ES EN FR DE Rechercher
Premier entretien →
Conformité

Qui doit se conformer au Schéma National de Sécurité (ENS espagnol) ?

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Par Ángel Ortega Castro11 min de lecture · 2 050 mots
Mis à jour le

Le Schéma National de Sécurité (ENS espagnol) est obligatoire pour les administrations publiques espagnoles et pour les entreprises privées qui leur fournissent des services TIC, conformément au décret royal 311/2022.

Une question revient en permanence : mon entreprise doit-elle se conformer au Schéma National de Sécurité (ENS espagnol) ? La réponse dépend de votre relation avec le secteur public et du type de services que vous fournissez. Dans ce guide, nous analysons en détail qui est obligé, qui devrait l'être sans le savoir et quelles sont les conséquences d'un non-respect.

Obligation directe : le secteur public

L'article 2 du décret royal 311/2022 dispose que le Schéma National de Sécurité s'applique à l'ensemble du secteur public, au sens de la Loi 40/2015. Cela inclut l'Administration générale de l'État (ministères, organismes autonomes, agences étatiques), les Communautés autonomes et leurs organismes dépendants, les Entités locales (mairies, conseils provinciaux, cabildos, conseils insulaires), les universités publiques et toute entité de droit public liée ou dépendante des précédentes.

Aucune exception de taille. Une mairie de 500 habitants a la même obligation légale de conformité ENS qu'un ministère, même si la catégorie de ses systèmes sera probablement différente et donc les contrôles applicables moins exigeants.

Obligation indirecte : le secteur privé

C'est ici que beaucoup d'entreprises découvrent une obligation qu'elles ignoraient. Le même article 2 du décret royal 311/2022 étend l'application du Schéma National de Sécurité aux systèmes d'information des entités du secteur privé lorsqu'elles fournissent des services ou des solutions aux entités du secteur public.

Entreprises obligées de facto

Sont soumises au Schéma National de Sécurité toutes les entreprises qui développent, maintiennent ou font évoluer des logiciels utilisés par des administrations publiques. Également : celles qui fournissent des services d'hébergement, de cloud computing ou d'infrastructure informatique au secteur public ; celles qui gèrent, traitent ou stockent de l'information classifiée par l'Administration ; les prestataires d'externalisation de services TIC pour des organismes publics ; les intégrateurs de systèmes déployant des solutions dans des environnements administratifs ; les opérateurs télécoms fournissant des services de communications au secteur public.

La chaîne d'approvisionnement numérique

L'obligation s'étend à toute la chaîne d'approvisionnement. Si votre entreprise est sous-traitante d'un prestataire direct de l'Administration et que de l'information du secteur public circule dans cette chaîne, le Schéma National de Sécurité s'applique. Beaucoup d'entreprises de second et troisième niveau l'ignorent jusqu'à ce que le titulaire principal leur exige des preuves de conformité.

Et les entreprises qui ne travaillent pas avec l'Administration ?

Si votre entreprise opère exclusivement dans le secteur privé sans relation contractuelle directe ou indirecte avec le secteur public, le Schéma National de Sécurité ne vous oblige pas légalement. Cependant, de plus en plus d'entreprises privées l'adoptent volontairement pour trois raisons :

Le Schéma National de Sécurité dans les appels d'offres publics

La tendance dans la commande publique espagnole est sans ambiguïté. De plus en plus de cahiers des charges incluent la certification ENS comme exigence de solvabilité technique — condition pour pouvoir soumissionner — ou comme critère d'évaluation valorisant les entreprises certifiées.

Dans les secteurs TIC, cybersécurité, conseil technologique et services numériques, cette certification devient un prérequis de fait pour accéder au marché public. Les entreprises qui n'anticipent pas cette tendance se retrouveront exclues d'opportunités significatives.

Checklist d'autodiagnostic : ai-je besoin de me conformer ?

Répondez aux questions suivantes pour déterminer si votre organisation est obligée :

Si vous avez répondu oui à l'une de ces questions, évaluez sérieusement votre mise en conformité.

Quelles conséquences en cas de non-respect ?

Le délai pour se mettre en conformité, c'est maintenant

Le décret royal 311/2022 ne prévoit pas de période de grâce. L'obligation est immédiate pour toutes les organisations incluses dans son champ d'application. Si votre entreprise travaille avec l'Administration sans avoir entamé son processus, vous accumulez un risque légal et opérationnel chaque jour qui passe.

La bonne nouvelle : il existe des aides comme le programme espagnol Kit Consulting qui peuvent financer jusqu'à 24 000 € du projet de mise en conformité, et un consultant spécialisé accélère sensiblement le processus.

Questions fréquentes

Qui doit se conformer au Schéma National de Sécurité ?

Toutes les administrations publiques espagnoles et les prestataires privés qui fournissent des services TIC au secteur public. La réponse dépend de la relation contractuelle et du type de services fournis.

Quelles sont les catégories du Schéma National de Sécurité ?

Il existe trois catégories : BASIQUE, MOYENNE et ÉLEVÉE, selon l'impact qu'aurait un incident de sécurité sur l'information traitée. Aucune exception par taille. Les contrôles applicables varient selon la catégorie.

Quel est le délai pour se mettre en conformité ?

Le décret royal 311/2022 a fixé des délais différenciés selon la situation de départ ; en règle générale, la mise en conformité doit être complète dans les 24 mois suivant sa publication. Le non-respect entraîne en premier lieu l'exclusion des appels d'offres exigeant la certification ENS.

Combien coûte la certification ENS ?

Le coût dépend de la catégorie : pour une PME il se situe en général entre 8 000 et 25 000 € en catégorie MOYENNE, en additionnant mise en conformité et audit externe. Le Kit Consulting peut financer jusqu'à 24 000 €.

Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME. En lien : ENS vs ISO 27001 : différences et choix.

Poursuivre en Conformité

Besoin d'aide sur ce sujet ?

Travaillons ensemble sur votre mise en conformité ENS

Conseil sur mesure pour la mise en conformité au Schéma National de Sécurité. Première séance sans frais.

Réserver une séance →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

Références: AENOR · BOE · ISO

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro