Délais d'adaptation à l'ENS : combien de temps et comment planifier

La question qui m'est le plus souvent posée lorsqu'une organisation découvre qu'elle est soumise à l'ENS n'est pas « que dois-je faire ? », mais « combien de temps vais-je mettre ? ». C'est une question légitime : derrière elle se cache un calendrier d'appel d'offres à respecter, un cahier des charges exigeant la conformité ou une inspection qui approche. Dans ce guide, j'explique honnêtement combien de temps prend l'adaptation à l'ENS, quelles phases comprend le Plan d'adaptation et comment construire un calendrier réaliste qui ne vous laisse pas en difficulté à mi-projet.

Je suis consultant en conformité et travaille sur l'adaptation à l'ENS avec des organisations en Castilla y León et aux Canaries. Ce que vous allez lire est vérifié à partir de la source primaire (le RD 311/2022 et les guides CCN-STIC de la série 800) et de l'expérience de projets réels, où le délai ne correspond presque jamais à celui figurant dans la brochure.

Existe-t-il un délai légal pour s'adapter à l'ENS ?

Oui, il y en a eu un, et il est utile de bien le comprendre car il génère beaucoup de confusion. Le Décret royal 311/2022, du 3 mai, qui régit l'ENS, est entré en vigueur le 5 mai 2022. Sa disposition transitoire unique a accordé un délai de vingt-quatre mois aux systèmes d'information préexistants pour atteindre leur pleine adaptation. Le calcul est direct : 5 mai 2022 + 24 mois = 5 mai 2024.

Ce délai transitoire est donc déjà expiré. Quiconque ne s'est pas encore adapté n'est pas « dans les délais » : il est en infraction à une obligation dont la date limite est passée. Et voici la nuance importante à ne pas négliger : l'ENS n'est pas une règle avec une « date d'expiration » de l'obligation. Si votre organisation entre dans le champ d'application, l'obligation de se conformer est permanente, qu'il existe ou non une période transitoire. Ce qui a expiré, c'est la période de grâce pour les systèmes déjà existants en 2022 ; tout nouveau système doit naître déjà conforme.

Pour les systèmes qui entrent dans le champ de l'ENS pour une cause survenue — par exemple, une PME qui signe un contrat avec une administration publique espagnole et se trouve obligée par le cahier des charges — l'« horloge » pratique est fixée par le contrat ou l'appel d'offres, et non par une disposition transitoire. C'est pourquoi le délai qui importe vraiment, dans la plupart des projets du secteur privé, est celui fixé par le client public. Si vous souhaitez approfondir quand et pourquoi l'ENS s'impose aux entreprises, je le développe dans le guide sur quand l'ENS est obligatoire pour les entreprises et les prestataires.

Qu'est-ce que le Plan d'adaptation à l'ENS ?

Le Plan d'adaptation est le document qui organise l'ensemble du projet. Il est décrit dans le guide CCN-STIC-806, la référence officielle du Centre cryptologique national pour cette tâche. Ce n'est pas une formalité bureaucratique supplémentaire : c'est la feuille de route qui transforme « je dois me conformer à l'ENS » en une séquence d'actions avec des responsables et des délais.

Selon la CCN-STIC-806, le Plan d'adaptation comprend au minimum les éléments suivants :

• La politique de sécurité de l'organisation, conforme à l'Annexe II de l'ENS (ou la planification pour la créer ou la modifier si elle n'existe pas).
• Les informations traitées et leur valorisation.
• Les services rendus et leur valorisation.
• Les données à caractère personnel gérées, en raison de leur lien avec le RGPD.
• La catégorie du système (basique, moyenne ou élevée) résultant de la valorisation.
• La déclaration d'applicabilité des mesures de l'Annexe II.
• L'analyse des risques et la cartographie des risques actuelle.
• Les insuffisances du système par rapport aux exigences.
• Le plan d'amélioration de la sécurité, avec son calendrier d'exécution.

