ISMS Copilot
Référentiels pris en charge

ENS (Esquema Nacional de Seguridad)

L'ENS (Esquema Nacional de Seguridad) est le cadre national de cybersécurité de l'Espagne, établi par le décret royal 311/2022 et modifié par le RD 1125/2024. Il définit des exigences de sécurité pour les organismes du secteur public et les entités privées traitant des données gouvernementales, instaurant une approche basée sur les risques avec trois catégories de sécurité et cinq dimensions de protection.

ISMS Copilot possède une connaissance approfondie des exigences de l'ENS. Vous pouvez poser des questions spécifiques au cadre, générer des politiques alignées sur les mesures de l'ENS, évaluer les écarts de conformité et croiser les contrôles avec l'ISO 27001:2022 et NIS2.

Qui doit se conformer à l'ENS ?

L'ENS s'applique aux organisations en Espagne qui :

  • Administration publique : Tous les organismes gouvernementaux, agences et entités du secteur public aux niveaux national, régional et local

  • Prestataires du secteur privé : Entreprises fournissant des services à l'administration publique ou manipulant des données gouvernementales

  • Opérateurs d'infrastructures critiques : Opérateurs d'infrastructures critiques désignés par les autorités espagnoles

  • Entreprises publiques : Sociétés et entités publiques détenues par le gouvernement

  • Prestataires de services : Organisations traitant des données personnelles ou fournissant des services électroniques à des entités publiques

La conformité est obligatoire pour les organisations concernées, avec des exigences variant selon la catégorisation du système.

Structure réglementaire de l'ENS

Le cadre est organisé selon le RD 311/2022 avec la structure suivante :

Articles juridiques (41 au total) :

  • Dispositions générales (Art. 1–4) : Champ d'application, définitions et concepts fondamentaux

  • Principes de base (Art. 5–11) : Principes de sécurité et exigences organisationnelles

  • Politique et exigences de sécurité (Art. 12–30) : Mesures de sécurité minimales et cadre politique

  • Audit et gestion des incidents (Art. 31–34) : Exigences d'audit et réponse aux incidents

  • Règles de conformité (Art. 35–38) : Déclaration et certification de conformité

  • Catégorisation des systèmes (Art. 40–41) : Méthodologie de classification

Annexes :

  • Anexo I : Critères de catégorisation du système (BÁSICA, MEDIA, ALTA)

  • Anexo II : 73 mesures de sécurité avec identifiants officiels

  • Anexo III : Exigences et périodicité des audits

Catégories de sécurité

L'ENS établit trois catégories de sécurité basées sur l'impact potentiel des failles de sécurité :

BÁSICA (De base) :

  • Systèmes ayant un impact minimal sur les opérations de l'organisation

  • Conséquences limitées pour la confidentialité, l'intégrité ou la disponibilité des données

  • Mesures de sécurité fondamentales requises

  • L'auto-évaluation et la déclaration de conformité sont suffisantes

MEDIA (Moyenne) :

  • Impact modéré sur les opérations de l'organisation ou la prestation de services

  • Préjudice potentiel pour les individus ou les organisations

  • Mesures de sécurité renforcées avec des exigences de consolidation

  • Nécessite un audit formel tous les deux ans

ALTA (Haute) :

  • Systèmes critiques avec un impact potentiel grave

  • Préjudice important pour les intérêts nationaux, la sécurité publique ou de larges populations

  • Mesures de sécurité maximales avec plusieurs niveaux de renforcement

  • Nécessite un audit formel tous les deux ans par des auditeurs accrédités

Cinq dimensions de sécurité

L'ENS organise les mesures de sécurité selon cinq dimensions, chacune avec des niveaux progressifs (0–3) :

Dimension

Espagnol

Objectif

C

Confidencialidad

Protection de l'information contre toute divulgation non autorisée

I

Integridad

Maintien de l'exactitude et de l'exhaustivité des données

T

Trazabilidad

Enregistrement des actions et facilitation de la responsabilité

A

Autenticidad

Vérification de l'identité et garantie de l'origine des données

D

Disponibilidad

Garantie d'un accès opportun aux informations et aux services

Chaque catégorie (BÁSICA, MEDIA, ALTA) requiert des niveaux minimaux spécifiques pour chaque dimension. Les catégories supérieures exigent des niveaux de dimension plus élevés, avec des renforcements (R1, R2, R3) ajoutant des contrôles supplémentaires.

Les 73 mesures de sécurité

L'Anexo II définit 73 mesures de sécurité organisées en trois cadres :

Marco Organizativo (Cadre organisationnel) :

  • Politique et organisation de la sécurité

  • Rôles et responsabilités

  • Comités de sécurité et coordination

  • Sécurité du personnel et sensibilisation

Marco Operacional (Cadre opérationnel) :

  • Contrôle d'accès et authentification

  • Gestion des incidents

  • Continuité des activités et reprise après sinistre

  • Gestion des fournisseurs et des tiers

Marco de Protección (Cadre de protection) :

  • Sécurité des réseaux et des communications

  • Protection des terminaux

  • Cryptographie et gestion des clés

  • Sécurité physique

Chaque mesure comprend des exigences spécifiques par catégorie de sécurité, avec des niveaux de renforcement pour les catégories supérieures.

Rôles clés sous l'ENS

L'ENS définit quatre rôles critiques pour la gouvernance de la sécurité :

  • Responsable de la información : Propriétaire de l'information, responsable de la classification et des exigences de protection

  • Responsable del servicio : Propriétaire du service, responsable de la prestation et de la disponibilité du service

  • Responsable de la seguridad : Responsable de la sécurité, coordonne la mise en œuvre et le suivi de la sécurité

  • Responsable del sistema : Administrateur système, met en œuvre les mesures techniques de sécurité

Série de guides CCN-STIC

La mise en œuvre de l'ENS est soutenue par les guides techniques CCN-STIC du Centre Cryptologique National espagnol (CCN-CERT). Les guides clés incluent :

  • CCN-STIC 800 : Guide général de mise en œuvre de l'ENS

  • CCN-STIC 802 : Élaboration de la politique de sécurité

  • CCN-STIC 804 : Méthodologie d'analyse des risques

  • CCN-STIC 808 : Gestion des incidents

  • CCN-STIC 809 : Continuité des activités

  • CCN-STIC 815 : Procédures d'audit

  • CCN-STIC 817 : Mise en œuvre des mesures de sécurité

  • CCN-STIC 823–825 : Contrôles techniques de sécurité

  • CCN-STIC 830 : Sécurité du cloud

  • CCN-STIC 884, 892 : Domaines de sécurité spécialisés

Les versions actuelles sont maintenues sur ccn-cert.cni.es.

Déclaration et certification de conformité

L'ENS propose deux voies de conformité :

Auto-évaluation (Declaración de Conformidad) :

  • Disponible pour les systèmes de catégorie BÁSICA

  • L'organisation réalise une évaluation interne

  • Déclaration publiée sur les portails électroniques conformément à l'Art. 38.2

Certification (Certificación de Conformidad) :

  • Requise pour les catégories MEDIA et ALTA

  • Réalisée par des auditeurs accrédités

  • Cycles d'audit biennaux selon l'Anexo III

  • L'audit régulier (Art. 31) peut servir simultanément à la certification

ISMS Copilot ne remplace pas l'audit formel de l'Anexo III pour les systèmes MEDIA et ALTA. Il sert de support à la préparation et d'assistance entre les audits biennaux. Pour les citations engageant une responsabilité juridique directe, vérifiez toujours auprès des sources primaires (BOE, CCN-CERT, AENOR).

Correspondance entre cadres (Mapping)

L'ENS s'aligne sur les cadres internationaux, permettant des approches de conformité intégrées :

  • ISO 27001:2022 : Correspondances au niveau des contrôles entre les mesures de l'Anexo II et les contrôles de l'Annexe A

  • Directive NIS2 : Alignement avec les exigences de cybersécurité à l'échelle de l'UE

  • RGPD/LOPDGDD : Intégration avec la loi espagnole sur la protection des données

Cela permet aux organisations de tirer parti du travail de conformité existant sur l'ISO 27001 ou la NIS2 pour les mises en œuvre de l'ENS.

Comment ISMS Copilot vous aide

ISMS Copilot offre un soutien complet pour le travail de conformité à l'ENS :

  • Orientation spécifique au cadre : Posez des questions sur des articles, mesures ou exigences de dimension spécifiques de l'ENS

  • Comparaison de politiques : Comparez les politiques et procédures existantes aux exigences du RD 311/2022

  • Révision de la Declaración de Aplicabilidad : Analysez l'exhaustivité des documents de déclaration d'applicabilité

  • Identification des écarts : Identifiez les lacunes de sécurité par rapport aux mesures de l'Anexo II

  • Examen préliminaire des preuves : Évaluez les preuves d'audit avant l'examen formel

  • Détermination de la catégorie : Soutien aux décisions de catégorisation du système (BÁSICA/MEDIA/ALTA)

  • Conseils CCN-STIC : Recommandation des guides appropriés de la série 800 pour des cas spécifiques

  • Mapping entre cadres : Faites correspondre les contrôles entre l'ENS, l'ISO 27001:2022 et NIS2

  • Organisation de l'espace de travail : Gérez les projets ENS séparément des autres initiatives de conformité

L'IA distingue les catégories, comprend les niveaux de dimension et connaît les exigences de renforcement (R1, R2, R3). Pour les matrices exactes mesure × niveau × renforcement, elle se réfère directement à l'Anexo II du RD.

Essayez de demander : « Quelles sont les exigences de l'ENS pour un système de catégorie MEDIA ? » ou « Faites correspondre les mesures de l'Anexo II de l'ENS aux contrôles de l'Annexe A de l'ISO 27001:2022 » ou « Quel guide CCN-STIC couvre la gestion des incidents ? »

Disponibilité du forfait

La connaissance de l'ENS est disponible dans tous les forfaits d'ISMS Copilot, y compris l'essai gratuit. La connaissance du cadre n'est pas stratifiée par forfait — vous pouvez accéder à l'intégralité des conseils ENS quel que soit le niveau d'abonnement.

Commencer

Pour commencer le travail de conformité ENS dans ISMS Copilot :

  1. Créez un espace de travail dédié pour votre projet de conformité ENS

  2. Demandez à l'IA d'aider à déterminer la catégorie de votre système (BÁSICA, MEDIA ou ALTA)

  3. Générez des politiques de sécurité alignées sur les mesures de l'Anexo II

  4. Téléchargez la documentation de sécurité existante pour l'analyse des écarts

  5. Développez votre Declaración de Aplicabilidad en mappant les mesures à votre environnement

  6. Demandez des conseils sur les guides CCN-STIC pertinents pour votre mise en œuvre

  7. Préparez les dossiers de preuves d'audit pour l'évaluation de conformité formelle

Limites

ISMS Copilot est un assistant de conformité, il ne remplace pas :

  • Le jugement professionnel sur les décisions de sécurité

  • Les auditeurs accrédités pour la certification de conformité formelle

  • Un conseiller juridique pour l'interprétation réglementaire

  • Les sources primaires (BOE, CCN-CERT, AENOR) pour les citations juridiquement contraignantes

Pour les systèmes MEDIA et ALTA, les audits formels de l'Anexo III restent obligatoires. ISMS Copilot accélère la préparation et soutient l'amélioration continue entre les cycles d'audit.

Ressources associées

Cela vous a-t-il été utile ?