ángelortega · aoc

Schéma National de Sécurité · article

73 contrôles du ENS expliqués avec applicabilité par catégorie

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Publié le 2026-05-08 · Mis à jour le 2026-05-21 · Aranda de Duero · Espagne

Le Schéma National de Sécurité (ENS espagnol) définit 73 contrôles répartis en trois cadres : organisationnel (op), opérationnel (op) et mesures de protection (mp), avec une applicabilité différenciée par catégorie.

Les 73 contrôles de l'Annexe II du Schéma National de Sécurité (ENS espagnol) constituent la colonne vertébrale de la conformité. Comprendre leur structure, leur logique et leur applicabilité par catégorie est indispensable pour bâtir un plan d'adéquation réaliste et défendable en audit. Ce guide décompose le référentiel par cadres et propose une priorisation pratique.

TL;DR · résumé
  • Structure générale des 73 contrôles
  • Cadre organisationnel (org)
  • Cadre opérationnel (op)
  • Mesures de protection (mp)

Structure générale des 73 contrôles

L'Annexe II du décret royal 311/2022 organise les exigences du Schéma National de Sécurité (ENS espagnol) en 73 contrôles répartis en trois cadres complémentaires : cadre organisationnel (op), cadre opérationnel (op) et mesures de protection (mp). Chaque contrôle dispose d'une applicabilité différenciée selon la catégorie BÁSICA, MEDIA ou ALTA, et selon les dimensions de sécurité concernées.

Cette structure permet d'adapter l'effort à l'impact réel. Une mairie de catégorie BÁSICA n'applique pas les mêmes contrôles qu'un opérateur de services essentiels en catégorie ALTA.

Cadre organisationnel (org)

Le cadre organisationnel établit la gouvernance : politique de sécurité signée par la direction, normes de sécurité, procédures, processus d'autorisation, désignation des responsables (responsable de l'information, responsable du service, responsable de la sécurité, responsable du système). Ces rôles doivent être distincts et formalisés, sans confusion entre fonctions opérationnelles et de contrôle.

L'erreur fréquente consiste à attribuer plusieurs rôles à une même personne sans documentation, ce qui crée un conflit d'intérêts immédiatement détecté en audit.

Cadre opérationnel (op)

Le cadre opérationnel couvre la planification, le contrôle d'accès, l'exploitation, les services externes, la continuité et la surveillance. Il contient les contrôles qui rythment la vie quotidienne du système : analyse de risques, gestion des configurations, gestion des changements, gestion des incidents, plans de continuité et tests associés.

C'est le cadre le plus volumineux et le plus exigeant en preuves opérationnelles. Sans registres datés et signés, ces contrôles génèrent systématiquement des non-conformités.

Mesures de protection (mp)

Les mesures de protection s'appliquent à cinq objets : installations et infrastructure (mp.if), personnel (mp.per), équipements (mp.eq), communications (mp.com), supports d'information (mp.si), applications informatiques (mp.sw), information (mp.info) et services (mp.s). Chaque objet possède ses propres contrôles, du contrôle d'accès physique au chiffrement, en passant par la sensibilisation et la gestion des supports amovibles.

C'est dans ce cadre que se concentrent les investissements techniques visibles : pare-feu, EDR, chiffrement, MFA, segmentation réseau, sauvegarde et restauration.

Applicabilité par catégorie

La catégorie BÁSICA applique un sous-ensemble réduit de contrôles, suffisant pour les services à faible impact. La catégorie MEDIA renforce les exigences sur la disponibilité, l'intégrité et la traçabilité. La catégorie ALTA exige des contrôles supplémentaires sur la confidentialité, le chiffrement avancé et la surveillance continue.

La déclaration d'applicabilité formalise ce choix : chaque contrôle est marqué applicable, non applicable avec justification, ou compensé par une mesure alternative équivalente.

Liens avec d'autres référentiels

Les contrôles du ENS sont largement compatibles avec ISO/IEC 27001 et ISO/IEC 27002. Une organisation déjà certifiée ISO 27001 dispose d'une base solide : la mise en correspondance contrôle par contrôle accélère l'adéquation au ENS d'environ 30 à 40 % du temps habituel.

Le ENS introduit cependant des exigences propres au contexte espagnol, en particulier les rôles différenciés, les obligations envers le secteur public et l'usage du catalogue CPSTIC pour certaines familles de produits.

Erreurs fréquentes dans l'application des contrôles

La première erreur est de traiter chaque contrôle comme une case à cocher, sans logique d'ensemble. Le ENS attend une démarche cohérente où analyse de risques, plan d'adéquation et contrôles se répondent. La deuxième erreur est de copier la déclaration d'applicabilité d'une autre organisation : l'auditeur le détecte en quelques minutes. La troisième erreur est de négliger les contrôles organisationnels au profit des contrôles techniques : les premiers déterminent la gouvernance qui rend les seconds opérationnels.

Priorisation pour un projet d'adéquation

Une priorisation pragmatique commence par les contrôles bloquants : politique de sécurité, désignation des rôles, analyse de risques, plan d'adéquation, déclaration d'applicabilité. Puis viennent les contrôles à fort impact opérationnel : sauvegarde et restauration, contrôle d'accès, gestion des incidents, surveillance. Enfin les contrôles spécialisés selon la catégorie.

Cette priorisation évite de gaspiller des efforts sur des contrôles secondaires tant que les fondations ne sont pas posées.

Maintien dans la durée

Les contrôles vivent. Chaque changement organisationnel, technique ou réglementaire impose une revue. Le cycle annuel doit prévoir : revue de la déclaration d'applicabilité, mise à jour de l'analyse de risques, audit interne par échantillonnage de contrôles, et préparation de l'audit de suivi externe. Sans cette discipline, la conformité se dégrade silencieusement entre deux audits.

Vous voulez aligner votre organisation sur les 73 contrôles du ENS sans gaspillage ? Contactez-moi pour bâtir une déclaration d'applicabilité défendable et un plan d'adéquation priorisé.

Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.

Poursuivez votre lecture sur Conformité ENS

Besoin d'aide sur ce sujet ?

Travaillez avec moi sur l'adéquation au ENS

Conseil sur mesure en adéquation au Schéma National de Sécurité espagnol. Première session sans frais.

Réserver une session →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro