Le Schéma National de Sécurité espagnol (ENS) est né avec le Décret Royal 3/2010, du 8 janvier, publié au BOE le 29 janvier 2010 pour développer l'article 42 de la Loi 11/2007. Cette réglementation a été profondément modifiée par le Décret Royal 951/2015 et est aujourd'hui abrogée : depuis le 5 mai 2022, l'ENS est régi par le Décret Royal 311/2022, du 3 mai. Si vous recherchez le DR 3/2010, c'est en réalité le DR 311/2022 qui s'applique. Dans cet article, je retrace l'évolution du Schéma, ce qui a changé à chaque version et les raisons de la mise à jour.
Qu'était le Décret Royal 3/2010 et pourquoi son histoire est-elle importante
Lorsque quelqu'un me contacte pour se renseigner sur le « Décret Royal 3/2010 de l'ENS », il arrive presque toujours depuis un ancien cahier des charges, un manuel interne obsolète ou une recherche héritée d'années passées. C'est logique : le DR 3/2010 était la réglementation fondatrice du Schéma National de Sécurité espagnol et pendant plus de douze ans, il a été la référence en matière de sécurité de l'administration électronique espagnole. Connaître son parcours n'est pas un exercice d'archéologie juridique : cela aide à comprendre pourquoi l'ENS est structuré comme il l'est, quels problèmes chaque réforme est venue résoudre et, surtout, à ne pas appliquer par erreur un texte qui n'est plus en vigueur.
Le Schéma National de Sécurité espagnol est le cadre qui fixe les principes de base et les exigences minimales pour protéger l'information et les services gérés par les administrations publiques espagnoles et, de plus en plus, leurs prestataires technologiques.
2010 : la naissance de l'ENS avec le DR 3/2010
Le Décret Royal 3/2010, du 8 janvier, réglementant le Schéma National de Sécurité dans le domaine de l'Administration Électronique a été publié au BOE n° 25, du 29 janvier 2010 (référence BOE-A-2010-1330) et est entré en vigueur le lendemain. Son existence n'était pas une initiative isolée : il répondait à un mandat légal précis.
Ce mandat figurait à l'article 42 de la Loi 11/2007, du 22 juin, sur l'accès électronique des citoyens aux services publics (la LAECSP). Cet article prévoyait la création d'un Schéma National de Sécurité dont l'objet serait d'établir la politique de sécurité dans l'utilisation des moyens électroniques. Autrement dit : le législateur de 2007 a dit « il faut un schéma de sécurité commun pour toute l'administration numérique » et le Gouvernement l'a développé réglementairement trois ans plus tard avec le DR 3/2010.
Qu'a apporté ce texte ? Pour la première fois en Espagne, un langage commun de sécurité pour le secteur public était fixé : principes de base (gestion de la sécurité fondée sur les risques, prévention, réaction et rétablissement, lignes de défense, réévaluation périodique), exigences minimales et un catalogue de mesures de sécurité organisé par niveaux. L'ENS a introduit l'idée de catégoriser les systèmes en fonction de l'impact qu'aurait un incident sur cinq dimensions — disponibilité, authenticité, intégrité, confidentialité et traçabilité — et d'appliquer des mesures proportionnelles à cette catégorie (de base, moyenne ou élevée). Cette logique de proportionnalité est toujours vivante aujourd'hui, et c'est l'un des grands succès de conception que le DR 3/2010 nous a laissés.
2015 : le Décret Royal 951/2015, la première grande révision
Cinq ans plus tard est venue la première réforme importante. Le Décret Royal 951/2015, du 23 octobre, de modification du Décret Royal 3/2010 a été publié au BOE n° 264, du 4 novembre 2015 (référence BOE-A-2015-11881). Il n'abrogait pas l'ENS : il le modifiait pour le mettre à jour après cinq ans de changements technologiques et normatifs.
Qu'a modifié le DR 951/2015 ? Trois points méritent d'être soulignés :
Premièrement, il a explicitement lié les Instructions Techniques de Sécurité et les guides CCN-STIC. Jusqu'alors, ces guides du Centre Cryptologique National (CCN) avaient un rôle indicatif flou. La réforme a clarifié que certaines instructions techniques seraient d'application obligatoire pour les administrations et régiraient des questions comme le rapport sur l'état de la sécurité, la notification des incidents, la conformité ou l'acquisition de produits de sécurité. C'est là qu'a été semée la graine de l'écosystème de guides aujourd'hui indispensable pour implanter l'ENS.
Deuxièmement, il a renforcé le rôle du CCN-CERT, la capacité de réponse aux incidents du Centre Cryptologique National, comme référent de coordination face aux cybermenaces visant le secteur public.
Troisièmement, il a actualisé l'Annexe II des mesures et simplifié l'Annexe III d'audit, et a aligné l'ENS avec le contexte européen, notamment le Règlement (UE) 910/2014 (eIDAS) sur l'identification électronique et les services de confiance.
Il convient de garder à l'esprit une chose : durant la période 2015-2022, lorsque quelqu'un parlait de « l'ENS », il se référait au DR 3/2010 dans sa rédaction donnée par le DR 951/2015. C'était la même réglementation, pas deux schémas distincts.
2022 : le Décret Royal 311/2022 abroge le DR 3/2010
Le point d'inflexion est arrivé en mai 2022. Le Décret Royal 311/2022, du 3 mai, réglementant le Schéma National de Sécurité a été publié au BOE n° 106, du 4 mai 2022 (référence BOE-A-2022-7191) et est entré en vigueur le 5 mai 2022. Sa disposition abrogatoire était sans équivoque : il supprime le Décret Royal 3/2010, du 8 janvier, et toutes les dispositions de rang égal ou inférieur qui s'y opposent.
Il y a un détail juridique que presque personne ne mentionne et qui me semble essentiel pour comprendre l'histoire. Le DR 3/2010 découlait de l'article 42 de la Loi 11/2007. Mais la Loi 11/2007 a été abrogée en 2015 par les Lois 39/2015 et 40/2015. Le DR 311/2022 n'est plus pris en application de l'ancienne LAECSP, mais de l'article 156 de la Loi 40/2015, du 1er octobre, sur le Régime Juridique du Secteur Public, qui est désormais le siège de la base légale de l'ENS. Autrement dit : la réforme de 2022 n'était pas seulement une mise à jour technique, mais aussi une actualisation des fondements légaux du Schéma.
Quels changements fondamentaux en 2022 ?
Le DR 311/2022 n'était pas un simple maquillage. Il poursuit trois grands objectifs déclarés : aligner l'ENS avec le cadre normatif et le contexte stratégique en vigueur, introduire la capacité d'ajuster ses exigences à la réalité de certains types d'entités ou de systèmes, et faciliter une meilleure réponse face aux cybermenaces. Voici les changements qui ont le plus d'impact en pratique :
Les 73 mesures réorganisées en trois cadres. L'Annexe II du DR 311/2022 structure les mesures de sécurité en trois blocs : le cadre organisationnel (comment la sécurité est gouvernée : politique, réglementation, procédures, autorisation), le cadre opérationnel (comment les systèmes sont gérés au quotidien : planification, contrôle d'accès, exploitation, continuité, surveillance) et les mesures de protection (contrôles techniques sur les installations, le personnel, les équipements, les communications, les supports, les applications, l'information et les services). Au total, 73 mesures qui remplacent l'ancien catalogue avec une logique plus claire.
Profils de conformité spécifiques. C'est pour moi la nouveauté la plus utile. L'article 30 du DR 311/2022 autorise des profils de conformité adaptés à des catégories précises d'entités ou de types de système, de manière à pouvoir appliquer l'ENS de façon proportionnée sans renoncer au niveau de protection. Cela a ouvert la porte à des profils pour les petites collectivités ou pour certains services, ce que le DR 3/2010 ne prévoyait pas avec cette flexibilité.
Renforcement de la chaîne d'approvisionnement. Le nouvel ENS met l'accent sur la sécurité des prestataires et sous-traitants, reconnaissant que de nombreux incidents entrent par des tiers. C'est pourquoi la conformité à l'ENS s'est de facto étendue aux entreprises qui fournissent des services à l'administration.
Surveillance continue. Le principe de surveillance continue et de réévaluation permanente est intégré avec plus de force, par opposition à la photo statique qui dominait l'approche initiale.
Régime de notification des incidents. L'ENS de 2022 articule la notification au CCN-CERT avec des délais selon l'impact de l'incident, ce qui professionnalise la réponse face aux attaques.
Ligne du temps de l'ENS espagnol : DR 3/2010 → DR 951/2015 → DR 311/2022
Pour le voir en un coup d'œil, voici l'évolution complète du Schéma National de Sécurité espagnol avec ses références réglementaires vérifiées dans le BOE :
| Réglementation | Date BOE | Base légale | Nouveautés clés | Situation actuelle |
|---|---|---|---|---|
| DR 3/2010, du 8 janvier | BOE n° 25, du 29/01/2010 | Art. 42 de la Loi 11/2007 (LAECSP) | Crée l'ENS : principes de base, exigences minimales, catégorisation des systèmes et mesures par niveaux | Abrogé depuis le 05/05/2022 |
| DR 951/2015, du 23 octobre | BOE n° 264, du 04/11/2015 | Modifie le DR 3/2010 | Guides CCN-STIC obligatoires, renforcement du CCN-CERT, actualisation de l'Annexe II, alignement avec eIDAS | Sans effet : modifiait une réglementation déjà abrogée |
| DR 311/2022, du 3 mai | BOE n° 106, du 04/05/2022 | Art. 156 de la Loi 40/2015 (LRJSP) | 73 mesures en 3 cadres, profils de conformité, chaîne d'approvisionnement, surveillance continue | En vigueur |
La lecture est simple : il n'existe qu'un seul ENS en vigueur aujourd'hui, celui du DR 311/2022. Le DR 3/2010 et sa modification de 2015 appartiennent à l'histoire réglementaire, utile pour comprendre l'origine mais inapplicable comme exigence.
Pourquoi le Schéma National de Sécurité espagnol a-t-il été mis à jour ?
Lorsqu'un client me demande pourquoi il a fallu changer une réglementation qui « fonctionnait », je lui donne généralement trois raisons. La première est technologique : en 2010, le cloud, la mobilité massive, les services gérés par des tiers et le ransomware industrialisé n'étaient pas ce qu'ils sont aujourd'hui. Un schéma conçu pour une administration majoritairement on-premise s'est révélé insuffisant face à un environnement de services distribués et de menaces professionnelles.
La deuxième raison est juridique. Comme je l'ai expliqué précédemment, la Loi 11/2007 qui donnait sa base légale au DR 3/2010 a disparu en 2015. Maintenir un règlement adossé à une loi abrogée est, au minimum, inconfortable. Le DR 311/2022 réancre l'ENS dans la Loi 40/2015, qui est le siège naturel du régime juridique du secteur public et de ses relations électroniques.
La troisième est stratégique. L'ENS a cessé d'être un sujet exclusivement interne à l'administration pour devenir un levier de cybersécurité nationale qui entraîne tout l'écosystème des prestataires. La réforme de 2022 prend acte de cette réalité : elle étend son influence à la chaîne d'approvisionnement et se coordonne mieux avec le cadre européen (directive NIS, puis NIS2) et avec le reste des obligations de cybersécurité. En pratique, cela fait de l'ENS une exigence commerciale pour de nombreuses entreprises privées, pas seulement une obligation d'organismes publics.
Si vous recherchez le DR 3/2010, voici ce que vous devez faire
Je vais être très direct, car c'est l'erreur que je vois le plus souvent. Si vous êtes arrivé ici depuis un cahier des charges, un modèle ou un cours qui cite le « Décret Royal 3/2010 », ne travaillez pas sur ce texte : il est abrogé. Vérifiez la date de vos documents internes et migrez toute référence vers le DR 311/2022. Un cahier des charges qui exige encore le « respect du DR 3/2010 » est, techniquement, en train d'exiger une réglementation inexistante, ce qui peut générer des problèmes d'interprétation.
