Sector publico y seguridad

Mise en conformité ENS à Tenerife : système de management de la sécurité pour les fournisseurs du secteur public canarien

Le Cabildo Insular de Tenerife, l'Ayuntamiento de Santa Cruz de Tenerife, l'Universidad de La Laguna et l'ensemble des organismes publics de l'île sont soumis à l'Esquema Nacional de Seguridad (ENS), le schéma national de sécurité espagnol. Cette obligation s'étend à leurs fournisseurs : si vous détenez des contrats avec l'une de ces entités ou si vous souhaitez répondre à des appels d'offres publics sur l'île, le RD 311/2022 (BOE-A-2022-7191) exige que vos systèmes d'information soient mis en conformité avec l'ENS avant l'entrée en vigueur du contrat. Summum Calidad vous accompagne dans cette démarche sous l'angle du système de management de la sécurité de l'information (SMSI), en intégrant les exigences de l'ENS à celles de la norme ISO 27001:2022 pour que la conformité s'inscrive dans votre fonctionnement ordinaire plutôt que de représenter une charge supplémentaire. Nous travaillons avec des entreprises technologiques et des prestataires de services souhaitant renforcer leur positionnement dans la commande publique canarienne sans redoubler les efforts documentaires.

RéglementationRD 311/2022 · BOE-A-2022-7191
Contexte fiscalRégime économique des Canaries (IGIC, sans TVA continentale)
ModalitéProjet structuré avec accompagnement continu

Tenerife concentre une part significative du secteur public canarien : le Cabildo Insular de Tenerife en tant qu'autorité supra-municipale de l'île, l'Ayuntamiento de Santa Cruz de Tenerife en tant que capitale de province, l'Universidad de La Laguna en tant qu'institution académique de référence de l'archipel occidental, et des dizaines de consortiums, patronatos et entités dépendantes qui achètent des services technologiques, des logiciels de gestion, de la maintenance d'infrastructures et des solutions en nuage. Toutes ces entités sont soumises à l'ENS, et leurs fournisseurs privés le sont également. L'article 2 du RD 311/2022 est sans ambiguïté : le schéma s'applique aux systèmes d'information des entités du secteur public et à ceux de leurs fournisseurs lorsque ces systèmes traitent des informations dont la sécurité est pertinente pour la sécurité du secteur public. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite de mise en conformité des systèmes existants. Opérer depuis Tenerife avec des contrats publics actifs et des systèmes non conformes constitue un manquement susceptible de compromettre le renouvellement des contrats et la participation aux futurs appels d'offres.

L'environnement fiscal des îles Canaries ajoute une spécificité opérationnelle pertinente pour tout projet de mise en conformité. Les entreprises dont le siège est à Tenerife opèrent sous le Régime Économique et Fiscal des Canaries (REF) : l'Impuesto General Indirecto Canario (IGIC) remplace la TVA continentale, avec des taux différents et un régime de liquidation propre. Cela a des implications pour la gestion de la documentation comptable et fiscale susceptibles d'affecter les contrôles de l'Annexe II de l'ENS relatifs à la traçabilité des opérations et à l'intégrité des enregistrements. Summum Calidad connaît cet environnement et adapte les procédures du système de management à la réalité fiscale canarienne, évitant que les documents du SMSI entrent en contradiction avec la réalité opérationnelle d'une entreprise qui facture sous le régime de l'IGIC. Ce n'est pas un détail mineur : les auditeurs de conformité ENS vérifient la cohérence entre les processus documentés et les processus réels ; une entreprise qui facture en IGIC mais documente ses flux en termes de TVA génère des incohérences qui fragilisent les preuves présentées.

L'Annexe II du RD 311/2022 organise les exigences en 75 mesures réparties sur trois cadres — organisationnel, opérationnel et de protection — et 16 familles de contrôles. Le cadre opérationnel concentre 7 familles et 33 mesures, dont la famille op.nub (sécurité dans le cloud), particulièrement pertinente pour les fournisseurs proposant des solutions SaaS ou d'infrastructure en nuage aux organismes publics canariens, compte tenu du poids croissant des solutions cloud dans l'administration publique insulaire. La catégorisation du système — basique, moyen ou élevé, selon l'impact qu'un incident de sécurité aurait sur les cinq dimensions de sécurité CIDAT — détermine le sous-ensemble de mesures applicable et la voie de conformité exigée : déclaration de conformité auto-évaluée pour les systèmes de catégorie basique (selon la CCN-STIC 809), et certification par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065 pour les catégories moyenne et élevée. Summum Calidad n'émet pas de certificats de conformité — c'est la compétence exclusive des tiers accrédités par ENAC — mais prépare votre système à atteindre la catégorie qui vous correspond avec les garanties qu'exige la norme.

Le processus Mise en conformité ENS à Tenerife.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système dans le contexte canarien

Nous analysons la portée réelle de vos systèmes d'information par rapport aux contrats publics actifs ou prévus avec des organismes de Tenerife et des îles Canaries — le Cabildo, l'Ayuntamiento de Santa Cruz, l'ULL ou d'autres — et déterminons la catégorie ENS qui vous correspond selon l'Annexe I du RD 311/2022, en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service dans le périmètre. Nous examinons également votre structure opérationnelle sous le REF canarien afin de garantir que la documentation du système de management reflète la réalité fiscale d'une entreprise opérant sous le régime IGIC.

02

Analyse des écarts ENS–ISO 27001 avec cartographie des contrôles

Nous croisons les 75 mesures de l'Annexe II de l'ENS avec les contrôles de votre système de management ISO 27001 existant ou, si vous ne disposez pas encore d'une certification ISO 27001, avec vos pratiques de sécurité actuelles. Le résultat est un tableau d'écarts priorisé — contrôles réutilisables, contrôles partiellement couverts et contrôles absents — avec l'effort estimé pour combler chaque lacune avant la déclaration ou la certification de conformité requise selon votre catégorie.

03

Conception du SMSI intégré ENS–ISO 27001

Nous concevons ou mettons à jour votre système de management de la sécurité de l'information afin qu'il couvre simultanément les exigences de l'ENS et celles de la norme ISO 27001:2022. Nous élaborons la Déclaration d'Applicabilité intégrée, la politique de sécurité de l'information conforme à l'article 12 du RD 311/2022 et les procédures du cadre organisationnel de l'Annexe II. Toute la conception prend en compte les caractéristiques opérationnelles d'une entreprise basée à Tenerife : typologie des contrats publics locaux, régime fiscal IGIC et structure habituelle des PME technologiques canariens.

04

Mise en œuvre des contrôles et documentation des preuves

Nous accompagnons la mise en œuvre des contrôles organisationnels, opérationnels et de protection de l'Annexe II en attente et produisons le dossier complet de preuves requis : procédures, enregistrements, rapports d'analyse des risques, procès-verbaux de revue de direction et registres de formation du personnel. La mise en œuvre technique des contrôles du cadre opérationnel — durcissement, surveillance, sécurité dans le cloud (op.nub) — est coordonnée avec Summum Sistemas, garantissant la cohérence entre le plan documentaire-normatif et le plan technique.

Ce qui est inclus

Ce qu'inclut Mise en conformité ENS à Tenerife.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée — basique, moyen ou élevé — en évaluant l'impact CIDAT sur chaque service fourni aux organismes publics canariens, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse des écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des 75 mesures de l'Annexe II de l'ENS (3 cadres, 16 familles) avec les contrôles de votre système ISO 27001:2022 ou vos pratiques de sécurité existantes, identifiant les éléments réutilisables, les lacunes partielles et les contrôles absents, avec l'effort estimé pour combler chaque écart.

  • SMSI intégré et Déclaration d'Applicabilité

    Système de management de la sécurité de l'information conçu pour couvrir simultanément l'ENS et la norme ISO 27001:2022, avec une Déclaration d'Applicabilité intégrée justifiant la sélection et l'exclusion des contrôles dans le format attendu par les auditeurs de conformité.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée conformément à l'article 12 du RD 311/2022 et adaptée à la réalité opérationnelle des entreprises basées à Tenerife fournissant des services aux organismes du secteur public canarien sous le régime fiscal IGIC.

  • Procédures, enregistrements et dossier de preuves

    Ensemble complet de procédures opérationnelles, d'enregistrements et de preuves attestant de la mise en œuvre réelle des contrôles de l'Annexe II : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents et formation du personnel.

  • Revue pré-audit et simulation de conformité

    Pour les catégories moyenne ou élevée, audit interne préalable simulant le processus de l'organisme accrédité ENAC : revue des preuves, identification des points faibles et correction avant l'audit de certification, minimisant le risque de non-conformités.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité ENS sous l'angle du système de management se renforce lorsqu'elle s'intègre à la mise en œuvre technique des mesures de l'Annexe II réalisée par Summum Sistemas : analyse des risques MAGERIT/PILAR, durcissement des systèmes, surveillance des événements de sécurité et préparation du dossier de preuves techniques. À Tenerife, où l'administration publique canarienne avance vers des solutions cloud, la famille op.nub de l'Annexe II requiert une attention spécifique que les deux équipes traitent de manière coordonnée.

Questions fréquentes sur Mise en conformité ENS à Tenerife.

L'ENS s'applique-t-il aux fournisseurs du Cabildo de Tenerife et de l'Ayuntamiento de Santa Cruz de Tenerife ?

Oui. L'article 2 du RD 311/2022 établit que l'ENS s'applique aux systèmes d'information des entités du secteur public et à ceux de leurs fournisseurs lorsque ces systèmes traitent des informations dont la sécurité est pertinente pour la sécurité du secteur public. Le Cabildo Insular de Tenerife, l'Ayuntamiento de Santa Cruz de Tenerife et l'Universidad de La Laguna sont des entités soumises à l'ENS, et toute entreprise privée leur fournissant des services technologiques, des logiciels de gestion, de la maintenance de systèmes ou des solutions cloud doit avoir ses systèmes en conformité. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes existants.

Comment le régime fiscal IGIC des Canaries affecte-t-il le projet de mise en conformité ENS ?

L'IGIC ne modifie pas les exigences techniques de l'ENS, mais il a des implications pour la documentation du SMSI. Les contrôles de l'Annexe II relatifs à la traçabilité des opérations, à l'intégrité des enregistrements et à la gestion documentaire doivent refléter la réalité fiscale d'une entreprise opérant sous le Régime Économique et Fiscal des Canaries : taux IGIC différents, régimes de liquidation spécifiques et structure comptable distincte de la TVA continentale. Les auditeurs de conformité vérifient la cohérence entre les processus documentés et les processus réels ; Summum Calidad adapte donc les procédures du SMSI à la réalité fiscale canarienne pour éviter les incohérences qui fragiliseraient les preuves.

Quelle est la différence entre les catégories basique, moyenne et élevée dans l'ENS ?

La catégorie est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service dans le périmètre. Si l'impact maximal sur toutes les dimensions est FAIBLE, le système est de catégorie basique ; si une dimension atteint un impact MOYEN, il est de catégorie moyenne ; si une dimension atteint un impact ÉLEVÉ, il est de catégorie élevée. La catégorie détermine le sous-ensemble des 75 mesures de l'Annexe II qui sont obligatoires et la voie de conformité requise : basique signifie déclaration de conformité auto-évaluée selon la CCN-STIC 809 ; moyenne ou élevée exige une certification par un organisme accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065.

Puis-je intégrer la mise en conformité ENS avec une certification ISO 27001 existante ?

Oui, et c'est la voie la plus efficiente. La norme ISO 27001:2022 et l'ENS partagent une structure de management très similaire — cycle PDCA, analyse des risques, sélection proportionnelle des contrôles, revue de direction et amélioration continue — et de nombreux contrôles sont coïncidents ou complémentaires. Avec ISO 27001 certifiée, l'écart vers l'ENS se concentre sur les aspects spécifiques du cadre espagnol : catégorisation de l'Annexe I, contrôles de l'Annexe II sans équivalent direct dans ISO 27001 et adaptation de la documentation au format de la CCN. Summum Calidad réalise l'analyse des écarts précise et comble uniquement ce qui manque, sans refaire le travail déjà en place.

Quels organismes publics de Tenerife peuvent exiger la conformité ENS dans un cahier des charges ?

Tout organisme du secteur public soumis à l'ENS peut inclure la conformité comme exigence de capacité technique ou condition d'exécution du contrat. À Tenerife, cela comprend le Cabildo Insular de Tenerife, l'Ayuntamiento de Santa Cruz de Tenerife, l'Ayuntamiento de La Laguna, l'Universidad de La Laguna, le Servicio Canario de Empleo dans ses bureaux insulaires, les organismes autonomes du Gobierno de Canarias dont le siège est sur l'île, et les consortiums et patronatos de l'administration locale. Les exigences ENS dans les cahiers des charges sont de plus en plus fréquentes pour les marchés de services numériques et technologiques, en particulier depuis l'expiration du délai de conformité en mai 2024.

Summum Calidad délivre-t-il le certificat de conformité ENS ?

Non. Le certificat de conformité ENS pour les systèmes de catégorie moyenne ou élevée ne peut être délivré que par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Calidad n'est pas un organisme accrédité et ne délivre aucun certificat officiel. Ce que nous faisons, c'est préparer votre système de management de la sécurité de l'information pour que, lorsque l'audit de conformité réalisé par le tiers accrédité de votre choix aura lieu, votre organisation soit prête à le réussir : diagnostic des écarts, mise en œuvre des contrôles, documentation des preuves et revue pré-audit avant l'audit officiel.