Conformité et qualité · Espagne · FR

Plan de continuité d'activité selon ENS : guide pratique

Actualizado: 21 de mayo de 2026

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Le Plan de Continuité d'Activité (BCP) garantit l'opérationnel après un incident grave. Le Schéma National de Sécurité (ENS espagnol) l'exige en catégorie MOYENNE et HAUTE avec exercices annuels.

Le Plan de Continuité d'Activité (BCP) garantit la opérationnelle après un incident grave. Le ENS le exige en catégorie MOYENNE et HAUTE avec tests annuels.

La familia de contrôles op.cont du ENS etablit la obligation de disponer de un plan de continuité du service que garantice que la organisation peut continuer operando après un incident grave. Ce n'est pas un document que se redacta et se archiva: est un plan vivo que doit probarse, actualizarse et être connu par tout le personnel relevante. Les auditores ENS dedican especial atencion a ce contrôle parce que un plan de continuité que seulement existe sur le papel non protege a personne.

Pour le contexte général du ENS, consulta mia guide definitiva du Schéma National de Sécurité (ENS espagnol).

TL;DR · resume

Quels sont les exigences de ENS en continuité du service?
Le analyse d'impact en le activité (BIA)
Conception du plan de continuité
Le plan de reprise face a desastres technologiques (DRP)

Quels sont les exigences de ENS en continuité du service?

Les contrôles de continuité du service du ENS (op.cont) incluent quatre subcontroles. Le analyse d'impact (op.cont.1) exige identifier les services critiques et determinar les temps maximos de interrupcion tolerables. Le plan de continuité (op.cont.2) requiere un plan documente que etablit les actions a réaliser face a un incident que afecte a la continuité. Les tests periodicas (op.cont.3) exigent vérifier regularmente que le plan funciona. Y les moyens alternativos (op.cont.4) requiere disponer de ressources alternativos pour les elementos critiques.

La exigencia varia par catégorie. En catégorie BASSE, se requiere un analyse d'impact de base et un plan simplificado. En catégorie MOYENNE, le plan doit être complet, documente et probado au moins annuellement. En catégorie HAUTE, se exigent tests plus frecuentes, moyens alternativos opérationnels et temps de reprise definis et verificados.

Le analyse d'impact en le activité (BIA)

Le BIA est le punto de partida de tout plan de continuité. Sont objectif est determinar que services sont critiques pour la organisation, cual est le temps maximo de interrupcion tolerable pour chaque service (RTO, Recovery Time Objective), cuantos données peut permitirse perdre la organisation (RPO, Recovery Point Objective), et lesquels sont les ressources minimums necesarios pour mantener les services critiques en funcionamiento.

Pour realizarlo, identifie tous les services que presta tu organisation, valore le impact de la interrupcion de chaque service a le largo du temps (a les 4 heures, a les 24 heures, a les 48 heures, a la semana), determine le RTO et le RPO de chaque service, et identifie les dependencias entre services, applications, infraestructura et personnel.

Conception du plan de continuité

Le plan de continuité doit couvrir plusieurs escenarios de interrupcion. Les principaux sont la perte du centro de processus de données (incendio, inundacion, panne electrico prolongado), les cyberattaques que inutilicen les systèmes (ransomware, DDoS), la perte de conectividad a internet ou entre sedes, la indisponibilidad du personnel essentiel (pandemia, huelga) et le panne de un fournisseur critique.

Pour chaque escenario, le plan doit définir qui activa le plan et sous que criterios, que actions se ejecutan et en que orden, qui est responsable de chaque action, que ressources se ont besoin de (instalaciones alternativas, systèmes de backup, personnel de guardia), comme se comunica la situacion interne et externamente, et lesquels sont les criterios pour considerar resuelta la crisis.

Le plan de reprise face a desastres technologiques (DRP)

Le DRP est un composant especifico du plan de continuité centrado en la reprise de les systèmes de information. Debe detallar les procédures de restauracion de backups (verificando que les temps reales de restauracion respectent les RTO definis), les procédures de activacion de systèmes alternativos, la prioridad de reprise de systèmes et services, les contacts de emergencia de fournisseurs technologiques, et les procédures de verificacion post-reprise.

Un error trois frecuente est avoir un système de backup opérationnel mais non avoir verificado jamais que la restauracion funciona et que se complète dentro du RTO establecido. Les auditores ENS preguntan especificamente par les registres de tests de restauracion.

Programa de tests et exercices

Le ENS exige tests periodicas du plan de continuité. Les tests peuvent être de plusieurs tipos et niveaux de complejidad.

Les tests de revue documental verifican que le plan est actualizado et est coherente. Les tests de simulacion en mesa (tabletop exercises) reunen a les responsables pour recorrer un escenario hipotetico et vérifier que saben que faire. Les tests tecnicas parciales verifican composants especificos du plan (restauracion de backup, activacion de VPN alternativa). Y les exercices complets sont exercices a escala real que prueban le plan de extremo a extremo.

Comment minimum, la recomendacion est réaliser un tabletop exercise semestral et une test tecnica de restauracion annuel. Pour catégorie HAUTE, se recomienda en outre un exercice complet annuel.

Chaque test doit documentarse avec le escenario planteado, les participantes, les actions ejecutadas, les resultats obtenidos, les desviaciones respecto au plan, et les actions de amélioration derivadas.

Gestion de la communication pendant une crisis

Un aspecto frecuentemente olvidado est la communication pendant la crisis. Le plan doit inclure un protocolo de communication interne (comme se informa au personnel de la situacion et les instrucciones a continuer), un protocolo de communication avec les utilisateurs de les services afectados, un protocolo de notification a les autorites competentes (CCN-CERT pour incidents de cybersécurité, AEPD si il et a brechas de données personnelles), et un protocolo de communication avec fournisseurs implicados en la reprise.

Intégration avec ISO 22301

Si tu organisation a besoin de un cadre plus complet de continuité d'activité, la norme ISO 22301 fournit un système de management de continuité d'activité (SMCA) certifiable que se intégré parfaitement avec le ENS. La implantation conjunta de les contrôles op.cont du ENS avec les exigences de ISO 22301 fournit une cobertura complète de la continuité. Lie: Audit ENS: Preparacion et Claves pour Superarla.

Consulta mio article sur gestion des risques avec ISO 31000, que fournit le cadre pour évaluer les risques de continuité.

A besoin de disenar ou examiner votre plan de continuité pour respecter le ENS? Hablamos. Te ayudo a créer un plan pratique, realista et que supere la audit.

Auteur : Angel Ortega Castro · consultant independant en stratégie, qualité et numerisation pour PME. Lie: Analyse de Risques MAGERIT pour ENS: Guide Pratique.

Questions fréquentes

Quels sont les catégories du ENS?

Le ENS a trois catégories: BASSE, MOYENNE et HAUTE, selon le impact que tendria un incident de sécurité sur la informations traitees. La exigencia varia par catégorie. En catégorie BASSE, se requiere un analyse d'impact de base et un plan simplificado. En catégorie MOYENNE, le plan doit être complet, documente et probado au moins annuellement.

Quel est le délai pour respecter le ENS?

Le Decret Royal 311/2022 (Espagne) establecio délais diferenciados selon la situacion de partida de chaque organisation; en général la adequation doit être complète en 24 mois depuis sont publication. Les tests de revue documental verifican que le plan est actualizado et est coherente. Les tests de simulacion en mesa (tabletop exercises) reunen a les responsables pour recorrer un escenario hipotetico et vérifier que saben que faire.

Besoin d'aide sur ce sujet?

Trabaja conmigo en Adequation au ENS

Conseil a mesure en adequation au ENS. Premiere session sans frais.

Reserver une session →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro