Le Schéma National de Sécurité (ENS espagnol) est obligatoire pour le secteur public espagnol ; ISO 27001 est volontaire et internationale. Les deux référentiels partagent 70 % des contrôles et peuvent s'intégrer.
Beaucoup d'organisations font face à un dilemme légitime : ai-je besoin du Schéma National de Sécurité (ENS espagnol), de l'ISO 27001 ou des deux ? La réponse dépend du contexte, mais nous anticipons que de plus en plus d'entreprises travaillant avec le secteur public auront besoin des deux. Ce guide compare les deux cadres en profondeur pour vous aider à décider et, si les deux sont nécessaires, à exploiter les synergies pour réduire coûts et délais.
Origine et nature de chaque cadre
Le Schéma National de Sécurité (ENS espagnol) est un cadre réglementaire espagnol ayant force de loi. Il est régi par le décret royal 311/2022 et son respect est obligatoire pour le secteur public et ses prestataires technologiques. Son périmètre est exclusivement national.
L'ISO 27001 est un standard international volontaire publié par l'ISO/IEC. Il fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI). Son adoption est volontaire (sauf quand exigée contractuellement) et bénéficie d'une reconnaissance mondiale.
Portée et champ d'application
Le Schéma National de Sécurité s'applique exclusivement aux systèmes d'information du secteur public espagnol et de ses prestataires. La portée est déterminée par la catégorie du système et ne peut être limitée arbitrairement.
L'ISO 27001 laisse l'organisation définir librement la portée de son SMSI. Une entreprise peut certifier un département, un service spécifique ou l'ensemble de l'organisation. Cette flexibilité est un avantage pour une certification progressive, mais aussi un risque si la portée est définie trop étroitement.
Structure des contrôles : comparaison détaillée
Le Schéma National de Sécurité établit 73 contrôles organisés en trois cadres (organisationnel, opérationnel et mesures de protection). Les contrôles sont précis, prescriptifs, avec niveaux d'applicabilité définis par catégorie. Aucune marge pour exclure des contrôles applicables à votre catégorie.
L'ISO 27001:2022 définit 93 contrôles dans son Annexe A, organisés en quatre thèmes (organisationnels, personnes, physiques et technologiques). La Déclaration d'Applicabilité permet d'exclure des contrôles avec justification, ce qui offre davantage de flexibilité.
Cartographie des contrôles entre les deux cadres
Il existe un recouvrement significatif. Environ 70 % des contrôles du Schéma National de Sécurité ont un équivalent direct ou partiel dans l'Annexe A de l'ISO 27001. Une organisation qui respecte déjà l'ISO 27001 dispose d'une base solide pour aborder le ENS, et inversement.
Les différences principales se trouvent dans les contrôles spécifiques au Schéma National de Sécurité qui n'ont pas d'équivalent ISO 27001 : utilisation de produits qualifiés du catalogue CPSTIC du CCN, exigences d'interconnexion entre administrations, catégorisation formelle par dimensions DICAT.
Analyse de risques : deux approches différentes
Le Schéma National de Sécurité référence explicitement MAGERIT comme méthodologie et PILAR comme outil, sans les imposer comme seules options. L'analyse doit couvrir les cinq dimensions DICAT (Disponibilité, Intégrité, Confidentialité, Authenticité, Traçabilité) et utiliser les catalogues d'actifs et de menaces MAGERIT.
L'ISO 27001 ne prescrit aucune méthodologie particulière. L'organisation peut utiliser toute approche systématique qui identifie les risques, en évalue probabilité et impact, et détermine le traitement adéquat. Cela permet d'utiliser ISO 31000, OCTAVE, NIST ou toute autre méthodologie reconnue.
Processus de certification : similitudes et différences
Les deux certifications nécessitent un audit externe par une entité accréditée. Pour le ENS, l'accréditation est délivrée par l'ENAC selon le schéma du CCN. Pour l'ISO 27001, l'ENAC selon l'ISO/IEC 17021. Souvent les mêmes entités (AENOR, Bureau Veritas, BSI, SGS) sont accréditées pour les deux.
Cycle de certification : biennal pour le ENS (2 ans avec suivi intermédiaire), triennal pour ISO 27001 (3 ans avec suivis annuels). En les coordonnant, les audits peuvent être programmés pour minimiser la charge sur l'organisation.
Quand n'a-t-on besoin que du Schéma National de Sécurité ?
Vous n'avez besoin que du ENS si votre organisation est un organisme public sans projection internationale, ou si vous êtes prestataire technologique dont la seule exigence contractuelle est la conformité ENS. Dans ces cas, l'ISO 27001 n'apporte pas de valeur additionnelle justifiant l'investissement.
Quand n'a-t-on besoin que de l'ISO 27001 ?
L'ISO 27001 suffit si votre entreprise opère exclusivement dans le secteur privé, ne travaille pas avec l'Administration publique espagnole et a besoin d'un cadre de sécurité reconnu internationalement.
Quand a-t-on besoin des deux ?
De plus en plus d'organisations ont besoin des deux certifications. Ce scénario se présente quand votre entreprise est prestataire technologique de l'Administration et opère aussi dans le privé national et international, quand les clients publics exigent le ENS et les clients privés l'ISO 27001, quand vous cherchez la reconnaissance maximale tant nationale qu'internationale, ou quand vous voulez profiter du ENS pour obtenir aussi l'ISO 27001 à coût incrémental réduit.
Synergies et économies en implantation conjointe
L'implantation simultanée des deux peut générer 30-40 % d'économies par rapport à des projets séparés. Zones de synergie significatives :
- Système de gestion de la sécurité (commun aux deux).
- Politique de sécurité (un seul document couvrant les deux référentiels).
- Analyse de risques (MAGERIT satisfait les deux cadres).
- Documentation opérationnelle (procédures partagées).
- Formation et sensibilisation du personnel.
- Audits (possibles de manière intégrée).
Tableau récapitulatif
| Critère | Schéma National de Sécurité (ENS) | ISO 27001 |
|---|---|---|
| Origine | Régulation nationale obligatoire | Standard international volontaire |
| Portée | Secteur public et prestataires | Définie par l'organisation |
| Contrôles | 73 prescriptifs | 93 (Déclaration d'Applicabilité) |
| Analyse de risques | MAGERIT référencée | Méthodologie libre |
| Cycle de certification | Biennal | Triennal |
| Reconnaissance | Nationale (Espagne) | Mondiale |
Questions fréquentes
Qui doit se conformer au Schéma National de Sécurité ?
Toutes les administrations publiques espagnoles et les prestataires privés qui leur fournissent des services TIC. La réponse dépend de la relation contractuelle avec le secteur public.
Quelles sont les catégories ?
Trois catégories : BASIQUE, MOYENNE et ÉLEVÉE, selon l'impact d'un éventuel incident sur l'information traitée. La portée est déterminée par la catégorie et ne peut être limitée arbitrairement.
Quel est le délai de mise en conformité ?
Le décret royal 311/2022 a fixé des délais différenciés selon la situation de départ ; en règle générale, 24 mois depuis la publication. Le ENS est un cadre réglementaire à force de loi.
Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME. En lien : Qui doit se conformer au Schéma National de Sécurité.
Besoin d'aide sur ce sujet ?
Travaillons ensemble sur votre stratégie ENS / ISO 27001
Conseil sur mesure en sécurité de l'information. Première séance sans frais.
Réserver une séance →Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le coût en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle réglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro