ISMS Copilot
Référentiels pris en charge

ENS (Esquema Nacional de Seguridad)

Accès au forfait : l'ENS est disponible sur tous les forfaits ISMS Copilot, y compris le forfait gratuit. Pour plus de détails sur les tâches d'examen prises en charge, consultez Accès et capacités d'examen de l'ENS Copilot.

L'ENS (Esquema Nacional de Seguridad) est le cadre national de cybersécurité espagnol, établi par le Décret Royal 311/2022 et modifié par le RD 1125/2024. Il impose des exigences de sécurité pour les organismes du secteur public et les entités privées traitant des données gouvernementales, en instaurant une approche basée sur les risques avec trois catégories de sécurité et cinq dimensions de protection.

ISMS Copilot possède une connaissance approfondie des exigences de l'ENS. Vous pouvez poser des questions spécifiques au référentiel, générer des politiques alignées sur les mesures de l'ENS, évaluer les lacunes de conformité et croiser les contrôles avec l'ISO 27001:2022 et NIS2.

Qui doit se conformer à l'ENS ?

L'ENS s'applique aux organisations en Espagne qui :

  • Administration publique : tous les organismes gouvernementaux, agences et entités du secteur public aux niveaux national, régional et local

  • Prestataires du secteur privé : entreprises fournissant des services à l'administration publique ou manipulant des données gouvernementales

  • Opérateurs d'infrastructures critiques : opérateurs d'infrastructures critiques désignés par les autorités espagnoles

  • Entreprises publiques : sociétés publiques et entités détenues par le gouvernement

  • Fournisseurs de services : organisations traitant des données personnelles ou fournissant des services électroniques à des entités publiques

La conformité est obligatoire pour les organisations concernées, avec des exigences variant selon la catégorisation du système.

Structure réglementaire de l'ENS

Le cadre est organisé sous le RD 311/2022 avec la structure suivante :

Articles juridiques (41 au total) :

  • Dispositions générales (Art. 1–4) : champ d'application, définitions et concepts fondamentaux

  • Principes de base (Art. 5–11) : principes de sécurité et exigences organisationnelles

  • Politique de sécurité et exigences (Art. 12–30) : mesures de sécurité minimales et cadre politique

  • Audit et traitement des incidents (Art. 31–34) : exigences d'audit et réponse aux incidents

  • Règles de conformité (Art. 35–38) : déclaration et certification de conformité

  • Catégorisation du système (Art. 40–41) : méthodologie de classification

Annexes :

  • Anexo I : critères de catégorisation du système (BÁSICA, MEDIA, ALTA)

  • Anexo II : 73 mesures de sécurité avec identifiants officiels

  • Anexo III : exigences et périodicité d'audit

Catégories de sécurité

L'ENS établit trois catégories de sécurité basées sur l'impact potentiel des failles de sécurité :

BÁSICA (Basique) :

  • Systèmes ayant un impact minimal sur les opérations de l'organisation

  • Conséquences limitées pour la confidentialité, l'intégrité ou la disponibilité des données

  • Mesures de sécurité fondamentales requises

  • Auto-évaluation et déclaration de conformité suffisantes

MEDIA (Moyenne) :

  • Impact modéré sur les opérations de l'organisation ou la prestation de services

  • Préjudice potentiel pour les individus ou les organisations

  • Mesures de sécurité renforcées avec des exigences de consolidation

  • Nécessite un audit formel tous les deux ans

ALTA (Haute) :

  • Systèmes critiques avec un impact potentiel grave

  • Préjudice important aux intérêts nationaux, à la sécurité publique ou à de vastes populations

  • Mesures de sécurité maximales avec plusieurs niveaux de renforcement

  • Nécessite un audit formel tous les deux ans par des auditeurs accrédités

Cinq dimensions de sécurité

L'ENS organise les mesures de sécurité selon cinq dimensions, chacune avec des niveaux progressifs (0–3) :

Dimension

Espagnol

Objectif

C

Confidencialidad

Protéger l'information contre toute divulgation non autorisée

I

Integridad

Maintenir l'exactitude et l'exhaustivité des données

T

Trazabilidad

Enregistrer les actions et permettre la reddition de comptes

A

Autenticidad

Vérifier l'identité et garantir l'origine des données

D

Disponibilidad

Garantir l'accès opportun aux informations et aux services

Chaque catégorie (BÁSICA, MEDIA, ALTA) nécessite des niveaux minimaux spécifiques pour chaque dimension. Les catégories supérieures exigent des niveaux de dimension plus élevés, avec des renforcements (R1, R2, R3) ajoutant des contrôles supplémentaires.

Les 73 mesures de sécurité

L'Anexo II définit 73 mesures de sécurité organisées en trois cadres :

Marco Organizativo (Cadre organisationnel) :

  • Politique et organisation de la sécurité

  • Rôles et responsabilités

  • Comités de sécurité et coordination

  • Sécurité et sensibilisation du personnel

Marco Operacional (Cadre opérationnel) :

  • Contrôle d'accès et authentification

  • Gestion des incidents

  • Continuité d'activité et reprise après sinistre

  • Gestion des fournisseurs et des tiers

Marco de Protección (Cadre de protection) :

  • Sécurité des réseaux et des communications

  • Protection des terminaux

  • Cryptographie et gestion des clés

  • Sécurité physique

Chaque mesure comprend des exigences spécifiques par catégorie de sécurité, avec des niveaux de renforcement pour les catégories supérieures.

Rôles clés selon l'ENS

L'ENS définit quatre rôles critiques pour la gouvernance de la sécurité :

  • Responsable de la información : propriétaire de l'information, responsable des exigences de classification et de protection

  • Responsable del servicio : propriétaire du service, responsable de la prestation et de la disponibilité du service

  • Responsable de la seguridad : responsable de la sécurité, coordonne la mise en œuvre et le suivi de la sécurité

  • Responsable del sistema : administrateur système, met en œuvre les mesures de sécurité techniques

Série de guides CCN-STIC

La mise en œuvre de l'ENS est soutenue par les guides techniques CCN-STIC du Centre Cryptologique National espagnol (CCN-CERT). Les guides clés comprennent :

  • CCN-STIC 800 : guide général de mise en œuvre de l'ENS

  • CCN-STIC 802 : développement de la politique de sécurité

  • CCN-STIC 804 : méthodologie d'évaluation des risques

  • CCN-STIC 808 : gestion des incidents

  • CCN-STIC 809 : continuité d'activité

  • CCN-STIC 815 : procédures d'audit

  • CCN-STIC 817 : mise en œuvre des mesures de sécurité

  • CCN-STIC 823–825 : contrôles de sécurité techniques

  • CCN-STIC 830 : sécurité du cloud

  • CCN-STIC 884, 892 : domaines de sécurité spécialisés

Les versions actuelles sont maintenues sur ccn-cert.cni.es.

Déclaration et certification de conformité

L'ENS propose deux voies de conformité :

Auto-évaluation (Declaración de Conformidad) :

  • Disponible pour les systèmes de catégorie BÁSICA

  • L'organisation effectue une évaluation interne

  • Déclaration publiée sur les portails électroniques conformément à l'Art. 38.2

Certification (Certificación de Conformidad) :

  • Requise pour les catégories MEDIA et ALTA

  • Réalisée par des auditeurs accrédités

  • Cycles d'audit biennaux selon l'Anexo III

  • L'audit régulier (Art. 31) peut servir simultanément à la certification

ISMS Copilot ne remplace pas l'audit formel de l'Anexo III pour les systèmes MEDIA et ALTA. Il sert de support de préparation et d'assistance entre les audits biennaux. Pour les citations engageant une responsabilité juridique directe, vérifiez toujours auprès des sources primaires (BOE, CCN-CERT, AENOR).

Correspondance entre référentiels

L'ENS s'aligne sur les cadres internationaux, permettant des approches de conformité intégrées :

  • ISO 27001:2022 : correspondance au niveau des contrôles entre les mesures de l'Anexo II et les contrôles de l'Annexe A

  • Directive NIS2 : alignement sur les exigences de cybersécurité à l'échelle de l'UE

  • RGPD/LOPDGDD : intégration avec la loi espagnole sur la protection des données

Cela permet aux organisations de s'appuyer sur leurs travaux de conformité existants ISO 27001 ou NIS2 pour les mises en œuvre de l'ENS.

Comment ISMS Copilot vous aide

ISMS Copilot offre un support complet pour les travaux de conformité à l'ENS :

  • Conseils spécifiques au référentiel : posez des questions sur des articles, mesures ou exigences de dimension spécifiques de l'ENS

  • Contraste de politiques : comparez les politiques et procédures existantes aux exigences du RD 311/2022

  • Examen de la Declaración de Aplicabilidad : analysez l'exhaustivité des documents de déclaration d'applicabilité

  • Identification des lacunes : identifiez les écarts de sécurité par rapport aux mesures de l'Anexo II

  • Examen préliminaire des preuves : évaluez les preuves d'audit avant l'examen formel

  • Détermination de la catégorie : aide à la décision pour la catégorisation du système (BÁSICA/MEDIA/ALTA)

  • Guidance CCN-STIC : recommande les guides appropriés de la série 800 pour des cas spécifiques

  • Correspondance entre référentiels : établit le lien entre les contrôles de l'ENS, de l'ISO 27001:2022 et de NIS2

  • Organisation de l'espace de travail : gérez les projets ENS séparément des autres initiatives de conformité

L'IA distingue les catégories, comprend les niveaux de dimension et connaît les exigences de renforcement (R1, R2, R3). Pour les matrices exactes mesure × niveau × renforcement, elle se réfère directement à l'Anexo II du RD.

Essayez de demander : « Quelles sont les exigences de l'ENS pour un système de catégorie MEDIA ? » ou « Établis une correspondance entre les mesures de l'Anexo II de l'ENS et les contrôles de l'Annexe A de l'ISO 27001:2022 » ou « Quel guide CCN-STIC traite de la gestion des incidents ? »

Disponibilité du forfait

Les connaissances sur l'ENS sont disponibles sur tous les forfaits ISMS Copilot, y compris le niveau gratuit. Pour une ventilation complète de l'accès par forfait et des capacités d'examen de documents/preuves, consultez Accès et capacités d'examen de l'ENS Copilot.

Pour commencer

Pour commencer votre travail de conformité ENS dans ISMS Copilot :

  1. Créez un espace de travail dédié pour votre projet de conformité ENS

  2. Demandez à l'IA de vous aider à déterminer la catégorie de votre système (BÁSICA, MEDIA ou ALTA)

  3. Générez des politiques de sécurité alignées sur les mesures de l'Anexo II

  4. Téléchargez votre documentation de sécurité existante pour une analyse des lacunes

  5. Développez votre Declaración de Aplicabilidad en associant les mesures à votre environnement

  6. Demandez des conseils sur les guides CCN-STIC pertinents pour votre mise en œuvre

  7. Préparez des dossiers de preuves d'audit pour l'évaluation formelle de conformité

Limitations

ISMS Copilot est un assistant de conformité, il ne remplace pas :

  • Le jugement professionnel sur les décisions de sécurité

  • Les auditeurs accrédités pour la certification formelle de conformité

  • Un conseiller juridique pour l'interprétation réglementaire

  • Les sources primaires (BOE, CCN-CERT, AENOR) pour les citations juridiquement contraignantes

Pour les systèmes MEDIA et ALTA, les audits formels de l'Anexo III restent obligatoires. ISMS Copilot accélère la préparation et soutient l'amélioration continue entre les cycles d'audit.

Ressources connexes

Cela vous a-t-il été utile ?