Sector publico y seguridad

Mise en conformité ENS à Palencia : système de management pour les fournisseurs de l'Administration publique

La Diputación Provincial de Palencia et l'Ayuntamiento de Palencia sont soumis à l'Esquema Nacional de Seguridad (ENS), le cadre national espagnol de sécurité de l'information. Cela signifie que les entreprises qui leur fournissent des services technologiques, gèrent leurs systèmes d'information ou souhaitent accéder à leurs marchés publics doivent également se conformer à l'ENS, conformément au RD 311/2022 (BOE-A-2022-7191), du 3 mai. Chez Summum Calidad, nous abordons cette mise en conformité sous l'angle du système de management de la sécurité de l'information (SMSI), en l'intégrant à l'ISO 27001:2022 pour que votre entreprise respecte le Cadre, réutilise les contrôles déjà mis en œuvre et atteigne la déclaration ou la certification de conformité correspondant à sa catégorie, sans dupliquer l'effort ni la documentation.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilFournisseurs et prestataires de l'administration publique de Palencia
ModalitéProjet de mise en conformité avec accompagnement continu depuis le SMSI

Le RD 311/2022, du 3 mai, approuve l'Esquema Nacional de Seguridad et définit son champ d'application à l'article 2 : sont soumis au cadre les entités du secteur public espagnol et, dans la mesure où ils sont concernés, les fournisseurs qui leur prestent des services ou leur fournissent des solutions. La Diputación Provincial de Palencia et l'Ayuntamiento de Palencia — en tant qu'administrations territoriales relevant du secteur public espagnol — sont pleinement dans ce périmètre. Toute entreprise qui gère leurs systèmes d'information, leur fournit des logiciels, traite des données de citoyens en leur nom ou assure la maintenance de leur infrastructure technologique partage l'obligation de se conformer à l'ENS. Le délai général pour les systèmes déjà en fonctionnement a expiré le 5 mai 2024. Opérer sans mise en conformité peut fermer l'accès aux marchés publics et engager la responsabilité de l'administration contractante.

Summum Calidad traite la mise en conformité ENS pour ce qu'elle est : la construction ou la mise à jour d'un système de management de la sécurité de l'information orienté vers le contexte de l'administration publique espagnole. L'ENS structure ses exigences autour des mêmes piliers que l'ISO 27001:2022 — politique de sécurité, analyse des risques, sélection proportionnée des mesures et amélioration continue — ce qui permet d'intégrer les deux référentiels dans un seul projet. L'Annexe II du RD 311/2022 recense 75 mesures structurées en trois cadres (organisationnel, opérationnel et de protection) et 16 familles, dont la famille op.nub pour les services en nuage. Lorsqu'un fournisseur de la Diputación ou de l'Ayuntamiento de Palencia détient déjà une certification ISO 27001 ou travaille à l'obtenir, le recouvrement avec les mesures de l'Annexe II est significatif : l'analyse d'écarts identifie avec précision ce qui manque et ce qui peut être réutilisé directement, réduisant ainsi le coût et la durée du projet.

La catégorie du système — basique, moyenne ou haute — est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service dans le périmètre, conformément à l'Annexe I du RD 311/2022. Cette catégorie définit les mesures de l'Annexe II qui sont obligatoires et la voie de conformité applicable : pour les systèmes de catégorie basique, une déclaration de conformité auto-évaluée selon la CCN-STIC 809 est suffisante ; pour la catégorie moyenne ou haute, une certification par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065 est obligatoire. Summum Calidad n'émet pas ce certificat — c'est la compétence exclusive des tiers accrédités — mais prépare le système de l'organisation à affronter ce processus avec toutes les garanties : du diagnostic initial à la revue pré-audit de conformité.

Le processus Mise en conformité ENS à Palencia.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système

Nous analysons le périmètre réel des services que vous fournissez à la Diputación Provincial de Palencia, à l'Ayuntamiento de Palencia ou à tout autre organisme public local, nous identifions les systèmes d'information impliqués et nous déterminons la catégorie ENS applicable selon l'Annexe I du RD 311/2022, en évaluant l'impact sur les cinq dimensions CIDAT. Si vous disposez déjà d'une certification ISO 27001 valide, nous évaluons simultanément le point de départ pour exploiter les contrôles déjà mis en œuvre et réduire le périmètre du projet.

02

Analyse d'écarts ENS–ISO 27001 et plan de travail

Nous cartographions les 75 contrôles de l'Annexe II de l'ENS par rapport aux pratiques de sécurité et aux contrôles de votre système de management existant. Le résultat est un tableau d'écarts priorisé — contrôles absents, partiellement mis en œuvre et directement réutilisables — avec l'effort estimé pour combler chaque écart et un plan de travail structuré avec des délais réalistes orientés vers la conformité.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour le système de management de la sécurité de l'information pour qu'il couvre simultanément les exigences de l'ISO 27001:2022 et de l'ENS. Nous rédigeons la Déclaration d'Applicabilité intégrée, qui justifie la sélection et l'exclusion de chaque contrôle de l'Annexe II dans le format attendu par les auditeurs de conformité, et nous rédigeons la politique de sécurité de l'information conformément à l'article 12 du RD 311/2022.

04

Mise en œuvre des contrôles et dossier de preuves

Nous accompagnons la mise en œuvre des mesures des trois cadres de l'Annexe II — organisationnel, opérationnel et de protection — et nous produisons la documentation de preuves requise : procédures de gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements et gestion des incidents. La partie technique de la mise en œuvre des contrôles est coordonnée avec Summum Sistemas afin que les volets normatif et technique avancent de concert.

Ce qui est inclus

Ce qu'inclut Mise en conformité ENS à Palencia.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée — basique, moyenne ou haute — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service dans le périmètre lié à l'administration publique de Palencia, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse d'écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des 75 contrôles de l'Annexe II de l'ENS avec les contrôles de votre système de management existant, identifiant les réutilisations, les écarts partiels et les contrôles absents, avec l'effort estimé pour combler chaque écart avant l'audit de conformité.

  • Déclaration d'Applicabilité intégrée ENS–ISO 27001

    Document formel recensant la sélection et l'exclusion justifiées des contrôles de l'ENS et de l'Annexe A de l'ISO 27001:2022, dans le format attendu par les auditeurs de conformité et cohérent avec la CCN-STIC 809.

  • Politique de sécurité conforme à l'article 12 du RD 311/2022

    Politique d'entreprise rédigée conformément aux exigences de l'article 12 du RD 311/2022 et adaptée à la structure et à la culture de votre organisation : objet, périmètre, rôles, engagements de la direction et cycle de révision biennal.

  • Procédures, enregistrements et dossier complet de preuves

    Ensemble structuré de procédures opérationnelles et d'enregistrements attestant la mise en œuvre effective des contrôles de l'Annexe II : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents et formation du personnel.

  • Revue pré-audit et simulation de conformité

    Pour la catégorie moyenne ou haute, un audit interne simulant le processus de l'organisme accrédité ENAC : examen des preuves, identification des points faibles et correction avant l'arrivée de l'auditeur externe, réduisant le risque de non-conformités lors de l'audit de certification.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité ENS depuis le système de management est renforcée lorsqu'elle s'accompagne de la mise en œuvre technique des mesures de l'Annexe II réalisée par Summum Sistemas : analyse des risques avec MAGERIT et PILAR, durcissement des systèmes, surveillance des événements de sécurité et préparation du dossier de preuves techniques. Les deux équipes couvrent le volet normatif-documentaire et le volet technique-opérationnel dans un projet unique coordonné, sans lacunes entre les référentiels.

Questions fréquentes sur Mise en conformité ENS à Palencia.

Quels organismes de Palencia sont soumis à l'ENS et, par conséquent, obligent leurs fournisseurs à se conformer ?

La Diputación Provincial de Palencia et l'Ayuntamiento de Palencia sont des administrations territoriales relevant du secteur public espagnol et sont directement soumis à l'ENS en vertu de l'article 2 du RD 311/2022. D'autres organismes dépendants ou liés sont également dans le périmètre, notamment les patronatos, consortiums et entités instrumentales de l'administration locale palentine. Toute entreprise fournissant des services technologiques, gérant des systèmes d'information ou traitant des données de citoyens pour le compte de ces organismes partage l'obligation de se conformer à l'ENS dans la mesure où elle est concernée.

Un fournisseur de l'Ayuntamiento de Palencia doit-il obtenir une certification ENS pour continuer à répondre aux appels d'offres ?

Cela dépend de la catégorie du système d'information impliqué dans le contrat. Si les systèmes sont de catégorie basique, une déclaration de conformité auto-évaluée selon la CCN-STIC 809 est suffisante ; aucune certification par un tiers accrédité n'est requise. Si les systèmes sont de catégorie moyenne ou haute, la certification par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065 est obligatoire. Les documents de consultation de chaque appel d'offres précisent généralement le niveau d'exigence requis ; il est conseillé de les examiner avant de lancer le processus de mise en conformité.

Pourquoi intégrer la mise en conformité ENS à l'ISO 27001 plutôt que de les traiter séparément ?

Parce que l'ENS et l'ISO 27001:2022 partagent la même architecture de management : politique de sécurité, analyse des risques, sélection proportionnée des contrôles et amélioration continue. De nombreux contrôles de l'Annexe II de l'ENS ont un équivalent direct dans l'Annexe A de l'ISO 27001:2022, de sorte que les organisations qui détiennent déjà la norme peuvent combler l'écart vers l'ENS en se concentrant uniquement sur les aspects spécifiques du cadre espagnol. Une approche intégrée évite de dupliquer la documentation, réduit la charge d'audit et optimise le coût total du projet.

Combien de mesures l'Annexe II de l'ENS contient-elle et comment sont-elles structurées ?

L'Annexe II du RD 311/2022 recense 75 mesures de sécurité réparties en trois cadres et 16 familles. Le cadre organisationnel regroupe les mesures de politique, de réglementation, de procédures et d'autorisation ; le cadre opérationnel comprend 7 familles avec 33 mesures couvrant la planification, le contrôle des accès, l'exploitation, les ressources externes, la continuité et la famille op.nub pour les services en nuage ; le cadre de protection couvre les mesures protégeant des actifs spécifiques. Toutes les mesures ne sont pas obligatoires pour tous les systèmes : le sous-ensemble applicable dépend de la catégorie — basique, moyenne ou haute — attribuée au système lors du processus de catégorisation de l'Annexe I.

Combien de temps faut-il pour se conformer à l'ENS pour un fournisseur basé à Palencia ?

Le délai dépend de la catégorie du système, de la taille de l'organisation et du point de départ en matière de sécurité. Pour les systèmes de catégorie basique avec des pratiques de sécurité déjà en place, le processus peut être achevé en trois à six mois. Pour la catégorie moyenne ou haute, sans ISO 27001 préalable, le processus nécessite généralement entre neuf et dix-huit mois, incluant l'analyse des risques, la mise en œuvre des mesures et l'audit de conformité par l'organisme accrédité. Avec l'ISO 27001 déjà certifiée, les délais sont sensiblement réduits.

Comment Summum Calidad aide-t-elle les entreprises de Palencia qui détiennent déjà l'ISO 27001 ?

Lorsqu'une entreprise détient déjà la certification ISO 27001 ou travaille à l'obtenir, Summum Calidad réalise une analyse d'écarts précise qui cartographie les contrôles de l'Annexe II de l'ENS par rapport aux contrôles déjà mis en œuvre dans le SMSI. Le résultat est un inventaire de ce qui peut être réutilisé directement — sans travail supplémentaire —, de ce qui nécessite un ajustement documentaire et de ce qui est véritablement nouveau par rapport à l'ENS. Le projet se concentre alors uniquement sur la fermeture des écarts réels, sans refaire ce qui fonctionne déjà, et le coût est sensiblement inférieur à celui d'un projet de mise en conformité démarrant de zéro.