Notez ce dernier point : le Plan d'adaptation inclut son propre calendrier. Lorsqu'il est bien rédigé, le Plan contient déjà les dates de mise en œuvre de chaque mesure. C'est pourquoi la meilleure réponse à « combien de temps vais-je mettre ? » est : « jusqu'à ce que vous ayez catégorisé le système et réalisé l'analyse des risques, tout délai est une estimation ; le Plan d'adaptation est ce qui le convertit en engagement avec des dates. »

Quelles sont les phases d'adaptation à l'ENS ?

Le processus complet, de la décision de la direction jusqu'à la conformité, peut s'organiser en huit phases. Elles n'ont pas toutes le même poids : les premières sont rapides et documentaires ; la mise en œuvre des mesures est celle qui consomme le calendrier.

1. Décision et lancement. La direction approuve le projet et désigne les rôles de l'ENS : responsable de l'information, du service, de la sécurité et du système. Sans cette étape, le projet n'a personne pour en répondre.
2. Catégorisation du système. Les informations et services sont évalués selon les cinq dimensions de sécurité (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour obtenir la catégorie : basique, moyenne ou élevée. Cette décision conditionne tout le reste du calendrier.
3. Analyse des risques. Les actifs, les menaces et les sauvegardes existantes sont identifiés pour obtenir la cartographie des risques actuelle. Elle s'appuie généralement sur MAGERIT ou une méthodologie équivalente.
4. Déclaration d'applicabilité. Les mesures de l'Annexe II applicables sont sélectionnées selon la catégorie, les données personnelles traitées et le résultat de l'analyse des risques.
5. Rédaction du Plan d'adaptation. Tout ce qui précède est consolidé dans le document CCN-STIC-806, avec le plan d'amélioration et son calendrier.
6. Mise en œuvre des mesures. Le plan d'amélioration est exécuté. C'est la phase la plus longue et la plus variable, car elle dépend du nombre de mesures manquantes et de leur difficulté technique et organisationnelle.
7. Vérification. Auto-évaluation pour la catégorie basique ; audit formel pour les catégories moyenne et élevée.
8. Déclaration ou certification de conformité. La clôture formelle qui atteste du respect des exigences.

Calendrier indicatif d'adaptation à l'ENS par phase, avec durée estimée et responsable principal. Élaboration propre (Summum Marketing) d'après la CCN-STIC-806 ; les plages sont des estimations de projet, pas des délais légaux.

Phase	Ce qui est fait	Durée estimée	Responsable principal
1. Décision et lancement	Approbation de la direction et désignation des rôles	1–3 semaines	Direction
2. Catégorisation	Évaluation selon les 5 dimensions et catégorie	2–3 semaines	Resp. sécurité + resp. info./service
3. Analyse des risques	Cartographie des risques actuelle (MAGERIT ou équivalent)	3–6 semaines	Resp. sécurité
4. Déclaration d'applicabilité	Sélection des mesures de l'Annexe II	2–4 semaines	Resp. sécurité
5. Plan d'adaptation	Document CCN-STIC-806 et plan d'amélioration	2–4 semaines	Resp. sécurité + consultant
6. Mise en œuvre des mesures	Exécution du plan d'amélioration	3–9 mois	Resp. système + IT
7. Vérification	Auto-évaluation (basique) ou audit (moyenne/élevée)	4–8 semaines	Auditeur / équipe interne
8. Conformité	Déclaration ou certification et badge	2–4 semaines	Resp. sécurité + organisme de certification

Combien de temps faut-il pour se conformer à l'ENS selon la catégorie ?

• Catégorie basique. Moins de mesures de l'Annexe II, vérification par auto-évaluation et clôture par déclaration de conformité. C'est la voie la plus agile : avec une organisation de départ raisonnable, 3–6 mois est atteignable.
• Catégorie moyenne. Plus de mesures exigibles et audit obligatoire par un organisme de certification accrédité. Le délai réaliste monte à 6–12 mois.
• Catégorie élevée. L'ensemble complet des mesures renforcées et un audit formel. Ici, 9–12 mois est la norme, et les projets complexes dépassent cela.

Quelle est la différence entre déclaration et certification de conformité ?

• Déclaration de conformité. S'applique aux systèmes de catégorie basique. Elle est émise par l'entité responsable du système après l'auto-évaluation. Plus rapide car elle ne requiert pas l'intervention d'un tiers accrédité.
• Certification de conformité. Obligatoire pour les catégories moyenne et élevée (et volontaire pour la basique). Émise par un organisme de certification accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Le certificat est valable deux ans, au terme desquels un audit de renouvellement est requis.

Comment construire un calendrier réaliste (sans se mentir) ?

L'erreur la plus courante que je constate est de traiter l'ENS comme un projet purement documentaire que l'on expédie en quelques semaines. Les phases 1 à 5 sont effectivement rapides ; le problème est la phase 6, la mise en œuvre. Voici les facteurs qui font vraiment bouger votre délai :

• Maturité de départ. Si vous disposez déjà d'une ISO 27001 ou de contrôles de sécurité bien établis, de nombreuses mesures de l'Annexe II sont déjà couvertes et le projet s'accélère notablement.
• Disponibilité réelle de l'équipe. Une analyse des risques ne se fait pas « entre deux réunions ». Si les personnes clés sont occupées à autre chose, le calendrier s'étire.
• Dépendances vis-à-vis de tiers. Migrations, contractualisation de prestataires ou changements d'infrastructure introduisent des délais hors de votre contrôle.
• Catégorie et voie de clôture. Comme vu, moyenne/élevée ajoute l'audit et la réservation de l'organisme de certification.
• Contrats et sous-traitance. Si votre obligation découle d'un service rendu à une administration publique espagnole, la chaîne de prestataires peut également devoir s'adapter.

Ma recommandation pratique : définissez la date cible (celle de l'appel d'offres ou du client public) et planifiez à rebours depuis là, en prévoyant une marge pour la vérification et la remédiation. Et commencez la catégorisation dès que possible, car tant que vous ne l'avez pas, toute promesse de délai est du vent.

FAQ — Questions fréquentes sur les délais de l'ENS

Combien de temps faut-il pour se conformer à l'ENS ?

Cela dépend surtout de la catégorie et de la maturité de départ. À titre indicatif : 3–6 mois pour la catégorie basique et 6–12 mois (ou plus) pour les catégories moyenne et élevée. La phase la plus longue est la mise en œuvre des mesures ; les phases documentaires avancent en quelques semaines.

Qu'est-ce que le Plan d'adaptation ?

C'est le document, décrit dans le guide CCN-STIC-806, qui organise l'ensemble du projet : politique de sécurité, valorisation des informations et services, catégorie, déclaration d'applicabilité, analyse des risques, insuffisances et plan d'amélioration avec son calendrier. C'est la feuille de route avec des dates.

Existe-t-il un délai légal pour s'adapter ?

Le régime transitoire du RD 311/2022 a accordé 24 mois aux systèmes préexistants à compter de son entrée en vigueur le 5 mai 2022, soit jusqu'au 5 mai 2024. Ce délai est expiré. L'obligation de se conformer, en revanche, est permanente ; les nouveaux systèmes doivent naître déjà conformes.

La certification expire-t-elle ?

La certification de conformité (obligatoire pour les catégories moyenne et élevée) est valable deux ans, au terme desquels un audit de renouvellement est requis. Il convient d'inclure ce renouvellement dans votre planification récurrente.

Sources

• BOE — Décret royal 311/2022, du 3 mai, réglementant l'ENS (texte consolidé, disposition transitoire unique).
• CCN-CERT — Guide CCN-STIC-806 : Plan d'adaptation à l'ENS.
• CCN-CERT — Guide CCN-STIC-808 : Vérification du respect de l'ENS.
• CCN-CERT — Guide CCN-STIC-809 : Déclaration et certification de conformité avec l'ENS.
• ENAC — Accréditation des organismes de certification de l'ENS (UNE-EN ISO/IEC 17065).

Contenu élaboré par Summum Marketing à des fins informatives. Il ne constitue pas un conseil juridique. Vérifiez toujours la version en vigueur des guides CCN-STIC avant de finaliser votre Plan d'adaptation.