Gobierno de Canarias, Cabildo de Gran Canaria, Ayuntamiento ou ULPGC — et le degré d'interaction entre vos systèmes d'information et les leurs. À partir de cette analyse, nous déterminons la catégorie ENS applicable selon l'Annexe I du RD 311/2022, en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service dans le périmètre. Si vous disposez déjà d'une certification ISO 27001 ou si vous y travaillez, nous évaluons quelle partie du travail existant peut être transférée directement vers l'ENS sans effort supplémentaire.

02

Analyse d'écarts ENS–ISO 27001 avec cartographie des contrôles

Nous croisons les 75 mesures de l'Annexe II du ENS — organisationnelles, opérationnelles et de protection, dans leurs seize familles — avec les contrôles de votre système de management ISO 27001:2022, ou avec les pratiques de sécurité existantes si vous n'avez pas encore la norme certifiée. Le résultat est un tableau priorisé distinguant les contrôles déjà couverts, partiellement mis en œuvre et absents, avec l'effort estimé pour combler chaque écart avant l'audit de conformité ou la déclaration auto-évaluée.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour le système de management de la sécurité de l'information pour qu'il satisfasse simultanément les exigences de la norme ISO 27001 et celles de l'ENS. Nous élaborons la Déclaration d'Applicabilité intégrée, en justifiant la sélection et l'exclusion des contrôles dans le format attendu par les auditeurs de conformité ENS, et rédigeons la politique de sécurité conformément à l'article 12 du RD 311/2022, adaptée à la structure et à l'activité réelles de votre organisation.

04

Mise en œuvre des contrôles et documentation des preuves

Nous accompagnons la mise en œuvre des mesures de l'Annexe II en attente — des cadres organisationnel et de protection jusqu'aux mesures opérationnelles, y compris la famille op.nub si votre entreprise fournit des services cloud aux organismes publics canariens — et générons la documentation probatoire requise : procédures, enregistrements, analyses des risques, comptes rendus de revue de direction et registres de formation. La mise en œuvre technique — durcissement, supervision, chiffrement — est coordonnée en parallèle par Summum Sistemas.

Ce qui est inclus

Ce qu'inclut Adéquation ENS à Las Palmas de Gran Canaria.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée — basique, moyenne ou élevée — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service fourni aux organismes publics de Las Palmas de Gran Canaria, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse d'écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des 75 mesures de l'Annexe II du ENS avec les contrôles de votre système ISO 27001:2022, identifiant les réutilisations directes, les lacunes partielles et les contrôles absents, avec l'effort estimé pour combler chaque écart avant la conformité.

  • Déclaration d'Applicabilité intégrée ENS–ISO 27001

    Document formel consignant la sélection et l'exclusion justifiées des contrôles ENS et des contrôles de l'Annexe A de la norme ISO 27001:2022, dans le format attendu par les auditeurs de conformité et par la CCN-STIC 809.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée conformément à l'article 12 du RD 311/2022 et adaptée à la réalité de votre organisation : objet, périmètre, rôles, engagements de la direction et cycle de révision, prête pour son approbation et sa diffusion interne.

  • Procédures, enregistrements et dossier de preuves

    Ensemble complet de procédures opérationnelles et d'enregistrements attestant la mise en œuvre réelle des contrôles : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents et formation du personnel, structuré pour être présenté à l'auditeur de conformité.

  • Revue pré-audit et simulation de conformité

    Pour les systèmes de catégorie moyenne ou élevée, audit interne préalable simulant le processus de l'entité accréditée ENAC : revue des preuves, identification des points faibles et correction avant l'arrivée de l'auditeur externe, minimisant le risque de non-conformités.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité avec l'ENS sous l'angle du système de management est renforcée lorsqu'elle est complétée par la mise en œuvre technique des mesures de l'Annexe II assurée par Summum Sistemas : analyse des risques avec les méthodologies MAGERIT et PILAR, durcissement des infrastructures, supervision des événements de sécurité et constitution du dossier de preuves techniques. Les deux équipes couvrent, dans un projet coordonné, le plan documentaire-normatif et le plan technique-opérationnel, sans redondance et avec un interlocuteur unique pour votre organisation à Las Palmas de Gran Canaria.

Questions fréquentes sur Adéquation ENS à Las Palmas de Gran Canaria.

L'ENS s'applique-t-il aux entreprises contractant avec le Gobierno de Canarias ou l'Ayuntamiento de Las Palmas ?

