FRAMEWORK · ENS

ENS — Schéma National de Sécurité.
RD 311/2022. Trois catégories couvertes.

Obligatoire pour les administrations publiques espagnoles et fournisseurs critiques. Itamite couvre les familles mp.eq (protection des équipements), op.exp (exploitation), mp.com (communications) en Catégories Basique, Moyenne et Haute. Rapport signé pour CCN-CERT et organisme certificateur.

Voir tarifs Démo ENS

Qui est soumis à ENS

ENS s'applique à : Administration Générale de l'État espagnol, Communautés Autonomes, Entités Locales, organismes publics et entités de droit public. Fournisseurs du secteur public qui fournissent des services ou gèrent l'information du secteur public (la plupart de l'IT corporative). Secteur privé régulé dans les secteurs où une autre norme renvoie à ENS (ex. NIS2 peut invoquer ENS pour les entités espagnoles).

La catégorie est déterminée par l'analyse d'impact sur les dimensions C-I-D-A-T (confidentialité, intégrité, disponibilité, authenticité, traçabilité) : Basique (impact bas dans toutes), Moyenne (impact moyen dans certaines), Haute (impact élevé dans certaines).

FAMILLES DE CONTRÔLES

Ce qu'Itamite couvre de l'Annexe II ENS

mp.eq — Protection des équipements

mp.eq.1 Poste de travail dégagé. mp.eq.2 Verrouillage du poste de travail (screen lock). mp.eq.3 Protection des ordinateurs portables (chiffrement). mp.eq.4 Autres dispositifs connectés au réseau.

op.exp — Exploitation

op.exp.1 Inventaire des actifs. op.exp.2 Configuration de sécurité. op.exp.3 Gestion de la configuration. op.exp.4 Maintenance (correctifs). op.exp.5 Gestion des changements. op.exp.6 Protection contre code malveillant (AV). op.exp.7 Gestion des incidents. op.exp.8-11 Journaux et protection.

mp.com — Protection des communications

mp.com.1 Périmètre sécurisé (pare-feu). mp.com.2 Protection de la confidentialité (chiffrement transit). mp.com.3 Protection authenticité/intégrité. mp.com.4 Ségrégation des réseaux.

op.acc — Contrôle d'accès

op.acc.1 Identification. op.acc.2 Exigences d'accès. op.acc.3 Ségrégation des fonctions. op.acc.5 Mécanisme d'authentification. op.acc.6 Accès local. op.acc.7 Accès distant.

op.mon — Surveillance du système

op.mon.1 Détection d'intrusion (avec EDR intégré). op.mon.2 Système de métriques (posture mesurée). op.mon.3 Surveillance (alertes continues).

mp.s — Protection des services

mp.s.1 Protection contre déni de service. mp.s.2 Protection des serveurs. mp.s.8 Protection de l'information publiée.

PROCESSUS DE CERTIFICATION

Comment obtenir la conformité ENS

01

Catégorisation du système

Analyse d'impact C-I-D-A-T → vous déterminez la catégorie (Basique/Moyenne/Haute). Itamite vous aide avec les données d'inventaire, mais la catégorisation formelle est faite par votre RSSI ou consultant.

02

Analyse des risques

Méthodologie MAGERIT v3 (standard du secteur public espagnol) ou ISO 27005. Itamite fournit l'inventaire complet et les données de posture en entrée. La méthodologie est menée par votre équipe ou consultant.

03

Implantation des mesures

Vous appliquez les contrôles de l'Annexe II selon votre catégorie. Itamite couvre les mesures techniques de mp.eq, op.exp, mp.com automatiquement. Les mesures organisationnelles (politiques, formation, gestion fournisseurs) sont du travail manuel.

04

Audit de conformité

Pour Catégorie Moyenne ou Haute : audit obligatoire par entité accréditée (renouvellement bisannuel). Le rapport Itamite est la preuve technique que vous remettez à l'auditeur pour les contrôles couverts. Pour Basique : déclaration de conformité signée par le responsable.

05

Distinction et registre

Après conformité : vous obtenez la distinction ENS correspondante et elle est enregistrée auprès du CCN-CERT. Renouvellement tous les 2 ans avec audit complet. Maintenance continue avec révisions annuelles.

QUESTIONS FRÉQUENTES

Doutes habituels sur ENS

Mon entreprise privée est-elle obligée d'avoir ENS ?
Si vous fournissez des services au secteur public espagnol qui impliquent l'accès à leurs systèmes ou information, oui. Le secteur public doit l'exiger dans le contrat. Si votre secteur est dans NIS2 avec une référence à ENS, également. Pour le secteur privé pur, ENS est volontaire mais offre un avantage compétitif dans les appels d'offres publics.
Quelle catégorie dois-je certifier ?
Déterminée par l'analyse d'impact de votre système. Pour le secteur public local typique avec données non classifiées : Basique. Pour le secteur public autonome ou étatique avec données personnelles sensibles : Moyenne. Pour les infrastructures critiques, défense, santé régionale : Haute. Votre DPO ou consultant vous oriente.
Itrion Software est-elle certifiée ENS ?
Oui, Catégorie Moyenne certifiée (l'hébergement européen IONOS est également en ENS Haute). En train de travailler sur la Catégorie Haute interne. Documentation de conformité disponible sur demande pour les clients du secteur public.
Combien de temps pour obtenir la conformité ENS Moyenne avec Itamite ?
Temps total typique : 3-6 mois. La partie technique (mesures Itamite) est prête en 4-6 semaines après déploiement de l'agent. La partie organisationnelle (politiques, analyse des risques MAGERIT, plan d'adéquation) et l'audit par entité accréditée prennent le reste du temps.
Quelles entités accréditent ENS ?
ENAC maintient la liste officielle : AENOR, Bureau Veritas, DNV, SGS, TÜV, LEET Security, Audisec, BDO, entre autres. Demandez devis à plusieurs pour comparer. Coût typique audit initial : 8 000-15 000 € + 4 000-7 000 € renouvellement bisannuel.

Secteur public ou fournisseur critique nécessitant ENS ?

Démo orientée à votre catégorie avec un cas réel du secteur public. Nous vous montrons le plan d'adéquation.

Voir tarifs Demander démo ENS