Le Schéma National de Sécurité (ENS espagnol) classe les systèmes en trois catégories — BÁSICA, MEDIA et ALTA — selon l'impact qu'aurait un incident sur les dimensions de sécurité du décret royal 311/2022.
La catégorisation est la décision fondatrice de tout projet d'adéquation au Schéma National de Sécurité (ENS espagnol). Elle détermine les contrôles applicables, la fréquence d'audit, l'usage de produits qualifiés CPSTIC et le budget. Ce guide explique en détail les trois catégories — BÁSICA, MEDIA et ALTA — et la méthode pour catégoriser correctement vos systèmes.
- Pourquoi une classification par catégories ?
- Les cinq dimensions de sécurité (DICAT)
- Catégorie BÁSICA
- Catégorie MEDIA
Pourquoi une classification par catégories ?
Le Schéma National de Sécurité (ENS espagnol) ne traite pas tous les systèmes de la même façon. L'effort de protection doit être proportionné à l'impact qu'aurait un incident sur l'information traitée et sur les services rendus. Le décret royal 311/2022 définit trois catégories — BÁSICA, MEDIA et ALTA — qui déterminent les contrôles applicables, la fréquence d'audit, l'usage obligatoire de produits CPSTIC et la rigueur exigée sur les preuves.
Une catégorisation correcte est la décision fondatrice du projet d'adéquation. Tout le reste — analyse de risques, déclaration d'applicabilité, plan d'adéquation, audit — découle de ce choix initial.
Les cinq dimensions de sécurité (DICAT)
La catégorisation s'effectue sur cinq dimensions : Disponibilité, Intégrité, Confidentialité, Authenticité et Traçabilité. Pour chaque dimension, on évalue l'impact que produirait un incident — BAJO, MEDIO ou ALTO — selon des critères définis dans l'Annexe I du décret royal 311/2022. La dimension à l'impact le plus élevé fixe la catégorie globale du système.
Cette logique évite d'appliquer une catégorie ALTA uniforme à un système où seule une dimension (par exemple la confidentialité) le justifierait, et permet une adéquation ajustée.
Catégorie BÁSICA
La catégorie BÁSICA s'applique aux systèmes dont l'impact d'un incident reste limité : services à faible visibilité externe, information publique ou peu sensible, services dont l'indisponibilité courte est tolérable. Elle exige un sous-ensemble réduit de contrôles, autorise l'autoévaluation pour la certification et n'impose pas l'usage de produits CPSTIC.
Cette catégorie convient à beaucoup de petites mairies, à des unités administratives autonomes et à des services internes non critiques. Elle reste néanmoins une catégorie ENS pleine et entière, avec ses obligations documentaires et son cycle d'amélioration.
Catégorie MEDIA
La catégorie MEDIA s'applique aux systèmes dont un incident produirait un préjudice important : interruption de services pour les citoyens, perte d'information sensible mais non protégée par des dispositions particulières, atteinte à l'image institutionnelle. La majorité des administrations publiques espagnoles et des fournisseurs du secteur public se situent dans cette catégorie.
La catégorie MEDIA exige un audit externe biennal par une entité accréditée, un panel élargi de contrôles, et l'usage de produits CPSTIC pour certaines familles (pare-feu, chiffrement, authentification).
Catégorie ALTA
La catégorie ALTA s'applique aux systèmes critiques : information classifiée, services essentiels au sens de la directive NIS2, données dont la divulgation porterait gravement atteinte aux personnes ou à l'État, infrastructures stratégiques. L'effort de sécurité est maximal : chiffrement avancé, surveillance continue, séparation des environnements, contrôles renforcés sur le personnel et plans de continuité testés régulièrement.
L'audit externe biennal est obligatoire et la documentation exigée est plus dense. L'usage de produits CPSTIC qualifiés niveau ALTO est requis pour les familles critiques.
Comment catégoriser correctement ?
Le processus de catégorisation comporte cinq étapes. Étape un : identifier le ou les systèmes dans le périmètre. Étape deux : pour chaque dimension de sécurité, identifier les critères d'impact applicables (réglementation, économie, image, sûreté). Étape trois : évaluer l'impact d'un incident sur chaque dimension (BAJO, MEDIO, ALTO). Étape quatre : déterminer la catégorie globale du système par la dimension la plus élevée. Étape cinq : documenter la justification dans le rapport de catégorisation.
Cette justification est l'un des premiers documents que l'auditeur examine. Une catégorisation sans justification écrite et signée est immédiatement contestée.
Effets concrets de la catégorie
Trois effets découlent directement de la catégorie. Premier effet : nombre et profondeur des contrôles applicables, formalisés dans la déclaration d'applicabilité. Deuxième effet : exigence d'audit externe et fréquence. Troisième effet : usage obligatoire de produits qualifiés CPSTIC pour certaines fonctions techniques. Indirectement, la catégorie détermine aussi le budget et le calendrier réalistes du projet d'adéquation.
Coûts indicatifs par catégorie
Pour une PME espagnole, le budget initial d'adéquation se situe approximativement entre 10.000 € et 25.000 € en catégorie BÁSICA, entre 30.000 € et 90.000 € en catégorie MEDIA, et au-delà de 90.000 € en catégorie ALTA, hors investissements techniques majeurs. Le maintien annuel représente généralement 25 à 40 % du budget initial. Ces fourchettes intègrent conseil, audit externe et préparation interne.
Erreurs fréquentes de catégorisation
La première erreur est la sous-catégorisation par méconnaissance ou pour réduire l'effort : elle aboutit à des non-conformités lors de l'audit et à des sanctions en cas d'incident. La deuxième erreur est la surcatégorisation par prudence excessive : elle alourdit le projet et démobilise les équipes face à un effort disproportionné. La troisième erreur est de catégoriser une seule fois pour toujours, sans revue lors d'évolutions majeures du système ou du contexte réglementaire.
Catégoriser, c'est décider
La catégorisation n'est pas un exercice technique neutre. C'est une décision de gouvernance qui engage la responsabilité de la direction, qui détermine l'allocation budgétaire et qui fixe le niveau de service attendu. Elle mérite la même attention qu'un investissement stratégique majeur, avec validation formelle par la direction et revue périodique.
Vous hésitez sur la catégorie applicable à vos systèmes ? Contactez-moi pour un atelier de catégorisation rigoureux qui sécurisera la suite de votre projet d'adéquation au ENS.
Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.
Besoin d'aide sur ce sujet ?
Travaillez avec moi sur l'adéquation au ENS
Conseil sur mesure en adéquation au Schéma National de Sécurité espagnol. Première session sans frais.
Réserver une session →Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le coût en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle réglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro