Sector publico y seguridad

Conformité ENS à León : système de management de la sécurité pour les fournisseurs de l'administration publique

La Diputación de León, l'Ayuntamiento de León et l'Universidad de León (ULE) sont des entités publiques soumises à l'Esquema Nacional de Seguridad (ENS) espagnol. Cela signifie que toute entreprise leur fournissant des logiciels, des services technologiques ou des solutions de traitement de données doit se conformer au RD 311/2022 (BOE-A-2022-7191) pour pouvoir soumissionner et opérer dans le cadre de leurs marchés. Summum Calidad accompagne les entreprises de León et de la province dans ce processus selon l'approche du système de management de la sécurité de l'information (SMSI), en intégrant les exigences de l'ENS à celles de l'ISO 27001:2022 pour mutualiser les contrôles communs et éliminer les doublons. Si vous souhaitez continuer à fournir l'administration publique à León, la mise en conformité à l'ENS n'est pas optionnelle : nous vous aidons à la mener de façon ordonnée, rigoureuse et avec le moindre impact sur votre activité quotidienne.

RéglementationRD 311/2022 · BOE-A-2022-7191
CibleFournisseurs d'organismes publics de León
ModalitéAccompagnement structuré ENS + ISO 27001

L'Esquema Nacional de Seguridad, adopté par le Décret Royal 311/2022 du 3 mai, impose que les systèmes d'information du secteur public espagnol — et ceux de leurs fournisseurs — respectent des exigences minimales de sécurité. À León, cela se traduit par une réalité concrète : la Diputación de León gère les services municipaux de dizaines d'ayuntamientos de la province, l'Ayuntamiento de León exploite des plateformes numériques de service aux citoyens et de passation de marchés électroniques, et l'Universidad de León (ULE), en tant qu'université publique, est également soumise à l'ENS. Si votre entreprise fournit des services technologiques, développe des logiciels, gère des infrastructures ou traite des données pour le compte de l'un de ces organismes, l'ENS vous est directement applicable. Le délai de mise en conformité des systèmes existants a expiré le 5 mai 2024 ; opérer sans avoir achevé ce processus représente un risque réel pour votre accès aux marchés publics provinciaux et régionaux.

Summum Calidad aborde la mise en conformité à l'ENS selon l'approche du système de management, la même qui régit l'ISO 27001:2022 : politique de sécurité, analyse des risques, sélection de mesures proportionnelles au niveau d'impact du système, mise en œuvre avec des preuves auditables et cycle de révision et d'amélioration continue. L'Annexe II du RD 311/2022 recense 75 mesures de sécurité organisées en trois cadres — organisationnel, opérationnel et de protection — et 16 familles, dont la famille op.nub spécifique aux services en nuage. Cette structure est compatible avec l'Annexe A de l'ISO 27001:2022, ce qui permet de construire un unique système de management satisfaisant aux deux normes. Pour une entreprise fournissant des organismes publics à León, cette approche intégrée réduit non seulement le temps et le coût : elle positionne également l'organisation pour répondre avec agilité lorsque les cahiers des charges exigeront une attestation de conformité à l'ENS.

Le processus de mise en conformité commence par la catégorisation du système selon l'Annexe I du RD 311/2022 : l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) est évalué pour chaque service en périmètre, et le résultat détermine si le système est de catégorie basique, intermédiaire ou élevée. La catégorie définit à la fois le sous-ensemble de mesures de l'Annexe II qui sont obligatoires et la voie de conformité requise : pour les systèmes de catégorie basique, une déclaration de conformité auto-évaluée suivant la CCN-STIC 809 est suffisante ; pour les catégories intermédiaire ou élevée, la conformité doit être certifiée par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Calidad accompagne l'intégralité de ce processus — diagnostic, catégorisation, mise en œuvre, documentation et préparation à l'audit — mais n'émet pas de certificats de conformité, qui sont de la compétence exclusive des organismes accrédités.

Le processus Conformité ENS à León.

Le processus · quatre étapes
01

Diagnostic et catégorisation du système (Annexe I ENS)

Nous analysons le périmètre des services que vous fournissez aux organismes publics de León — Diputación de León, Ayuntamiento de León, ULE ou autres — et les données que vous traitez pour leur compte. À partir de ces informations, nous appliquons la méthodologie de l'Annexe I du RD 311/2022 pour évaluer l'impact sur les cinq dimensions CIDAT et déterminer la catégorie du système (basique, intermédiaire ou élevée). Si vous disposez déjà d'une certification ISO 27001 ou de pratiques de sécurité documentées, nous identifions dès cette étape le travail déjà accompli et l'écart réel par rapport aux exigences de l'ENS.

02

Analyse des écarts ENS–ISO 27001 et plan d'action

Nous cartographions les contrôles de l'Annexe II de l'ENS — 75 mesures en 16 familles — par rapport aux contrôles de votre système de management ISO 27001:2022 ou à vos pratiques de sécurité existantes. Le résultat est un tableau d'écarts priorisé indiquant l'effort estimé pour combler chaque point, en distinguant ce qui peut être réutilisé directement, ce qui nécessite un ajustement documentaire et ce qui exige une nouvelle mise en œuvre technique. Cette analyse est le point de départ du plan de projet avec jalons, responsables et échéances réalistes.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour le système de management de la sécurité de l'information pour couvrir simultanément les exigences de l'ISO 27001:2022 et les mesures de l'Annexe II de l'ENS. Nous élaborons la Déclaration d'Applicabilité intégrée, qui justifie la sélection et l'exclusion des contrôles dans le format attendu par les auditeurs de conformité, et rédigeons la politique de sécurité de l'information conformément à l'article 12 du RD 311/2022, incluant les rôles et responsabilités propres à votre structure organisationnelle.

04

Mise en œuvre des mesures et génération des preuves

Nous accompagnons la mise en œuvre des mesures de sécurité en attente — organisationnelles, opérationnelles et de protection — et générons la documentation de preuves requise : procédures, enregistrements, rapports d'analyse des risques, comptes rendus de revue de direction, enregistrements de formation et plans de continuité. Pour les aspects techniques de mise en œuvre — durcissement, surveillance, gestion des vulnérabilités, contrôles cloud de la famille op.nub — nous coordonnons avec Summum Sistemas, qui couvre la couche technique et opérationnelle du projet.

Ce qui est inclus

Ce qu'inclut Conformité ENS à León.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée — basique, intermédiaire ou élevée — par évaluation de l'impact sur les cinq dimensions CIDAT pour chaque service fourni aux organismes publics de León, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse des écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des 75 mesures de l'Annexe II de l'ENS avec les contrôles de votre système ISO 27001:2022, identifiant les réutilisations directes, les écarts partiels et les contrôles manquants, avec l'effort estimé pour combler chaque point avant l'audit de conformité.

  • Déclaration d'Applicabilité intégrée ENS–ISO 27001

    Document formel indiquant, pour chaque mesure de l'Annexe II de l'ENS et chaque contrôle de l'Annexe A de l'ISO 27001:2022, son applicabilité au système, le degré de mise en œuvre et la justification des exclusions, dans le format attendu par les auditeurs de conformité et par la CCN-STIC 809.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée selon les exigences de l'article 12 du RD 311/2022 et adaptée à la structure et à la culture de l'organisation : objet, périmètre, rôles, engagements de la direction, cycle de révision biennal et alignement avec les contrats de prestation de services aux organismes publics de León.

  • Procédures, enregistrements et dossier de preuves

    Ensemble complet de procédures opérationnelles et d'enregistrements attestant de la mise en œuvre effective des contrôles : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents, formation du personnel et suivi des indicateurs du SMSI.

  • Revue pré-audit et simulation de conformité

    Pour les systèmes de catégorie intermédiaire ou élevée, audit interne préalable simulant le processus de l'organisme accrédité ENAC selon la norme UNE-EN ISO/IEC 17065 : révision des preuves, identification des points faibles et correction avant l'audit de certification, minimisant le risque de non-conformités.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité à l'ENS selon l'approche du système de management se complète par la mise en œuvre technique des mesures de l'Annexe II réalisée par Summum Sistemas : analyse des risques selon la méthodologie MAGERIT et l'outil PILAR, durcissement des systèmes et services, surveillance des événements de sécurité, contrôles cloud de la famille op.nub et préparation du dossier de preuves techniques pour l'audit de conformité. Les deux équipes travaillent de façon coordonnée dans un projet unique couvrant le plan documentaire-réglementaire et le plan technique-opérationnel, sans dupliquer les efforts ni transférer la responsabilité d'une équipe à l'autre.

Questions fréquentes sur Conformité ENS à León.

Pourquoi l'ENS concerne-t-il une entreprise fournissant la Diputación de León ou l'Ayuntamiento de León ?

Parce que l'article 2 du RD 311/2022 étend le champ d'application de l'ENS aux entités privées qui fournissent des services ou des produits à des organismes publics soumis à cette réglementation. La Diputación de León, l'Ayuntamiento de León et l'Universidad de León (ULE) sont des organismes publics soumis à l'ENS ; par conséquent, toute entreprise qui leur fournit des logiciels, des services d'hébergement, de la maintenance de systèmes ou du traitement de données doit démontrer sa conformité. Si vous participez à des procédures de passation de marchés de ces organismes sans pouvoir attester de votre conformité, vous pouvez être exclu de ces procédures.

Quels sont les niveaux de catégorie ENS et que signifie chacun pour une entreprise à León ?

L'ENS établit trois catégories : basique, intermédiaire et élevée. La catégorie est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour les services en périmètre. Si l'impact maximal dans toute dimension est faible, le système est basique ; si une dimension atteint un impact moyen, il est intermédiaire ; si une dimension atteint un impact élevé, il est élevé. Pour une entreprise de services technologiques travaillant avec l'Ayuntamiento de León sur un système de gestion documentaire, la catégorie habituelle est généralement basique ou intermédiaire. La catégorie définit quelles mesures de l'Annexe II sont obligatoires et si une déclaration de conformité auto-évaluée (catégorie basique) est suffisante ou si une certification par un organisme accrédité par ENAC est nécessaire (intermédiaire et élevée).

Qu'est-ce que l'Annexe II du RD 311/2022 et combien de mesures comprend-elle ?

L'Annexe II du RD 311/2022 recense les 75 mesures de sécurité que les systèmes soumis à l'ENS doivent appliquer en fonction de leur catégorie. Ces mesures sont organisées en trois cadres — organisationnel (4 familles), opérationnel (7 familles, dont op.nub pour les services en nuage) et de protection (5 familles) — soit un total de 16 familles. Toutes les mesures ne sont pas obligatoires pour tous les systèmes : l'Annexe II précise pour chaque mesure si elle s'applique aux systèmes de catégorie basique, intermédiaire, élevée ou à toutes. Le travail d'analyse des écarts consiste précisément à identifier lesquelles de ces mesures s'appliquent au système de votre organisation et lesquelles sont déjà couvertes par les contrôles de votre système de management ISO 27001.

L'Universidad de León (ULE) exige-t-elle que ses fournisseurs technologiques soient conformes à l'ENS ?

Oui. L'Universidad de León est une université publique et, à ce titre, est soumise à l'ENS. Cela implique que ses fournisseurs de systèmes d'information — logiciels de gestion académique, services en nuage, maintenance d'infrastructures, traitement de données d'étudiants — doivent démontrer leur conformité à l'ENS si leurs systèmes interagissent avec ceux de l'ULE. Les exigences précises dépendent du cahier des charges de chaque marché, mais la tendance réglementaire est que des exigences de conformité à l'ENS apparaissent de façon croissante dans les contrats de services TIC des universités publiques espagnoles.

Puis-je intégrer la mise en conformité ENS à une certification ISO 27001 existante ?

Oui, et c'est la façon la plus efficiente de procéder. L'ISO 27001:2022 et l'ENS partagent une structure de management très similaire : politique de sécurité, analyse des risques, sélection de contrôles proportionnels, mise en œuvre avec des preuves et révision périodique. De nombreux contrôles de l'Annexe A de l'ISO 27001:2022 coïncident avec des mesures de l'Annexe II de l'ENS, de sorte que l'écart se concentre sur les aspects spécifiques du cadre espagnol : la catégorisation de l'Annexe I, les mesures sans équivalent exact dans l'ISO 27001 et le format de documentation requis par le CCN. Summum Calidad réalise l'analyse des écarts précise et ne comble que ce qui manque, sans refaire ce qui fonctionne déjà dans votre SMSI.

Summum Calidad certifie-t-il ou audite-t-il l'ENS pour mon organisation ?

Non. Summum Calidad n'émet pas de certificats de conformité à l'ENS et ne réalise pas d'audits de certification. Pour les systèmes de catégorie basique, nous préparons la documentation nécessaire pour que votre organisation émette sa propre déclaration de conformité auto-évaluée conformément à la CCN-STIC 809. Pour les systèmes de catégorie intermédiaire ou élevée, nous réalisons une revue pré-audit exhaustive et vous accompagnons tout au long du processus, mais la certification est émise par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065, librement choisi par l'organisation. Notre rôle est de vous préparer à réussir ce processus avec la meilleure assurance possible et le risque minimal de non-conformités.