Pack ISO 27001 + ENS + RGPD pour les marches publics en Castille-et-Leon
Conseil independant en marketing, conformite reglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.
Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.
Pour repondre aux marches publics de l'Administration espagnole en Castille-et-Leon en 2026, une PME TIC doit combiner ISO 27001 + ENS Bas (minimum) + adequation RGPD documentee. Le pack conseil complet coute 18.000-28.000 € et se realise en 5-7 mois.
Pour repondre aux marches publics avec la Administration Publique en Castille-et-Leon en 2026, une PME TIC doit combiner ISO 27001 + ENS Bas (minimum) + adequation RGPD documentee. Le pack conseil complet coute 18.000–28.000 € et se complete en 5–7 mois.
En 2026, aucune PME TIC de Castille-et-Leon peut concourir par contrats publics sans avoir resuelta la matrice de conformite reglementaire. La Junta exige certifies; les cahiers des charges notent; la comite d'attribution rejette par defaut a qui non presente les documents complets. Est guide couvre le pack plus efficient: ISO 27001 + ENS + RGPD, en 5–7 mois, par moins de 28.000 €. Si quieres passer directement au tableau de prix, descend a la tableau de precios. Si quieres le cas reel, passe directement au cas de la cave technologique de Valladolid.
Qu'est-ce que normes demande la Administration Publique espagnole en 2026?
La columna vertebral du conformite pour fournisseurs Administrations Publiques en 2026 sont trois normes que se solapan et se refuerzan entre si:
- ISO 27001 (Systeme de Management de la Securite de l'Information): cadre internacional volontaire que demontre controle sur les activos de information. Est la base sur la que se construit le conformite tecnico.
- Schema National de Securite (ENS espagnol) (ENS): regulado par le Decret Royal 311/2022, est obligatoire pour tout organisme public et tout fournisseur que traite information du secteur public espagnol. Trois categories selon le impact du service: Basique, Media et Elevee.
- RGPD + LOPDGDD: le Reglement General sur la Protection des Donnees europeo (2016/679) et la loi organica espagnole de developpement (2018) sont obligatoires toujours que se traten donnees personnelles. La AEPD sanciona.
Le error plus comun de les PME est se presenter a repondre aux marches publics seulement avec RGPD (minimum legal) lorsque le cahier des charges demande explicitamente ISO 27001 + ENS. Les mesas de passation le detectan au premier revisado du sur B et descartan la propuesta par incompleta.
Tableau comparative: ISO 27001 vs ENS vs RGPD
| Aspecto | ISO 27001 | ENS (Decret Royal 311/2022) | RGPD / LOPDGDD |
|---|---|---|---|
| Caracter | Voluntaria | Obligatoria fournisseur Administrations Publiques | Obligatoria si il et a donnees personnelles |
| Perimetre | Internacional | Espagne (secteur public) | Union Europea |
| Foco | Gestion du risque | Prescriptivo (que controles appliquer) | Protection personne physique |
| Auditor | AENOR · BV · SGS · LRQA · ENAC | Entites acreditadas ENAC pour ENS | Non requiere certification · AEPD inspecciona |
| Cout PME | 8.000–18.000 € + 2.500 €/an | 6.000–15.000 € + 2.000 €/an | 2.000–6.000 € adequation |
| Delai implantation | 4–6 mois | 3–5 mois (si ISO 27001 base) | 6–10 semanas |
| Renovacion | Audit externe chaque 3 ans + suivi annuel | Reevaluacion chaque 2 ans (categories Media/Elevee) | Revue continua (registres) |
| Amendes non-conformite | N/A (perte du certifie) | Perdida du contrat + responsabilite penal CCN-CERT | Jusqu'a 20 M€ ou 4 % facturacion |
La sinergia entre les trois est elevee: implanter les trois en parallele ahorra 30–40 % de heures face a hacerlas par separado, parce que comparten un systeme de management comun, les memes registres de activos, les memes politiques de controle de acces et la meme structure de audit interne.
Quel est le cout real de implanter le pack complet en 2026?