Si votre organisation doit se conformer à l'ENS en vigueur ou renouveler sa conformité, le processus a changé par rapport à 2010 : il repose aujourd'hui sur des profils de conformité, sur les guides CCN-STIC mis à jour et sur un schéma de certification plus mature.
Questions fréquentes
Le DR 3/2010 est-il encore en vigueur ?
Non. Le Décret Royal 3/2010, du 8 janvier, a été expressément abrogé par la disposition abrogatoire du Décret Royal 311/2022, du 3 mai, entré en vigueur le 5 mai 2022. Depuis cette date, le seul Schéma National de Sécurité espagnol applicable est celui du DR 311/2022. Tout document qui exige encore le DR 3/2010 est obsolète.
Quelle est la différence entre le DR 3/2010 et le DR 311/2022 ?
Le DR 3/2010 était la réglementation fondatrice de l'ENS, prise en application de l'article 42 de la Loi 11/2007. Le DR 311/2022 l'abroge et le remplace en application de l'article 156 de la Loi 40/2015. Sur le plan technique, celui de 2022 réorganise les mesures en 73 contrôles regroupés en trois cadres (organisationnel, opérationnel et de protection), introduit des profils de conformité spécifiques, renforce la sécurité de la chaîne d'approvisionnement et la surveillance continue, et s'aligne avec le cadre européen de cybersécurité.
Quand l'ENS espagnol a-t-il été créé ?
Le Schéma National de Sécurité espagnol a été créé formellement avec le Décret Royal 3/2010, du 8 janvier, publié au BOE du 29 janvier 2010. Son origine légale est l'article 42 de la Loi 11/2007, du 22 juin, sur l'accès électronique des citoyens aux services publics, qui en 2007 avait déjà prévu la nécessité d'un schéma de sécurité commun pour l'administration électronique.
Pourquoi le Schéma National de Sécurité espagnol a-t-il été mis à jour ?
Pour trois raisons combinées : l'évolution technologique (cloud, mobilité, services de tiers, cybermenaces professionnalisées) qui a rendu insuffisant le design de 2010 ; le changement du cadre légal, car la Loi 11/2007 qui soutenait le DR 3/2010 a été abrogée en 2015 et la base légale a été transférée à la Loi 40/2015 ; et la nécessité stratégique d'étendre la sécurité à la chaîne d'approvisionnement et de mieux se coordonner avec le cadre européen de cybersécurité.
Le DR 951/2015 a-t-il encore un effet ?
Non de façon autonome. Le Décret Royal 951/2015 était une modification du DR 3/2010, pas une réglementation indépendante. Le DR 3/2010 ayant été abrogé par le DR 311/2022, les modifications de 2015 ont perdu leur objet. Sa valeur aujourd'hui est historique : elle montre comment l'ENS s'est durci entre 2010 et 2022.
L'ENS espagnol concerne-t-il uniquement les administrations publiques ?
Pas seulement. L'ENS oblige directement le secteur public, mais le DR 311/2022 renforce la sécurité de la chaîne d'approvisionnement, de sorte que les entreprises qui fournissent des services à l'administration doivent généralement accréditer leur conformité à l'ENS. C'est pourquoi il est devenu une exigence fréquente dans les appels d'offres et les marchés publics.
Sources
- BOE — Décret Royal 3/2010, du 8 janvier, réglementant le Schéma National de Sécurité dans le domaine de l'Administration Électronique (BOE-A-2010-1330)
- BOE — Décret Royal 951/2015, du 23 octobre, modifiant le Décret Royal 3/2010 (BOE-A-2015-11881)
- BOE — Décret Royal 311/2022, du 3 mai, réglementant le Schéma National de Sécurité (BOE-A-2022-7191)
- CCN — Portail de l'ENS : réglementation du Schéma National de Sécurité
- CCN — ENS : questions fréquentes
- Portail de l'Administration Électronique (administracionelectronica.gob.es)
Contenu élaboré par Ángel Ortega Castro. Informations indicatives à la date de rédaction ; l'état du programme peut évoluer. Consultez toujours le BOE et Red.es pour connaître les délais en vigueur.