ECP vs ENS (Espagne) : CyFun face au cadre national de sécurité espagnol
L'ENS (Esquema Nacional de Seguridad) est le cadre national de cybersécurité obligatoire de l'Espagne — Décret Royal 311/2022, géré par le CCN (Centro Criptológico Nacional, rattaché au service de renseignement espagnol CNI), et obligatoire pour toutes les administrations publiques espagnoles et les entités privées fournissant des services TIC au secteur public. Easy Cyber Protection est une plateforme d'audit-readiness CyFun pour les MSPs belges. Les deux opèrent dans l'espace de la conformité en cybersécurité, mais pour des pays différents, des autorités de mise en œuvre différentes et des modèles de livraison fondamentalement distincts.
En un coup d'œil
| ENS (Espagne) | Easy Cyber Protection / CyFun | |
|---|---|---|
| Autorité responsable | CCN — Centro Criptológico Nacional (rattaché au CNI — le service de renseignement national espagnol) | CCB — Centre pour la Cybersécurité Belgique (ECP implémente CyFun) |
| Année de création / dernière mise à jour | 2010 (RD 3/2010) ; révision majeure mai 2022 (RD 311/2022) | CyFun 2025 (aligné sur NIST CSF 2.0) |
| Statut juridique | Obligatoire par la loi pour les administrations publiques espagnoles + fournisseurs TIC privés au secteur public | Opérationnel — voie de conformité NIS2 belge émise par le CCB ; audits en cours |
| Couverture des entités | Toutes les administrations publiques espagnoles (état, régions, collectivités locales) + entités privées fournissant des services TIC au secteur public | Entités belges enregistrées sous NIS2 (portail CCB) |
| Structure | 73 mesures de sécurité en 4 groupes (org.* / op.* / mp.*) ; 3 niveaux de sécurité (BASE / MOYEN / ÉLEVÉ) ; 5 dimensions de sécurité | 4 niveaux : Small, Basic, Important, Essential — chacun avec des contrôles implémentés en YAML |
| Certification / évaluation | Organismes d'audit accrédités ENAC ; obligatoire pour les systèmes MOYEN et ÉLEVÉ ; validité du certificat 2 ans | Audit CAB par organisme accrédité ; ECP génère le bundle signé .ecpbundle.zip |
| Coût de conformité | BASE : 12 K€–25 K€ ; MOYEN : 25 K€–45 K€ ; ÉLEVÉ : 100 K€+ (estimations sectorielles) ; mise en œuvre interne 3–12 mois | Le MSP facture au client 100–400 €/mois via la plateforme ECP — absorbé dans la prestation MSP |
| Modèle MSP / portefeuille | Pas de piste multi-tenant — cadre par entité ; les fournisseurs TIC privés doivent certifier leurs propres systèmes | Conçu pour la livraison en portefeuille MSP : dashboard partenaire, white-label, gestion par client |
| Relation avec NIS2 | Complémentaire mais pas totalement équivalent aux obligations NIS2 ; loi espagnole de transposition NIS2 en attente au parlement (mi-2026) | CyFun est la voie officielle belge de mise en œuvre de NIS2 ; émis par le CCB |
| Géographie | Espagne (juridiction CCN) | Belgique d'abord ; Irlande co-adoptant CyFun en 2026 |
Sources : RD 311/2022 (BOE), ens.ccn.cni.es, ccb.belgium.be. Dernière vérification 2026-06-29.
Où l'ENS s'applique
- Vous fournissez des services TIC (logiciels, cloud, hébergement, services managés) aux administrations publiques espagnoles — la certification ENS est une condition préalable obligatoire aux marchés publics
- Vous exploitez des systèmes d'information au sein d'organismes gouvernementaux espagnols — tout système traitant des données publiques doit être catégorisé et certifié selon l'ENS
- Vous êtes une entreprise privée dont les systèmes ont été classifiés au niveau de sécurité MOYEN ou ÉLEVÉ — un audit externe par un organisme accrédité ENAC est obligatoire
- Vous souhaitez vous aligner sur les guides de sécurité CCN-STIC espagnols — le CCN publie plus de 600 guides techniques qui opérationnalisent les 73 mesures ENS
- Vous soumissionnez pour des marchés TIC du secteur public espagnol — les acheteurs exigent des déclarations de conformité ENS de la part des fournisseurs
Où ECP / CyFun s'applique
- Vos clients sont belges (ou irlandais) — CyFun est la voie officielle de conformité NIS2 du CCB, celle contre laquelle les auditeurs belges et le CCB évaluent
- Vous êtes un MSP belge et voulez packager l'audit-readiness CyFun comme un service reproductible sur votre portefeuille clients — pas un projet de certification de type ENS à 25 K€–45 K€ par client
- Vous avez besoin de matériaux NL / FR / EN avec le contexte réglementaire belge (alignement CCB, levier VLAIO kmo-portefeuille pour les clients flamands)
- Vous voulez une économie MSP prévisible : un tarif par client selon la taille du site (XS 25 € / S 75 € / M 250 € / L 825 € / XL 2 750 € / XXL 9 075 €), sans base mensuelle, facturé annuellement en avance
- Vos clients ont besoin d'un livrable d'audit CAB — ECP génère le .ecpbundle.zip signé que l'organisme d'audit accrédité accepte
La comparaison des coûts de conformité
Cette comparaison oppose un cadre à une plateforme, pas un outil à un autre. L'ENS est un cadre gouvernemental obligatoire — le coût réside dans le projet de certification qu'il exige. ECP est une plateforme que les MSPs paient et revendent à leurs clients. Les chiffres ci-dessous illustrent ce que chaque voie coûte pour une PME belge via ECP par rapport à un fournisseur TIC privé certifiant des systèmes au niveau ENS MOYEN.
Certification ENS MOYEN — fournisseur TIC privé espagnol, système de taille intermédiaire
- • Cadre juridique ENS (RD 311/2022) : gratuit (texte officiel via BOE)
- • Catégorisation du système et analyse d'écart au niveau MOYEN : généralement 8 K€–15 K€ (conseil)
- • Audit de certification au niveau MOYEN par organisme accrédité ENAC : 25 K€–45 K€ (estimations sectorielles)
- • Audit de surveillance annuel : ~30–40% du coût de certification initial par cycle
- • Mise en œuvre interne : 3–12 mois de travail RSSI ou chef de projet
- • Cycle de certification de 2 ans — recertification requise tous les 2 ans
Les coûts de certification ENS sont des estimations sectorielles ; les devis réels varient selon la complexité du système, le nombre de mesures en périmètre et l'auditeur. Le CCN ne publie pas de chiffres de coûts officiels. Les fournisseurs doivent détenir des certificats ENS valides pour maintenir l'accès aux marchés publics.
ECP / CyFun — PME belge via MSP (portefeuille 20 clients, taille S en moyenne)
- • Par client (taille S, 100–999 entités) : 20 × 75 € = 1 500 € / mois
- • Coût récurrent total plateforme ECP pour le MSP : 1 500 € / mois (facturé annuellement en avance)
- • Le MSP facture au client PME : 200 € / mois (fourchette suggérée 100–400 €)
- • Coût annuel du client : 2 400 € — vs 25 K€–45 K€ de certification ENS MOYEN
- • Revenu MSP : 20 × 200 € = 4 000 € / mois — marge brute ~2 500 € / mois (~30 K€ / an)
Tarif par client selon la taille du site (XS 25 € / S 75 € / M 250 € / L 825 € / XL 2 750 € / XXL 9 075 €). Sans base mensuelle ; facturé annuellement en avance. Chaque client bénéficie de la fonctionnalité complète incluant IA et intégrations dès le premier jour.
Chevauchement de couverture des cadres
L'ENS et CyFun traitent des domaines de cybersécurité similaires — tous deux sont des cadres émis par des gouvernements dérivés de normes internationales (ISO 27001, NIST CSF). La différence réside dans la juridiction et le public cible : l'ENS couvre les systèmes du secteur public espagnol ; CyFun couvre les entités belges enregistrées sous NIS2. Les domaines de contrôle se chevauchent mais les voies de certification sont entièrement distinctes.
| Domaine de contrôle | ENS (Espagne) | CyFun / ECP |
|---|---|---|
| Gouvernance & gestion des risques | Mesures organisationnelles org.1–org.4 ; analyse des risques obligatoire pour tous les niveaux de sécurité | Contrôles de gouvernance CyFun Basic + Important ; le wiki ECP impose la propriété des politiques |
| Contrôle d'accès & identité | Mesures op.acc.* — 7 sous-mesures dont la gestion des accès privilégiés (op.acc.6) | Contrôles CyFun PR.AC ; registre d'accès ECP + collecte de preuves |
| Détection des incidents & réponse | Mesures de surveillance op.mon.* + mesures opérationnelles op.exp.* ; voie de signalement d'incidents CCN-CERT | Contrôles CyFun DE.CM + RS ; journal d'incidents ECP + workflow de notification CSIRT |
| Chaîne d'approvisionnement / écosystème | Mesures de protection des services mp.s.* ; les fournisseurs TIC doivent détenir leur propre conformité ENS | CyFun ID.SC ; modèle de registre fournisseurs ECP |
| Configuration sécurisée & durcissement | Mesures d'équipement mp.eq.* + guides de durcissement CCN-STIC (600+ guides techniques) | Contrôles CyFun PR.IP dans Basic et au-dessus |
| Supervision de la sécurité (SOC/SIEM) | Mesures op.mon.* ; les systèmes de niveau ÉLEVÉ exigent une surveillance continue | CyFun DE.CM ; inclus dans les niveaux Important / Essential |
| Relation ISO 27001 | L'ENS s'aligne sur les principes ISO 27001 ; le CCN publie des guides de correspondance (CCN-STIC 825) | Chevauchement significatif ; support ISO 27001 dédié prévu mais pas encore livré |
| Conformité Article 21 NIS2 | Complémentaire mais pas totalement équivalent — loi espagnole de transposition NIS2 encore en attente au parlement | Oui — CyFun est l'implémentation belge de l'Article 21 ; émis par le CCB |
Sources : RD 311/2022 Annexe II ; documentation CCN ENS (ens.ccn.cni.es) ; CCB CyFun 2025. La cartographie est indicative — une analyse d'écart réelle nécessite une évaluation professionnelle.
Questions fréquentes
La conformité ENS satisfait-elle NIS2 en Belgique ?
Non. L'ENS est le cadre national espagnol de sécurité de l'information pour les systèmes du secteur public, appliqué par le CCN. La voie de conformité NIS2 belge est CyFun, émis par le CCB. Une entité belge auditée par un organisme CAB belge est évaluée contre CyFun, pas contre l'ENS. Les deux cadres se chevauchent dans leur philosophie de contrôle (tous deux s'appuient sur ISO 27001 et NIST CSF) mais servent des régimes juridiques différents dans des pays différents. La Belgique ne reconnaît pas la certification ENS à des fins de conformité NIS2.
ECP peut-il aider les entités espagnoles à se conformer à l'ENS ?
Pas nativement. ECP implémente CyFun (le cadre belge du CCB). Les domaines de contrôle se chevauchent — les mesures ENS et les contrôles CyFun dérivent tous deux des fondements ISO 27001 / NIST CSF — mais ECP ne génère pas de documentation de conformité prête pour le CCN ni les déclarations de conformité ENS requises pour les marchés publics espagnols. Une entité espagnole utilisant ECP obtiendrait une bonne avance sur le travail de contrôle sous-jacent, mais aurait encore besoin d'auditeurs accrédités ENAC et de documents spécifiques au CCN pour une certification ENS formelle.
Pourquoi la certification ENS est-elle tellement plus coûteuse que CyFun via ECP ?
Des modèles différents. L'ENS est un cadre de conformité gouvernemental qui fixe des obligations et exige des auditeurs externes accrédités ENAC pour les systèmes MOYEN et ÉLEVÉ. La certification nécessite l'embauche d'auditeurs, la réalisation d'analyses d'écart, la mise en œuvre de 73 mesures et la maintenance de la documentation selon les guides CCN-STIC — ce qui explique le coût typique de 25 K€–45 K€ pour les systèmes de niveau MOYEN. ECP intègre la conformité CyFun dans une plateforme guidée avec des modèles de politiques, la collecte de preuves et des bundles d'audit — le MSP livre cela comme un service mensuel plutôt qu'un projet.
Pourquoi la transposition NIS2 de l'Espagne est-elle encore en attente en 2026 ?
L'Espagne a manqué le délai de transposition NIS2 de l'UE (17 octobre 2024). Le Conseil des ministres espagnol a approuvé un projet de loi de transposition NIS2 en janvier 2025, mais à mi-2026 il est encore en cours d'examen parlementaire. Le CCN a indiqué que la conformité ENS fournira une base solide pour la conformité NIS2 pour les entités du secteur public, mais la relation juridique exacte entre la certification ENS et les obligations NIS2 reste à définir une fois la loi de transposition adoptée.
Livrez l'audit-readiness CyFun à vos clients belges
Vous êtes un MSP belge ? CyFun — pas l'ENS — est la voie de conformité dont vos clients ont besoin. ECP la package comme un service MSP mensuel : workflows guidés, collecte de preuves, rapports white-label et un bundle d'audit signé que votre auditeur CAB accepte.
Ressources liées
Vérification des faits
| Affirmation | Source | Consulté le |
|---|---|---|
| ENS créé par RD 3/2010 ; mis à jour par le Décret Royal 311/2022, 3 mai 2022 | BOE — Boletín Oficial del Estado, RD 311/2022 | 2026-06-29 |
| CCN — Centro Criptológico Nacional est l'autorité de gouvernance ENS, rattaché au CNI | Site officiel CCN | 2026-06-29 |
| 73 mesures de sécurité en 4 groupes (org.* / op.* / mp.*) ; 3 niveaux de sécurité ; 5 dimensions | RD 311/2022 Annexe II + ens.ccn.cni.es | 2026-06-29 |
| Obligatoire pour toutes les administrations publiques espagnoles + fournisseurs TIC privés au secteur public | RD 311/2022 Article 2 (champ d'application) | 2026-06-29 |
| Organismes accrédités ENAC effectuent les audits ENS ; obligatoire pour MOYEN/ÉLEVÉ ; validité 2 ans | Informations de certification CCN ENS | 2026-06-29 |
| Coûts de certification ENS : BASE 12 K€–25 K€ ; MOYEN 25 K€–45 K€ ; ÉLEVÉ 100 K€+ (estimations sectorielles) | Estimations sectorielles — guide de certification ENS Delbion | 2026-06-29 |
| Projet de transposition NIS2 espagnol approuvé par le Conseil des ministres janvier 2025 ; en attente au parlement à mi-2026 | Outil de suivi de transposition de la directive NIS2 — Espagne | 2026-06-29 |
| La conformité ENS est complémentaire mais pas totalement équivalente aux obligations NIS2 | Analyse ENS et NIS2 — blog cybersécurité eIPosgrados | 2026-06-29 |
| Modèle de prix ECP : tarif par client selon la taille du site (XS 25 € / S 75 € / M 250 € / L 825 € / XL 2 750 € / XXL 9 075 €), sans base mensuelle, facturé annuellement en avance | ECP ADR-0035 per-client-only-pricing | 2026-06-29 |
| CyFun est la voie officielle belge de conformité NIS2, émis par le CCB | CCB Centre pour la Cybersécurité Belgique | 2026-06-29 |