Pour une PME TIC espagnole de 10–40 salaries que quiera se presenter a marches publics Administrations Publiques, le cout total realista du pack ISO 27001 + ENS Bas + RGPD est:
| Concepto | Rango PME 10–25 salaries | Rango PME 25–50 salaries |
|---|---|---|
| Conseil externe implantation (5 mois) | 14.000–18.000 € | 18.000–25.000 € |
| Audit externe ISO 27001 (3ª parte) | 2.500–4.000 € | 3.500–5.500 € |
| Certification ENS (organisme accredite) | 2.500–4.500 € | 4.000–6.500 € |
| Adequation RGPD documental | 1.500–3.000 € | 2.500–4.500 € |
| Outils (gestor risques, GRC) | 1.200–2.500 €/an | 2.500–5.000 €/an |
| Total an 1 | 21.700–32.000 € | 30.500–46.500 € |
| Maintenance ans 2–3 | 4.500–7.000 €/an | 6.500–10.500 €/an |
Avec le bono Kit Consulting de Red.est (Orden TDF/38/2026), une PME Segmento A peut subventionner jusqu'a 24.000 € du conseil strategique previo. Ceci reduit le desembolso effectif an 1 a 8.000–22.000 €.
Combien tarda une PME en etre lista pour repondre aux marches publics?
Le cronograma realista en PME de 10–40 salaries, avec direction implicada depuis le jour 1 et un responsable interne designado (non senior, mais avec temps):
- Mes 1: diagnostico de partida (inventario de activos, mapa de traitements RGPD, analyse de brechas). Politique base approuvee par la direction.
- Mes 2: analyse de risques (methodologie MAGERIT pour ENS, ISO 27005 pour ISO 27001). Definicion de controles aplicables.
- Mes 3: redaccion de politiques, procedures et registres. Formation a equipe (8 heures minimum).
- Mes 4: implantation de controles tecnicos (cifrado, controle de acces, registre de actividad). Audit interne.
- Mes 5: correccion de non-conformites. Solicitud de audit externe ISO 27001 et certification ENS.
- Mes 6–7: audit externe, certification, documentation final.
Acelerar ce delai a 3–4 mois est posible mais implica dedicacion intensiva du equipe interne et exposicion a non-conformites superieurs en la audit externe.
Cas real: cave technologique de Valladolid licita SACYL
Une cave technologique de 28 salaries avec sede en Valladolid se enfrentaba a une marche public de SACYL (Service de Salud de Castille-et-Leon) par 180.000 € en services de gestion documental. Le cahier des charges exigia ISO 27001 + ENS Bas + protocolo RGPD approuve par AEPD. La entreprise non tenia aucune de les trois.
Implantation en parallele de les trois normes pendant 5 mois avec budget total de 24.000 € (conseil 16.000 € + audit externe AENOR 4.000 € + ENS certification 3.000 € + tooling GRC 1.000 €). Resultats au cierre du projet:
- ISO 27001 certifie par AENOR (acreditacion ENAC).
- ENS Bas certifie par organisme accredite CCN-CERT.
- RGPD adequat avec registre de actividades de traitement approuve par AEPD.
- Marche public SACYL attribuee (notation de conformite 12/12 en le sur B).
- Acces a 6 nouveaux cahiers des charges similares en Castille-et-Leon a 12 mois vue.
Le ROI directo du projet se calculo en 7,5x le premier an (180.000 € de contrat / 24.000 € de investissement), sans contar les contrats adicionales que la certification abrio en les mois suivants.
Checklist: 12 pasos pour arriver a la marche public avec tout le conformite listo
- Diagnostico inicial: inventario complet de activos de information (servidores, bases de donnees, software, tiers).
- Mapa de traitements de donnees personnelles conforme RGPD art. 30 (responsable, encargado, finalidad, base juridica, cesiones, delais).
- Analyse de risques MAGERIT (pour ENS) et matrice de probabilite/impact (pour ISO 27001).
- Politique de securite de l'information signee par direction, communiquee a toute la organisation.
- Procedures operationnels: controle de acces, gestion des incidents, copias de securite, gestion de cambios.
- Implantation de controles tecnicos: cifrado en reposo et transito, MFA, registre centralizado de logs, segregacion de redes.
- Formation obligatoire a tous les salaries (minimum 8 heures) et especifica au comite de securite.
- Designacion de Delegado de Protection de Donnees (DPO) si applique selon RGPD art. 37 ou par contrat du cahier des charges.
- Communication a AEPD du DPO (formulario electronico Sede AEPD).
- Audit interne documentee (registres, non-conformites, actions correctives).
- Solicitud de audit externe ISO 27001 (AENOR / BV / SGS / LRQA) et certification ENS (organisme accredite).
- Memoria tecnica du sur B preparee avec anexos: politiques, certifies, designacion DPO, plan de continuite.
FAQ
Quel est la diferencia entre ENS Bas, Moyen et Eleve?
Les trois categories ENS se definissent selon le impact du service ou informations traitees en cinq dimensiones (confidentialite, integrite, disponibilite, authenticite, tracabilite). Sous: pour services cuyo impact est sous en toutes les dimensiones (la mayoria de services TIC genericos). Moyen: lorsque le impact en au moins une dimension est moyen (services de salud, justicia, recaudacion tributaria). Eleve: defensa, infraestructuras critiques. Pour 80% de PME proveedoras de Administrations Publiques, ENS Bas est suficiente.
Obligatoire nombrar Delegado de Protection de Donnees (DPO) pour repondre aux marches publics Administrations Publiques?
Non automatiquement. La obligation de nombrar DPO viene de RGPD art. 37 (actividades a gran escala, donnees especiales) et s'applique independientemente de repondre aux marches publics ou non. Cependant, nombreux cahiers des charges de Administrations Publiques exigent DPO designado et communique a AEPD comme criterio adicional. En 2026 la mayoria de cahiers des charges sanitarios, educativos et de services sociales le demandent.
Puedo certificar ENS Bas sans avoir avant ISO 27001?
Si, tecnicamente sont independientes. Mais la realite est que ISO 27001 couvre environ 75% de les exigences de ENS Bas, par ce que tenerla simplifica enormemente la certification ENS. Implanter seulement ENS sans ISO 27001 coute le meme et aporta moins valeur comercial (la ISO si est valorada par clients privados).
Quel est le cout de mantener les trois certifications chaque an?
Pour une PME 10–25 salaries: 4.500–7.000 €/an combinado. Incluye audit de suivi ISO 27001 (1.500–2.500 €), reevaluacion ENS chaque 2 ans (1.500–3.000 € prorrateado), revue annuel de politiques et registres RGPD (1.500–2.500 € si se externaliza le DPO).
Qu'est-ce que pasa si pierdo une certification pendant le contrat?
Suspension inmediata du contrat et posible reclamation de danos par parte de la Administracion. Par cela est critique mantener audits internes trimestrales et non dejar caducar le certifie. Les entites certificadoras avisan avec 60 jours de antelacion; en PME conviene programar la renovacion 90 jours avant.
Couvre le Kit Digital est conseil?
Le Kit Digital de Red.est couvre soluciones digitales especificas (web, CRM, BI, cybersecurite basique), mais non la conseil strategique de implantation ISO/ENS. Pour cette parte s'utilise le Kit Consulting (Orden TDF/38/2026), que si subventionne jusqu'a 24.000 € en conseil strategique, incluyendo gobierno IA, cybersecurite et implantation de normes.
Puede une PME repondre aux marches publics avec la Administrations Publiques sans certifications, seulement presentando engagements?
En cahiers des charges pequenos (<30.000 €) certaines administraciones acceptent engagements firmes de obtener les certifications en X mois apres la attribution. Mais ceci est excepcional et depende du organe de passation. Comment regla pratique: pour cualquier contrat >50.000 €, les certifications se demandent firmadas et en vigueur en le sur B.
Mini-glosario
- SMSI: Systeme de Management de la Securite de l'Information (ISO 27001).
- ENS: Schema National de Securite (ENS espagnol). Decret Royal 311/2022.
- CCN-CERT: Centro Criptologico Nacional · entite certificadora ENS.
- MAGERIT: Methodologie de Analyse et Gestion des Risques de les Systemes de Information du CNI.
- RGPD: Reglement General sur la Protection des Donnees UE 2016/679.
- LOPDGDD: Loi Organique espagnole de Protection de Donnees et Garantia de Derechos Digitales.
- DPO: Delegado de Protection de Donnees.
- Sur B: parte tecnica de une oferta a marche public publie.
- CPSTIC: Catalogue de Produits et Services de Securite TIC du CCN.
Sources officielles
- BOE · Decret Royal 311/2022 (Espagne) ENS
- AEPD · Agencia Espagnole de Protection de Donnees
- AENOR · Norme ISO 27001 Espagne
- CCN-CERT · Centro Criptologico Nacional
- INCIBE · Ressources cybersecurite entreprise
- Red.est · Kit Consulting 2026
- Plateforme de Contratacion du Secteur Public
Auteur : Angel Ortega Castro · consultant independant en strategie, qualite et numerisation pour PME.
Besoin d'implanter ce pack?
Conseil ISO 27001 + ENS + RGPD pour marches publics
Implantation integree en 5-7 mois. Accompagnement jusqu'a l'attribution. Cofinancement avec Kit Consulting.
Reserver une session →Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des donnees espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le cout en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salaries : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle reglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le perimetre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI integre (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'a 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersecurite) jusqu'a 29 000 EUR.