FRAMEWORK · ENS

ENS — Schema Nazionale di Sicurezza.
RD 311/2022. Tre categorie coperte.

Obbligatorio per le PA spagnole e fornitori critici. Itamite copre le famiglie mp.eq (protezione delle apparecchiature), op.exp (operazioni), mp.com (comunicazioni) nelle Categorie Basica, Media e Alta. Report firmato per CCN-CERT e organismo certificatore.

Vedi prezzi Demo ENS

Chi è soggetto a ENS

ENS si applica a: Amministrazione Generale dello Stato spagnolo, Comunità Autonome, Enti Locali, organismi pubblici ed enti di diritto pubblico. Fornitori della PA che prestano servizi o gestiscono informazioni del settore pubblico (la maggior parte dell'IT aziendale). Settore privato regolamentato nei settori in cui un'altra norma rimanda a ENS (es. NIS2 può richiamare ENS per le entità spagnole).

La categoria è determinata dall'analisi di impatto sulle dimensioni C-I-D-A-T (riservatezza, integrità, disponibilità, autenticità, tracciabilità): Basica (impatto basso in tutte), Media (impatto medio in alcune), Alta (impatto alto in alcune).

FAMIGLIE DI CONTROLLI

Cosa copre Itamite dell'Allegato II ENS

mp.eq — Protezione delle apparecchiature

mp.eq.1 Postazione di lavoro sgombra. mp.eq.2 Blocco postazione di lavoro (screen lock). mp.eq.3 Protezione di portatili (cifratura). mp.eq.4 Altri dispositivi connessi alla rete.

op.exp — Operazioni

op.exp.1 Inventario degli asset. op.exp.2 Configurazione di sicurezza. op.exp.3 Gestione della configurazione. op.exp.4 Manutenzione (patch). op.exp.5 Gestione dei cambiamenti. op.exp.6 Protezione contro codice malevolo (AV). op.exp.7 Gestione degli incidenti. op.exp.8-11 Registri e protezione.

mp.com — Protezione delle comunicazioni

mp.com.1 Perimetro sicuro (firewall). mp.com.2 Protezione della riservatezza (cifratura in transito). mp.com.3 Protezione autenticità/integrità. mp.com.4 Segregazione delle reti.

op.acc — Controllo accessi

op.acc.1 Identificazione. op.acc.2 Requisiti di accesso. op.acc.3 Segregazione dei compiti. op.acc.5 Meccanismo di autenticazione. op.acc.6 Accesso locale. op.acc.7 Accesso remoto.

op.mon — Monitoraggio del sistema

op.mon.1 Rilevamento intrusioni (con EDR integrato). op.mon.2 Sistema di metriche (postura misurata). op.mon.3 Sorveglianza (alert continui).

mp.s — Protezione dei servizi

mp.s.1 Protezione contro denial of service. mp.s.2 Protezione dei server. mp.s.8 Protezione delle informazioni pubblicate.

PROCESSO DI CERTIFICAZIONE

Come ottenere la conformità ENS

01

Categorizzazione del sistema

Analisi di impatto C-I-D-A-T → determini la categoria (Basica/Media/Alta). Itamite ti aiuta con i dati dell'inventario, ma la categorizzazione formale la fa il tuo CISO o consulente.

02

Analisi dei rischi

Metodologia MAGERIT v3 (standard della PA spagnola) o ISO 27005. Itamite fornisce inventario completo e dati di postura come input. La metodologia è guidata dal tuo team o consulente.

03

Implementazione delle misure

Applichi i controlli dell'Allegato II secondo la tua categoria. Itamite copre le misure tecniche di mp.eq, op.exp, mp.com automaticamente. Le misure organizzative (politiche, formazione, gestione fornitori) sono lavoro manuale.

04

Audit di conformità

Per Categoria Media o Alta: audit obbligatorio da entità accreditata (rinnovo biennale). Il report Itamite è l'evidenza tecnica che consegni all'auditor per i controlli coperti. Per Basica: dichiarazione di conformità firmata dal responsabile.

05

Distintivo e registro

Dopo la conformità: ottieni il distintivo ENS corrispondente e viene registrato presso CCN-CERT. Rinnovo ogni 2 anni con audit completo. Manutenzione continua con revisioni annuali.

DOMANDE FREQUENTI

Dubbi abituali su ENS

La mia azienda privata è obbligata a ENS?
Se presti servizi alla PA spagnola che implicano accesso ai loro sistemi o informazioni, sì. La PA deve esigerlo nel contratto. Se il tuo settore è in NIS2 con qualche riferimento a ENS, anche. Per il settore privato puro, ENS è volontario ma offre vantaggio competitivo nelle gare pubbliche.
Quale categoria devo certificare?
Lo determina l'analisi di impatto del tuo sistema. Per PA locali tipiche con dati non classificati: Basica. Per PA autonome o statali con dati personali sensibili: Media. Per infrastrutture critiche, difesa, sanità regionale: Alta. Il tuo DPO o consulente ti orienta.
Itrion Software è certificata ENS?
Sì, Categoria Media certificata (l'hosting europeo IONOS è anche in ENS Alta). Stiamo lavorando alla Categoria Alta interna. Documentazione di conformità disponibile su richiesta per clienti della PA.
Quanto tempo per ottenere la conformità ENS Media con Itamite?
Tempo totale tipico: 3-6 mesi. La parte tecnica (misure Itamite) è pronta in 4-6 settimane dopo il deployment dell'agente. La parte organizzativa (politiche, analisi dei rischi MAGERIT, piano di adeguamento) e l'audit da entità accreditata richiedono il resto del tempo.
Quali entità accreditano ENS?
ENAC mantiene l'elenco ufficiale: AENOR, Bureau Veritas, DNV, SGS, TÜV, LEET Security, Audisec, BDO, tra gli altri. Chiedi preventivi a diverse per confrontare. Costo tipico audit iniziale: 8.000-15.000 € + 4.000-7.000 € rinnovo biennale.

PA o fornitore critico che necessita di ENS?

Demo orientata alla tua categoria con un caso reale di PA. Ti mostriamo il piano di adeguamento.

Vedi prezzi Richiedi demo ENS