Oui. L'article 2 du RD 311/2022 établit que l'ENS s'applique aux entités du secteur public espagnol et aux entités privées qui leur fournissent des services ou des solutions lorsque les systèmes d'information des deux parties sont interconnectés ou lorsque l'entreprise privée traite des informations pour le compte de l'Administration. Le Gobierno de Canarias, le Cabildo de Gran Canaria, l'Ayuntamiento de Las Palmas de Gran Canaria et l'ULPGC sont tous des entités du secteur public soumises à l'ENS, de sorte que leurs fournisseurs de services technologiques ou numériques doivent se conformer à cette réglementation. Les cahiers des charges de ces administrations incluent déjà régulièrement cette exigence.

Le Régime Économique et Fiscal des Canaries (IGIC, REF) affecte-t-il le périmètre ENS pour une entreprise canarienne ?

Le Régime Économique et Fiscal des Canaries, qui comprend l'IGIC à la place de la TVA continentale et un ensemble d'avantages fiscaux spécifiques, ne modifie pas le périmètre ni les exigences de l'ENS : le RD 311/2022 s'applique de manière égale sur l'ensemble du territoire national, îles Canaries comprises. Ce qui peut avoir une incidence, c'est la catégorisation du système si votre entreprise gère des données fiscales du REF pour le compte de l'administration régionale canarienne, car l'impact sur la disponibilité et la confidentialité de ces données peut élever la catégorie du système à moyenne ou élevée.

Quels organismes de Las Palmas de Gran Canaria exigent le plus fréquemment la conformité ENS dans leurs appels d'offres ?

Les organismes ayant le plus grand volume d'achats technologiques à Las Palmas de Gran Canaria sont le Gobierno de Canarias — via la Consejería de Hacienda et le réseau des conseillers — le Cabildo de Gran Canaria, l'Ayuntamiento de Las Palmas de Gran Canaria et l'ULPGC. Tous sont des entités du secteur public soumises à l'ENS et publient leurs appels d'offres sur la Plataforma de Contratación del Sector Público. Les exigences de conformité ENS apparaissent le plus fréquemment dans les spécifications techniques des marchés de services TIC, de maintenance de systèmes, de développement logiciel et de services en nuage.

En quoi l'approche de Summum Calidad diffère-t-elle de celle d'un cabinet de cybersécurité technique ?

Summum Calidad aborde la conformité ENS sous l'angle du système de management de la sécurité de l'information : politique, analyse des risques, sélection de contrôles proportionnés, documentation des preuves, cycles de révision et amélioration continue. Cette approche est complémentaire, et non substitutive, à la mise en œuvre technique des mesures. La cybersécurité technique — durcissement, supervision, chiffrement — est coordonnée par Summum Sistemas, qui travaille en parallèle avec notre équipe. Le résultat est un projet intégré couvrant à la fois le plan normatif-documentaire et le plan technique-opérationnel sous une coordination unique.

Combien de temps prend la mise en conformité ENS pour une entreprise de taille moyenne à Las Palmas ?

Pour une entreprise de taille moyenne fournissant des services TIC aux organismes publics de Las Palmas de Gran Canaria avec des pratiques de sécurité déjà en place, la mise en conformité en catégorie basique peut être achevée en trois à six mois. Si le système atteint la catégorie moyenne ou élevée — fréquent lorsque l'on gère des données fiscales du REF, des données du registre d'état civil ou des systèmes de guichet électronique de l'administration canarienne — le processus incluant l'audit de conformité devant une entité accréditée ENAC nécessite généralement entre neuf et dix-huit mois. Disposer d'une certification ISO 27001 préalable réduit sensiblement ce délai.

Quels avantages supplémentaires la conformité ENS apporte-t-elle sur le marché canarien au-delà de l'accès aux marchés publics ?

Au-delà du strict respect obligatoire, la conformité ENS — surtout lorsqu'elle est intégrée avec la norme ISO 27001 — signifie mettre en place un système de management de la sécurité mature qui améliore la résilience opérationnelle, facilite la réponse aux incidents et renforce la confiance des clients privés qui exigent également des garanties de sécurité de leurs fournisseurs technologiques. Dans un marché insulaire où la réputation circule au sein de réseaux de contacts relativement restreints, démontrer la conformité ENS distingue l'entreprise sur le marché local et lui ouvre des portes tant dans les marchés publics que dans le secteur privé auprès de clients exigeants.