Rechercher Espace client
Outil gratuit · Conformité

Autodiagnostic ENS (Cadre national de sécurité espagnol) : quel est votre niveau de conformité ?

Catégorisez votre système selon l'Annexe I du Décret royal 311/2022 et évaluez, en moins de trois minutes, votre niveau de préparation dans les trois domaines de l'Annexe II : organisationnel, opérationnel et protection. Résultat avec le pourcentage de préparation par domaine, vos écarts concrets et les prochaines étapes.

Gratuit, sans inscription Résultat instantané Vos réponses ne quittent jamais votre navigateur
Étape 1 1 / 4

Catégorisez votre système : Annexe I de l'ENS

L'ENS évalue l'impact d'un incident sur cinq dimensions de sécurité. Indiquez le niveau de préjudice qu'entraînerait une défaillance dans chacune — si une dimension ne s'applique pas à votre système, sélectionnez « N'affecte pas ». Votre catégorie finale est celle du niveau le plus élevé atteint dans une quelconque dimension (art. 40 et Annexe I, RD 311/2022).

Domaine organisationnel — la base (org)

L'Annexe II regroupe 73 mesures en trois domaines. Ces 4 mesures forment la base du domaine organisationnel : sans elles, le reste des mesures techniques n'a rien sur quoi s'appuyer. Indiquez votre situation réelle, pas celle que vous souhaiteriez avoir.

Oui, en place Partiellement Non, pas encore

Domaine opérationnel — comment vous protégez l'exploitation (op)

8 mesures représentatives sur les 33 exigées par ce domaine, une par famille : planification, contrôle d'accès, exploitation, ressources externes, services cloud, continuité et surveillance.

Oui, en place Partiellement Non, pas encore

Mesures de protection — les actifs concrets (mp)

8 mesures représentatives sur les 36 exigées par ce domaine, une par famille : installations, personnel, équipements, communications, supports, applications, information et services.

Oui, en place Partiellement Non, pas encore
Résultat indicatif

Votre niveau de conformité à l'ENS

Avis légal : ce résultat est indicatif et généré automatiquement à partir de vos réponses. Ce n'est pas une Déclaration d'applicabilité et cela ne remplace pas l'audit officiel lorsque votre catégorie l'exige (art. 28, 31 et 38, RD 311/2022). En cas de doute sur votre conformité à l'ENS, consultez la source officielle ou réservez une session avec nous.
Comment ça marche

Deux annexes, un pourcentage de préparation.

01

Vous catégorisez votre système

Vous indiquez l'impact sur les cinq dimensions de l'Annexe I — confidentialité, intégrité, traçabilité, authenticité et disponibilité. Votre catégorie est celle du niveau le plus élevé atteint.

02

Vous évaluez les trois domaines

20 questions représentatives sur les 73 mesures de l'Annexe II, regroupées en organisationnel, opérationnel et protection.

03

Tout se passe dans votre navigateur

La logique est en JavaScript local : aucune réponse n'est envoyée à un serveur ni stockée où que ce soit.

04

Nous croisons avec le RD 311/2022

Catégorie (art. 40, Annexe I) + applicabilité des mesures par domaine (Annexe II) + régime d'audit ou d'autoévaluation (art. 31 et 38).

05

Vous obtenez votre % de préparation

Par domaine, avec vos écarts concrets priorisés et les prochaines étapes pour les combler — plus le lien pour approfondir votre cas.

Pourquoi cet outil

Trois domaines, 73 mesures, une catégorie qui détermine tout.

L'ENS — le Cadre national de sécurité espagnol, Décret royal 311/2022, du 3 mai (BOE-A-2022-7191) — régit la sécurité des systèmes d'information de l'ensemble du secteur public espagnol, et s'étend aussi aux entreprises privées qui, dans le cadre d'une relation contractuelle, fournissent des services ou des solutions aux administrations publiques pour l'exercice de leurs compétences, y compris leur chaîne d'approvisionnement lorsque l'analyse de risques l'exige (art. 2). La confusion la plus fréquente chez les PME qui répondent à un appel d'offres public espagnol n'est pas d'ignorer l'existence de l'ENS, mais de ne pas savoir dans quelle catégorie se situe leur système — et c'est cette catégorie qui détermine combien de mesures appliquer, et avec quel niveau de renforcement.

Annexe I : cinq dimensions, la catégorie est celle du niveau le plus élevé

L'Annexe I évalue l'impact qu'aurait un incident sur cinq dimensions de sécurité : confidentialité, intégrité, traçabilité, authenticité et disponibilité. Chaque dimension concernée se voit attribuer un niveau — BAS (préjudice limité, facilement réparable), MOYEN (préjudice grave, difficile à réparer) ou ÉLEVÉ (préjudice très grave ou irréparable) — et voici la règle que la plupart des PME négligent : la catégorie de l'ensemble du système est celle du niveau le plus élevé atteint dans une seule dimension. Si la disponibilité de votre système n'est que BASSE mais que la confidentialité des données traitées est ÉLEVÉE, tout le système est de catégorie ÉLEVÉE, avec les 73 mesures de l'Annexe II s'appliquant à leur niveau de renforcement le plus exigeant (art. 40 et Annexe I, point 4).

Annexe II : organisationnel, opérationnel et protection

Les mesures de sécurité se répartissent en trois domaines : le domaine organisationnel [org], avec 4 mesures qui constituent la base de tout — politique, réglementation, procédures et processus d'autorisation ; le domaine opérationnel [op], avec 33 mesures réparties en sept familles (planification, contrôle d'accès, exploitation, ressources externes, services cloud, continuité de service et surveillance) ; et les mesures de protection [mp], avec 36 mesures en huit familles qui protègent des actifs concrets — installations, personnel, équipements, communications, supports, applications, information et services. Les 73 mesures ne s'appliquent pas toutes de la même façon à chaque système : chacune comporte des renforcements (R1, R2...) qui s'activent selon votre catégorie, et l'ensemble appliqué est formalisé dans la Déclaration d'applicabilité, un document signé par le responsable de la sécurité (art. 28).

Audit ou autoévaluation, selon votre catégorie

Voici le deuxième élément qui change le plus l'effort de conformité : les systèmes de catégorie BASIQUE ne requièrent qu'une autoévaluation pour déclarer leur conformité à l'ENS, tandis que les systèmes de catégorie MOYENNE ou ÉLEVÉE nécessitent un audit de certification, avec une révision ordinaire au moins tous les deux ans et une révision extraordinaire en cas de modifications substantielles du système (art. 31 et 38). Pour les systèmes de catégorie ÉLEVÉE, si l'audit révèle des défaillances graves, le responsable du système peut suspendre temporairement le traitement de l'information ou la prestation du service jusqu'à leur correction (art. 31.6). Les systèmes existant déjà avant l'entrée en vigueur du RD 311/2022 disposaient de 24 mois pour se mettre en conformité — délai expiré en mai 2024 — tandis que les nouveaux systèmes appliquent le règlement dès leur conception.

Si l'autodiagnostic vous place en catégorie MOYENNE ou ÉLEVÉE avec des écarts importants, les 73 mesures de l'ENS expliquées avec leur applicabilité (source en espagnol) détaille chaque contrôle par domaine, et le processus, les exigences et les coûts de la certification ENS (source en espagnol) couvre l'étape suivante vers l'audit. Pour le texte complet du règlement, consultez le résumé du Décret royal 311/2022 en vigueur (source en espagnol). Tout cela fait partie de notre espace conformité réglementaire, où nous traitons aussi NIS2, DORA, le RGPD et l'AI Act. Et si vous ne savez pas encore si ces autres réglementations vous concernent également, notre outil jumeau quelle réglementation s'applique à moi ? les croise toutes en une seule fois.

Questions fréquentes

Avant de faire l'autodiagnostic.

Qu'est-ce que l'ENS et à qui s'impose-t-il ?+

L'ENS (Esquema Nacional de Seguridad, le Cadre national de sécurité espagnol) est le Décret royal 311/2022, du 3 mai, qui régit la sécurité des systèmes d'information de l'ensemble du secteur public espagnol. Il s'applique aussi aux entreprises privées qui, dans le cadre d'une relation contractuelle, fournissent des services ou des solutions aux administrations publiques pour l'exercice de leurs compétences — y compris la chaîne d'approvisionnement de ces prestataires lorsque l'analyse de risques l'exige (art. 2).

Comment détermine-t-on si mon système est de catégorie basique, moyenne ou élevée ?+

On évalue l'impact d'un incident sur cinq dimensions de sécurité — confidentialité, intégrité, traçabilité, authenticité et disponibilité (Annexe I) — en attribuant à chacune le niveau BAS, MOYEN ou ÉLEVÉ. La catégorie du système est celle du niveau le plus élevé atteint dans une quelconque dimension : si une seule dimension atteint ÉLEVÉ, tout le système est de catégorie ÉLEVÉE, même si les autres sont plus basses (art. 40 et Annexe I, point 4).

Combien de mesures de sécurité exige l'Annexe II et dois-je toutes les appliquer ?+

L'Annexe II compte 73 mesures réparties en trois domaines : organisationnel (4), opérationnel (33) et protection (36). Elles ne s'appliquent pas toutes de la même façon : chaque mesure comporte des renforcements (R1, R2...) qui s'activent selon la catégorie du système. L'ensemble des mesures et renforcements appliqués est formalisé dans la Déclaration d'applicabilité, signée par le responsable de la sécurité (art. 28).

Ai-je besoin d'un audit externe ou une autoévaluation suffit-elle ?+

Cela dépend de la catégorie : les systèmes de catégorie BASIQUE ne requièrent qu'une autoévaluation pour déclarer leur conformité, tandis que les systèmes de catégorie MOYENNE ou ÉLEVÉE nécessitent un audit de certification, avec une révision ordinaire au moins tous les deux ans (art. 31 et 38, RD 311/2022).

Ce résultat est-il une certification ENS officielle ?+

Non. C'est une orientation automatique basée sur vos réponses, destinée à vous montrer par où commencer — ce n'est ni une Déclaration d'applicabilité ni une certification de conformité. Elle ne remplace pas l'audit officiel lorsque votre catégorie l'exige. Et rien n'est enregistré : le test s'exécute entièrement dans votre navigateur en JavaScript, sans qu'aucune réponse ne soit envoyée à un serveur.

On en parle ensemble ?

On révise ça ensemble ?

Réservez une session gratuite de 30 minutes. Nous passons en revue votre résultat, clarifions quel écart pèse le plus dans votre cas et les prochaines étapes concrètes — catégorisation, Déclaration d'applicabilité ou préparation de l'audit.

Réserver une session gratuite →