Pack ISO 27001 + ENS + RGPD pour les marchés publics en Castille-et-Leon
Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.
Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.
Pour repondre aux marchés publics de l'Administration espagnole en Castille-et-Leon en 2026, une PME TIC doit combiner ISO 27001 + ENS Bas (minimum) + adequation RGPD documentee. Le pack conseil complet coute 18.000-28.000 € et se réalisé en 5-7 mois.
Pour repondre aux marchés publics avec la Administration Publique en Castille-et-Leon en 2026, une PME TIC doit combiner ISO 27001 + ENS Bas (minimum) + adequation RGPD documentee. Le pack conseil complet coute 18.000–28.000 € et se complète en 5–7 mois.
En 2026, aucune PME TIC de Castille-et-Leon peut concourir par contrats publics sans avoir resuelta la matrice de conformité réglementaire. La Junta exige certifiés; les cahiers des charges notent; la comite d'attribution rejette par defaut a qui non présenté les documents complets. Est guide couvre le pack plus efficient: ISO 27001 + ENS + RGPD, en 5–7 mois, par moins de 28.000 €. Si quieres passer directement au tableau de prix, descend a la tableau de precios. Si quieres le cas réel, passe directement au cas de la cave technologique de Valladolid.
Qu'est-ce que normes demande la Administration Publique espagnole en 2026?
La columna vertebral du conformité pour fournisseurs Administrations Publiques en 2026 sont trois normes que se solapan et se refuerzan entre si:
- ISO 27001 (Système de Management de la Sécurité de l'Information): cadre internacional volontaire que demontre contrôle sur les activos de information. Est la base sur la que se construit le conformité tecnico.
- Schéma National de Sécurité (ENS espagnol) (ENS): regulado par le Decret Royal 311/2022, est obligatoire pour tout organisme public et tout fournisseur que traite information du secteur public espagnol. Trois catégories selon le impact du service: Basique, Media et Elevee.
- RGPD + LOPDGDD: le Reglement Général sur la Protection des Données europeo (2016/679) et la loi organica espagnole de développement (2018) sont obligatoires toujours que se traten données personnelles. La AEPD sanciona.
Le error plus comun de les PME est se présenter a repondre aux marchés publics seulement avec RGPD (minimum legal) lorsque le cahier des charges demande explicitamente ISO 27001 + ENS. Les mesas de passation le detectan au premier revisado du sur B et descartan la propuesta par incompleta.
Tableau comparative: ISO 27001 vs ENS vs RGPD
| Aspecto | ISO 27001 | ENS (Decret Royal 311/2022) | RGPD / LOPDGDD |
|---|---|---|---|
| Caracter | Voluntaria | Obligatoria fournisseur Administrations Publiques | Obligatoria si il et a données personnelles |
| Périmètre | Internacional | Espagne (secteur public) | Union Europea |
| Foco | Gestion du risque | Prescriptivo (que contrôles appliquer) | Protection personne physique |
| Auditor | AENOR · BV · SGS · LRQA · ENAC | Entités acreditadas ENAC pour ENS | Non requiere certification · AEPD inspecciona |
| Coût PME | 8.000–18.000 € + 2.500 €/an | 6.000–15.000 € + 2.000 €/an | 2.000–6.000 € adequation |
| Délai implantation | 4–6 mois | 3–5 mois (si ISO 27001 base) | 6–10 semanas |
| Renovacion | Audit externe chaque 3 ans + suivi annuel | Reevaluacion chaque 2 ans (catégories Media/Elevee) | Revue continua (registres) |
| Amendes non-conformité | N/A (perte du certifié) | Perdida du contrat + responsabilité penal CCN-CERT | Jusqu'à 20 M€ ou 4 % facturacion |
La sinergia entre les trois est elevee: implanter les trois en parallele ahorra 30–40 % de heures face a hacerlas par separado, parce que comparten un système de management comun, les memes registres de activos, les memes politiques de contrôle de accès et la meme structure de audit interne.
Quel est le coût real de implanter le pack complet en 2026?
Pour une PME TIC espagnole de 10–40 salariés que quiera se présenter a marchés publics Administrations Publiques, le coût total realista du pack ISO 27001 + ENS Bas + RGPD est:
| Concepto | Rango PME 10–25 salariés | Rango PME 25–50 salariés |
|---|---|---|
| Conseil externe implantation (5 mois) | 14.000–18.000 € | 18.000–25.000 € |
| Audit externe ISO 27001 (3ª parte) | 2.500–4.000 € | 3.500–5.500 € |
| Certification ENS (organisme accredite) | 2.500–4.500 € | 4.000–6.500 € |
| Adequation RGPD documental | 1.500–3.000 € | 2.500–4.500 € |
| Outils (gestor risques, GRC) | 1.200–2.500 €/an | 2.500–5.000 €/an |
| Total an 1 | 21.700–32.000 € | 30.500–46.500 € |
| Maintenance ans 2–3 | 4.500–7.000 €/an | 6.500–10.500 €/an |
Avec le bono Kit Consulting de Red.est (Orden TDF/38/2026), une PME Segmento A peut subventionner jusqu'à 24.000 € du conseil stratégique previo. Ceci reduit le desembolso effectif an 1 a 8.000–22.000 €.
Combien tarda une PME en être lista pour repondre aux marchés publics?
Le cronograma realista en PME de 10–40 salariés, avec direction implicada depuis le jour 1 et un responsable interne designado (non senior, mais avec temps):
- Mes 1: diagnostico de partida (inventario de activos, mapa de traitements RGPD, analyse de brechas). Politique base approuvee par la direction.
- Mes 2: analyse de risques (méthodologie MAGERIT pour ENS, ISO 27005 pour ISO 27001). Definicion de contrôles aplicables.
- Mes 3: redaccion de politiques, procédures et registres. Formation a equipe (8 heures minimum).
- Mes 4: implantation de contrôles tecnicos (cifrado, contrôle de accès, registre de actividad). Audit interne.
- Mes 5: correccion de non-conformites. Solicitud de audit externe ISO 27001 et certification ENS.
- Mes 6–7: audit externe, certification, documentation final.
Acelerar ce délai a 3–4 mois est posible mais implica dedicacion intensiva du equipe interne et exposicion a non-conformites superieurs en la audit externe.
Cas real: cave technologique de Valladolid licita SACYL
Une cave technologique de 28 salariés avec sede en Valladolid se enfrentaba a une marché public de SACYL (Service de Salud de Castille-et-Leon) par 180.000 € en services de gestion documental. Le cahier des charges exigia ISO 27001 + ENS Bas + protocolo RGPD approuve par AEPD. La entreprise non tenia aucune de les trois.
Implantation en parallele de les trois normes pendant 5 mois avec budget total de 24.000 € (conseil 16.000 € + audit externe AENOR 4.000 € + ENS certification 3.000 € + tooling GRC 1.000 €). Resultats au cierre du projet:
- ISO 27001 certifié par AENOR (acreditacion ENAC).
- ENS Bas certifié par organisme accredite CCN-CERT.
- RGPD adequat avec registre de actividades de traitement approuve par AEPD.
- Marché public SACYL attribuee (notation de conformité 12/12 en le sur B).
- Accès a 6 nouveaux cahiers des charges similares en Castille-et-Leon a 12 mois vue.
Le ROI directo du projet se calculo en 7,5x le premier an (180.000 € de contrat / 24.000 € de investissement), sans contar les contrats adicionales que la certification abrio en les mois suivants.
Checklist: 12 pasos pour arriver a la marché public avec tout le conformité listo
- Diagnostico inicial: inventario complet de activos de information (servidores, bases de données, software, tiers).
- Mapa de traitements de données personnelles conforme RGPD art. 30 (responsable, encargado, finalidad, base juridica, cesiones, délais).
- Analyse de risques MAGERIT (pour ENS) et matrice de probabilité/impact (pour ISO 27001).
- Politique de sécurité de l'information signee par direction, communiquee a toute la organisation.
- Procédures opérationnels: contrôle de accès, gestion des incidents, copias de sécurité, gestion de cambios.
- Implantation de contrôles tecnicos: cifrado en reposo et transito, MFA, registre centralizado de logs, segregacion de redes.
- Formation obligatoire a tous les salariés (minimum 8 heures) et especifica au comite de sécurité.
- Designacion de Delegado de Protection de Données (DPO) si applique selon RGPD art. 37 ou par contrat du cahier des charges.
- Communication a AEPD du DPO (formulario electronico Sede AEPD).
- Audit interne documentee (registres, non-conformites, actions correctives).
- Solicitud de audit externe ISO 27001 (AENOR / BV / SGS / LRQA) et certification ENS (organisme accredite).
- Memoria tecnica du sur B preparee avec anexos: politiques, certifiés, designacion DPO, plan de continuité.
FAQ
Quel est la diferencia entre ENS Bas, Moyen et Eleve?
Les trois catégories ENS se definissent selon le impact du service ou informations traitees en cinq dimensiones (confidentialité, intégrité, disponibilité, authenticite, traçabilité). Sous: pour services cuyo impact est sous en toutes les dimensiones (la mayoria de services TIC genericos). Moyen: lorsque le impact en au moins une dimension est moyen (services de salud, justicia, recaudacion tributaria). Eleve: defensa, infraestructuras critiques. Pour 80% de PME proveedoras de Administrations Publiques, ENS Bas est suficiente.
Obligatoire nombrar Delegado de Protection de Données (DPO) pour repondre aux marchés publics Administrations Publiques?
Non automatiquement. La obligation de nombrar DPO viene de RGPD art. 37 (actividades a gran escala, données especiales) et s'applique independientemente de repondre aux marchés publics ou non. Cependant, nombreux cahiers des charges de Administrations Publiques exigent DPO designado et communique a AEPD comme criterio adicional. En 2026 la mayoria de cahiers des charges sanitarios, educativos et de services sociales le demandent.
Puedo certificar ENS Bas sans avoir avant ISO 27001?
Si, tecnicamente sont independientes. Mais la réalité est que ISO 27001 couvre environ 75% de les exigences de ENS Bas, par ce que tenerla simplifica enormemente la certification ENS. Implanter seulement ENS sans ISO 27001 coute le meme et aporta moins valeur comercial (la ISO si est valorada par clients privados).
Quel est le coût de mantener les trois certifications chaque an?
Pour une PME 10–25 salariés: 4.500–7.000 €/an combinado. Incluye audit de suivi ISO 27001 (1.500–2.500 €), reevaluacion ENS chaque 2 ans (1.500–3.000 € prorrateado), revue annuel de politiques et registres RGPD (1.500–2.500 € si se externaliza le DPO).
Qu'est-ce que pasa si pierdo une certification pendant le contrat?
Suspension inmediata du contrat et posible reclamation de danos par parte de la Administracion. Par cela est critique mantener audits internes trimestrales et non dejar caducar le certifié. Les entités certificadoras avisan avec 60 jours de antelacion; en PME conviene programar la renovacion 90 jours avant.
Couvre le Kit Digital est conseil?
Le Kit Digital de Red.est couvre soluciones digitales especificas (web, CRM, BI, cybersécurité basique), mais non la conseil stratégique de implantation ISO/ENS. Pour cette parte s'utilise le Kit Consulting (Orden TDF/38/2026), que si subventionne jusqu'à 24.000 € en conseil stratégique, incluyendo gobierno IA, cybersécurité et implantation de normes.
Puede une PME repondre aux marchés publics avec la Administrations Publiques sans certifications, seulement presentando engagements?
En cahiers des charges pequenos (<30.000 €) certaines administraciones acceptent engagements firmes de obtener les certifications en X mois après la attribution. Mais ceci est excepcional et depende du organe de passation. Comment regla pratique: pour cualquier contrat >50.000 €, les certifications se demandent firmadas et en vigueur en le sur B.
Mini-glosario
- SMSI: Système de Management de la Sécurité de l'Information (ISO 27001).
- ENS: Schéma National de Sécurité (ENS espagnol). Decret Royal 311/2022.
- CCN-CERT: Centro Criptologico Nacional · entite certificadora ENS.
- MAGERIT: Méthodologie de Analyse et Gestion des Risques de les Systèmes de Information du CNI.
- RGPD: Reglement Général sur la Protection des Données UE 2016/679.
- LOPDGDD: Loi Organique espagnole de Protection de Données et Garantia de Derechos Digitales.
- DPO: Delegado de Protection de Données.
- Sur B: parte tecnica de une oferta a marché public publie.
- CPSTIC: Catalogue de Produits et Services de Sécurité TIC du CCN.
Sources officielles
- BOE · Decret Royal 311/2022 (Espagne) ENS
- AEPD · Agencia Espagnole de Protection de Données
- AENOR · Norme ISO 27001 Espagne
- CCN-CERT · Centro Criptologico Nacional
- INCIBE · Ressources cybersécurité entreprise
- Red.est · Kit Consulting 2026
- Plateforme de Contratacion du Secteur Public
Auteur : Angel Ortega Castro · consultant independant en stratégie, qualité et numerisation pour PME.
Besoin d'implanter ce pack?
Conseil ISO 27001 + ENS + RGPD pour marchés publics
Implantation intégrée en 5-7 mois. Accompagnement jusqu'à l'attribution. Cofinancement avec Kit Consulting.
Reserver une session →Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le coût en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle réglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro