ángelortega · aoc

Schéma National de Sécurité · article

Certification ENS : processus, exigences et coûts en 2026

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Publié le 2026-05-04 · Mis à jour le 2026-05-21 · Aranda de Duero · Espagne

La certification ENS atteste de la conformité d'une organisation aux exigences du Schéma National de Sécurité (ENS espagnol) ; elle est délivrée par des entités de certification accréditées par l'ENAC.

Obtenir la certification ENS est devenu un prérequis pour accéder aux marchés publics technologiques en Espagne. Au-delà des cahiers des charges, la certification structure la sécurité de l'information et rassure les parties prenantes. Ce guide complet présente le processus, les exigences réelles, les délais et les coûts d'une adéquation au Schéma National de Sécurité (ENS espagnol) en 2026.

TL;DR · résumé
  • Qu'est-ce que la certification ENS ?
  • Qui doit se conformer au ENS ?
  • Catégories et leur impact sur la certification
  • Phases du processus de certification

Qu'est-ce que la certification ENS ?

La certification ENS est une attestation formelle qui démontre la conformité d'une organisation au Schéma National de Sécurité (ENS espagnol). Elle est délivrée par des entités de certification accréditées par l'ENAC (Entidad Nacional de Acreditación) après un audit indépendant. La certification est valable trois ans, avec un audit de suivi annuel.

Bien que le ENS n'exige pas formellement la certification (il suffit de démontrer la conformité), de nombreux donneurs d'ordre publics demandent la certification dans leurs cahiers des charges, ce qui en fait un avantage concurrentiel décisif pour les fournisseurs du secteur public.

Qui doit se conformer au ENS ?

Doivent se conformer au ENS toutes les administrations publiques espagnoles et tous les fournisseurs privés qui prestent des services informatiques au secteur public, y compris hébergement cloud, développement, intégration, exploitation et maintenance. Le décret royal 311/2022 a élargi le périmètre et a clarifié les obligations des sous-traitants.

Pour les fournisseurs privés, le ENS est devenu un prérequis pour participer aux marchés publics technologiques. Sans conformité démontrable, l'accès au secteur public est de plus en plus restreint.

Catégories et leur impact sur la certification

Le ENS définit trois catégories : BÁSICA, MEDIA et ALTA. La catégorie détermine le nombre de contrôles applicables, l'exigence d'audit externe et la nécessité d'utiliser des produits qualifiés CPSTIC. La catégorie BÁSICA peut faire l'objet d'une autoévaluation, tandis que MEDIA et ALTA exigent un audit externe biennal.

La catégorisation s'effectue par dimension de sécurité (DICAT) et selon l'impact qu'aurait un incident. Une mauvaise catégorisation initiale est l'une des causes les plus fréquentes de retards et de surcoûts dans le projet d'adéquation.

Phases du processus de certification

Le processus typique comporte cinq phases. Phase un : diagnostic initial et catégorisation. Phase deux : analyse de risques selon MAGERIT et déclaration d'applicabilité. Phase trois : plan d'adéquation et mise en œuvre des contrôles. Phase quatre : audit interne et audit blanc. Phase cinq : audit externe par l'entité de certification et émission du certificat.

La durée totale d'un projet d'adéquation oscille entre six et dix-huit mois selon la maturité initiale, la catégorie applicable et la taille du périmètre.

Exigences documentaires

L'auditeur exige un minimum documentaire : politique de sécurité de l'information, analyse de risques, déclaration d'applicabilité, plan d'adéquation, procédures opérationnelles, registres d'incidents, registres de sensibilisation, contrats avec les sous-traitants incluant des clauses ENS, et rapports d'audit antérieurs lorsque applicable.

L'absence ou l'obsolescence de l'un de ces documents génère des non-conformités qui peuvent retarder la certification de plusieurs mois.

Entités de certification accréditées

L'ENAC publie la liste actualisée des entités accréditées pour certifier au ENS. Les principales en Espagne sont AENOR, Bureau Veritas, SGS, TÜV Rheinland, DEKRA et Applus+. Le choix d'une entité de certification se fait sur la base de l'expérience sectorielle, la couverture géographique, le calendrier disponible et le tarif.

Le coût d'un audit de certification varie selon la catégorie et la taille du périmètre. À titre indicatif, un audit ENS MEDIA pour un périmètre moyen coûte entre 8.000 € et 18.000 € pour le cycle de trois ans incluant les audits de suivi.

Coûts totaux d'une adéquation au ENS

Le budget total d'une adéquation comprend trois grands postes : conseil et accompagnement (entre 15.000 € et 80.000 € selon la catégorie et la maturité initiale), investissements techniques (chiffrement, sauvegarde, surveillance, produits CPSTIC), et coût de l'audit externe. À ces postes s'ajoute le coût interne d'allocation des équipes.

Pour une PME de catégorie MEDIA partant d'une base raisonnable, l'investissement initial total se situe généralement entre 40.000 € et 120.000 € la première année, avec des coûts récurrents de 15.000 € à 35.000 € par an pour le maintien.

Erreurs fréquentes qui coûtent cher

Démarrer la certification sans diagnostic initial sérieux est l'erreur la plus coûteuse : on aboutit à un projet sous-dimensionné qui nécessite des reprises. Choisir un cabinet de conseil sans expérience réelle ENS produit des livrables génériques que l'auditeur rejette. Sous-estimer l'effort de sensibilisation interne génère des non-conformités liées au facteur humain.

Maintien de la certification

Obtenir le certificat n'est pas une fin mais un début. Le ENS exige une amélioration continue : revue annuelle de l'analyse de risques, mise à jour de la déclaration d'applicabilité, gestion active des incidents, sensibilisation continue et préparation des audits de suivi annuels. Le système qui n'évolue pas perd sa certification.

Vous envisagez la certification ENS et vous voulez un calendrier réaliste avec un budget précis ? Contactez-moi pour un diagnostic initial et une feuille de route adaptée à votre contexte.

Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.

Poursuivez votre lecture sur Conformité ENS

Besoin d'aide sur ce sujet ?

Travaillez avec moi sur l'adéquation au ENS

Conseil sur mesure en adéquation au Schéma National de Sécurité espagnol. Première session sans frais.

Réserver une session →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro