Introducció

Els ciutadans confien que els serveis disponibles per mitjans electrònics es prestin en unes condicions de seguretat equivalents a les quals es troben quan s'apropen personalment a les oficines de l'Administració. A més, bona part de la informació continguda en els sistemes d'informació de les AA.PP. i els serveis que presten constitueixen actius nacionals estratègics. La informació i els serveis prestats estan sotmesos a amenaces i riscos provinents d'accions malintencionades o il·lícites, errors o fallades i accidents o desastres.

La Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als Serveis Públics(Obre en nova finestra) , estableix principis i drets relatius a la seguretat en relació amb el dret dels ciutadans a comunicar-se amb les AA.PP. a través de mitjans electrònics; i el seu article 42 crea l'Esquema Nacional de Seguretat.

L'Esquema Nacional de Seguretat (ENS), regulat pel Reial decret 3/2010 , de 8 de gener(Obre en nova finestra) , determina la política de seguretat que s'ha d'aplicar en la utilització dels mitjans electrònics. L'ENS està constituït pels principis bàsics i requisits mínims per a una protecció adequada de la informació. Serà aplicat per les AA.PP. per assegurar l'accés, integritat, disponibilitat, autenticitat, confidencialitat, traçabilitat i conservació de les dades, informacions i serveis utilitzats en mitjans electrònics que gestions en l'exercici de les seves competències.

L'ENS s'ha elaborat a la llum de l'estat de l'art i dels principals referents en matèria de seguretat de la informació provinents de la Unió Europea, OCDE, normalització nacional i internacional, actuacions similars en altres països, etc.

L'ENS és el resultat d'un treball coordinat pel Ministeri de la Presidència, assumit posteriorment pel Ministeri d'Hisenda i Funció Pública, amb el suport del Centre Criptològic Nacional (CCN) i la participació de totes les AA.PP., a través dels òrgans col·legiats amb competències en matèria d'administració electrònica. També s'ha tingut present l'opinió de les associacions de la Indústria del sector TIC.

Objectius

L'Esquema Nacional de Seguretat (ENS) persegueix els següents objectius :

  • Crear les condicions necessàries de confiança en l'ús dels mitjans electrònics, a través de mesures per garantir la seguretat de la informació i els serveis electrònics, que permeti als ciutadans i a les Administracions Públiques, l'exercici de drets i el compliment de deures a través d'aquests mitjans.
  • Establir la política de seguretat en la utilització de mitjans electrònics en l'àmbit de la Llei 11/2007, que estarà constituïda pels principis bàsics i els requisits mínims per a una protecció adequada de la informació.
  • Introduir els elements comuns que han de guiar l'actuació de les Administracions públiques en matèria de seguretat de les tecnologies de la informació.
  • Aportar un llenguatge comú per facilitar la interacció de les Administracions públiques, així com la comunicació dels requisits de seguretat de la informació a la Indústria.
  • Aportar un tractament homogeni de la seguretat que faciliti la cooperació en la prestació de serveis d'administració electrònica quan participen diverses entitats.
  • Facilitar un tractament continuat de la seguretat.

En l'Esquema Nacional de Seguretat es concep la seguretat com una activitat integral, en la qual no caben actuacions puntuals o tractaments conjunturals, a causa que la debilitat d'un sistema la determina el seu punt més fràgil i, sovint, aquest punt és la coordinació entre mesures individualment adequades però deficientment assemblades.

Elements de l'Esquema Nacional de Seguretat

Els elements principals de l'ENS són els següents:

  • Els principis bàsics a considerar en les decisions en matèria de seguretat.
  • Els requisits mínims que permetin una protecció adequada de la informació.
  • El mecanisme per aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els serveis a protegir.
  • Les comunicacions electròniques.
  • L'auditoria de la seguretat.
  • La resposta davant incidents de seguretat.
  • La certificació de la seguretat.
  • La conformitat.

L'aspecte principal de l'ENS és, sens dubte, que tots els òrgans superiors de les AA.PP. hauran de disposar de la seva política de seguretat que s'establirà sobre la base dels principis bàsics i que es desenvoluparà aplicant els requisits mínims.

Àmbit d'aplicació

El seu àmbit d'aplicació és l'establert en article 2 de la Llei 11/2007(Obre en nova finestra) , de 22 de juny, d'accés electrònic dels ciutadans als Serveis Públics.Estaran exclosos els sistemes que tracten informació classificada regulada per Llei 9/1968 de 5 d'abril, de Secrets Oficials, modificada per Llei 48/1978, de 7 d'octubre i normes de desenvolupament.

Adequació a l'Esquema Nacional de Seguretat

En la disposició transitòria del Reial decret 3/2010(Obre en nova finestra) s'articula un mecanisme escalonat per a l'adequació al previst en l'Esquema Nacional de Seguretat de manera que els sistemes de les administracions hauran d'estar adequats a aquest Esquema en uns terminis en cap cas superiors a 48 mesos des de l'entrada en vigor del mateix. El termini d'adequació ha vençut el 30 de gener de 2014.

L'adequació ordenada a l'Esquema Nacional de Seguretat requereix el tractament de les següents qüestions:

Figura Adequació a l'ENS

Evolució de l'ENS

Reial decret 3/2010, de 8 de gener (BOE de 29 de gener), pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'administració electrònica.

Correcció d'errors del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (BOE d'11 de març).

enllaç extern Text consolidat Reial decret 3/2010, de 8 de gener. (Inclou correcció d'errors publicada el dia 11 de març).

enllaç externReial decret 951/2015, de 23 d'octubre, de modificació del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.(Obre en nova finestra)

Més informació

Empleni el formulari de  Contacte(Obre en nova finestra)  per enviar la seva petició d'informació.