Sector publico y seguridad

Mise en conformité ENS à Valladolid par le système de management

La Junta de Castilla y León, la Diputación Provincial de Valladolid, l'Ayuntamiento de Valladolid et l'Universidad de Valladolid (UVa) concentrent dans la ville l'une des plus importantes demandes d'achats publics technologiques du centre de la péninsule ibérique. Si votre entreprise fournit des logiciels, des services en nuage, de la maintenance de systèmes ou toute autre solution technologique à ces institutions, l'Esquema Nacional de Seguridad (RD 311/2022, BOE-A-2022-7191) vous oblige déjà : le délai de mise en conformité pour les systèmes existants a expiré le 5 mai 2024. Summum Calidad vous accompagne dans cette démarche depuis la perspective du système de management de la sécurité de l'information (SMSI), en intégrant les exigences de l'ENS à celles de l'ISO 27001:2022 pour réutiliser les contrôles communs, éliminer les redondances documentaires et atteindre la déclaration ou la certification de conformité qu'exige votre niveau de catégorie.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilFournisseurs de la Junta de Castilla y León et des entités publiques de Valladolid
ModalitéProjet structuré avec accompagnement continu

Valladolid est le siège de la présidence de la Junta de Castilla y León et de nombreuses conseillers régionales, ce qui fait de la ville le nœud central des marchés publics technologiques de la communauté autonome. La Diputación Provincial, l'Ayuntamiento de Valladolid et l'Universidad de Valladolid ajoutent à cette demande des contrats de services numériques, de maintenance d'infrastructure, de développement de logiciels sur mesure et de traitement de données de citoyens. Toutes ces entités sont soumises à l'ENS en tant qu'organismes du secteur public ; par conséquent, tous leurs fournisseurs dont les systèmes d'information entrent en contact avec les leurs doivent se conformer au même Esquema Nacional de Seguridad. L'article 2 du RD 311/2022 est explicite : l'ENS s'applique également aux entités privées lorsque leurs systèmes d'information traitent des informations du secteur public ou fournissent des services à des entités de ce secteur.

Summum Calidad aborde la mise en conformité ENS depuis la perspective du management et de l'amélioration continue — la même approche qui structure l'ISO 27001:2022. Les deux référentiels partagent la même logique : politique de sécurité, analyse des risques, sélection de contrôles proportionnels, mise en œuvre documentée et révision périodique. Lorsqu'une entreprise de Valladolid dispose déjà d'un SMSI certifié ISO 27001, l'écart à combler vers l'ENS se concentre sur les aspects spécifiques au cadre espagnol — la catégorisation de l'Annexe I, les contrôles de l'Annexe II sans équivalent exact dans la norme internationale et l'adaptation de la documentation au format du CCN — et l'effort supplémentaire est sensiblement moindre que de démarrer un projet de zéro.

L'Annexe II du RD 311/2022 recense 75 mesures de sécurité réparties en trois cadres (organisationnel, opérationnel et de protection) et 16 familles, dont la famille op.nub spécifiquement dédiée aux services en nuage — très pertinente pour les fournisseurs SaaS qui opèrent dans l'écosystème public de Castille-et-León. La catégorisation du système — basique, moyen ou élevé selon l'impact sur les cinq dimensions CIDAT — détermine quelles mesures sont exigibles et quelle voie de conformité s'applique : pour la catégorie basique, une déclaration de conformité auto-évaluée selon la CCN-STIC 809 ; pour la catégorie moyenne ou élevée, une certification par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Calidad n'émet pas ce certificat — c'est la compétence exclusive des organismes accrédités — mais prépare votre système à réussir ce processus avec assurance, depuis la catégorisation initiale jusqu'à la révision pré-audit.

Le processus Mise en conformité ENS à Valladolid par le système de management.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système

Nous analysons le périmètre de vos systèmes d'information en relation avec les marchés publics actifs ou en cours de passation avec des entités de Valladolid — Junta de Castilla y León, Diputación, Ayuntamiento, UVa ou autres — et nous déterminons la catégorie ENS applicable selon l'Annexe I du RD 311/2022, en évaluant l'impact sur les cinq dimensions de sécurité CIDAT pour chaque service en périmètre. Nous identifions en parallèle votre point de départ en matière de système de management — si vous disposez d'une certification ISO 27001 en cours ou obtenue — afin de concevoir le chemin le plus efficace vers la conformité ENS.

02

Analyse d'écarts ENS–ISO 27001

Nous cartographions les 75 contrôles de l'Annexe II — répartis en 16 familles et trois cadres — en regard des contrôles de votre système de management ISO 27001 ou de vos pratiques de sécurité existantes. Le résultat est un tableau d'écarts priorisé avec l'effort estimé pour combler chaque lacune, en distinguant ce qui peut être directement réutilisé, ce qui nécessite un ajustement mineur et ce qui doit être mis en œuvre de zéro, avec une attention particulière à la famille op.nub si vous utilisez une infrastructure ou des services en nuage pour fournir votre prestation à l'administration de Castille-et-León.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour le système de management de la sécurité de l'information pour qu'il couvre simultanément les exigences de l'ISO 27001:2022 et de l'ENS. Nous élaborons la Déclaration d'Applicabilité intégrée, qui justifie la sélection et l'exclusion des contrôles conformément au format de la CCN-STIC 809, et rédigeons la politique de sécurité de l'information selon l'article 12 du RD 311/2022, adaptée à la structure et à la culture de votre organisation.

04

Mise en œuvre des contrôles et documentation des preuves

Nous accompagnons la mise en œuvre des mesures de sécurité manquantes de l'Annexe II — organisationnelles, opérationnelles et de protection — et générons la documentation de preuves requise : procédures, enregistrements, rapports d'analyse des risques, comptes rendus de revue de direction et enregistrements de formation du personnel. Tout est structuré et prêt à être présenté à l'organisme auditeur ou à étayer la déclaration de conformité auto-évaluée. La mise en œuvre technique des contrôles — durcissement, surveillance, chiffrement — est coordonnée avec nos collègues de Summum Sistemas.

Ce qui est inclus

Ce qu'inclut Mise en conformité ENS à Valladolid par le système de management.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée — basique, moyen ou élevé — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service en périmètre, avec une méthodologie traçable référencée au RD 311/2022 et au contexte contractuel public de l'entreprise à Valladolid.

  • Analyse d'écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des 75 contrôles de l'Annexe II de l'ENS avec les contrôles de votre système ISO 27001:2022, identifiant les réutilisations, les lacunes partielles et les contrôles absents, avec l'effort estimé pour combler chaque écart avant l'audit de conformité.

  • Déclaration d'Applicabilité intégrée

    Document formel enregistrant la sélection et l'exclusion justifiée des contrôles ENS et de l'Annexe A de l'ISO 27001:2022, conformément au format attendu par les auditeurs de conformité et par la CCN-STIC 809.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée selon l'article 12 du RD 311/2022, adaptée à la structure et aux relations contractuelles de votre organisation avec le secteur public de Castille-et-León : objet, périmètre, rôles, engagements de la direction et cycle de révision.

  • Procédures, enregistrements et dossier de preuves

    Ensemble complet de procédures opérationnelles, d'enregistrements et de preuves démontrant la mise en œuvre réelle des contrôles : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, gestion des changements, gestion des incidents et formation du personnel.

  • Révision pré-audit et simulation de conformité

    Pour les catégories moyenne ou élevée, audit interne simulant le processus de l'organisme accrédité ENAC : revue des preuves, identification des points faibles et correction avant l'arrivée de l'auditeur externe, minimisant le risque de non-conformités lors de l'audit de certification.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité ENS à Valladolid est renforcée lorsque le volet documentaire et normatif piloté par Summum Calidad se complète avec la mise en œuvre technique des mesures de l'Annexe II réalisée par Summum Sistemas : analyse des risques MAGERIT/PILAR, durcissement des systèmes et services, surveillance des événements de sécurité et préparation du dossier de preuves techniques. Deux équipes spécialisées, un projet coordonné, pour que votre entreprise puisse répondre aux appels d'offres des institutions publiques de Valladolid et de la Junta de Castilla y León avec toutes les garanties de conformité.

Questions fréquentes sur Mise en conformité ENS à Valladolid par le système de management.

Pourquoi les fournisseurs de la Junta de Castilla y León doivent-ils se conformer à l'ENS ?

La Junta de Castilla y León, dont le siège est à Valladolid, est une administration régionale du secteur public soumise à l'Esquema Nacional de Seguridad. L'article 2 du RD 311/2022 établit que l'ENS s'applique également aux entités privées lorsque leurs systèmes d'information traitent des informations du secteur public ou fournissent des services à des entités soumises au référentiel. Si votre entreprise gère des données de citoyens, opère des systèmes pour le compte de la Junta ou lui fournit des solutions technologiques, vous devez vous conformer. Le délai pour les systèmes existants a expiré le 5 mai 2024.

L'ENS s'applique-t-il aussi aux fournisseurs de l'Ayuntamiento de Valladolid et de l'Universidad de Valladolid ?

Oui. L'Ayuntamiento de Valladolid et l'Universidad de Valladolid (UVa) sont tous deux des entités du secteur public soumises à l'ENS. Leurs contrats de services numériques — développement de logiciels, maintenance de systèmes, services en nuage, traitement de données de citoyens ou d'étudiants — transfèrent l'obligation de mise en conformité ENS à leurs fournisseurs privés. La Diputación Provincial de Valladolid est dans la même situation. Si vous répondez à des appels d'offres ou fournissez des services à l'une de ces institutions, l'ENS vous est applicable.

Comment savoir si mon système est de catégorie basique, moyenne ou élevée ?

La catégorie est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT — confidentialité, intégrité, disponibilité, authenticité et traçabilité — pour chaque service en périmètre. Si l'impact maximum sur l'une ou l'autre dimension est FAIBLE, le système est de catégorie basique ; si une dimension atteint MOYEN, il est de catégorie moyenne ; si une dimension atteint ÉLEVÉ, il est de catégorie élevée. La catégorie détermine quelles mesures de l'Annexe II sont obligatoires et si vous avez besoin d'une déclaration de conformité auto-évaluée (basique) ou d'une certification par un organisme accrédité ENAC (moyenne ou élevée). Summum Calidad réalise cette analyse de catégorisation comme première étape du projet.

Puis-je intégrer la mise en conformité ENS à ma certification ISO 27001 existante ?

Oui, et c'est la voie la plus efficace. L'ISO 27001:2022 et l'ENS partagent la même logique de système de management — politique de sécurité, analyse des risques, sélection des contrôles, révision et amélioration continue — et nombre de leurs contrôles sont coïncidents ou directement réutilisables. Avec une certification ISO 27001 obtenue ou en cours, l'écart vers l'ENS se concentre sur les aspects spécifiques au cadre espagnol : la catégorisation de l'Annexe I, les contrôles sans équivalent exact dans l'ISO 27001 et l'adaptation de la documentation au format du CCN. Summum Calidad ne comble que ce qui manque, sans refaire ce qui fonctionne déjà.

Que sont les 75 mesures de l'Annexe II de l'ENS et lesquelles me sont applicables ?

L'Annexe II du RD 311/2022 recense 75 mesures de sécurité organisées en trois cadres — organisationnel, opérationnel et de protection — et 16 familles. Les mesures applicables dépendent de la catégorie de votre système : basique, moyen ou élevé. Toutes les 75 mesures ne sont pas obligatoires à chaque niveau ; chaque mesure précise les catégories auxquelles elle s'applique. Parmi les familles les plus pertinentes pour les fournisseurs de services numériques figurent op.nub (sécurité des services en nuage), mp.com (protection des communications) et op.exp (exploitation). Summum Calidad identifie le sous-ensemble exact de mesures qui vous est applicable et en priorise la mise en œuvre selon l'effort et l'impact sur la conformité.

Quelle est la différence entre la déclaration de conformité et la certification ENS ?

Pour les systèmes de catégorie basique, la conformité est attestée par une déclaration de conformité auto-évaluée par l'organisation elle-même, selon la procédure de la CCN-STIC 809 : l'entreprise déclare sous sa propre responsabilité qu'elle respecte les exigences ENS pour cette catégorie. Pour les catégories moyenne ou élevée, la conformité doit être certifiée par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065 : un tiers indépendant audite le système et délivre le certificat. Summum Calidad n'émet pas ce certificat — c'est la compétence exclusive des organismes accrédités — mais prépare votre documentation, vos contrôles et vos preuves pour réussir ce processus de certification avec assurance.