Esquema Nacional de Seguridade

O Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade substitúe ao Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.

O Real Decreto 311/2022 actualiza o Esquema Nacional de Seguridade (ENS) para:

Primeiro, aliñar o ENS co marco normativo e o contexto estratéxico existentes para garantir a seguridade na Administración Dixital. Para logralo, clarifícase o ámbito de aplicación do ENS e actualízanse as referencias ao marco legal vixente, de maneira que se simplifiquen e harmonicen os mandatos do ENS.

Segundo, introducir a capacidade de axustar os requisitos do ENS para garantir a súa adaptación á realidade de certos colectivos ou tipos de sistemas, atendendo á semellanza dos riscos aos que están expostos os seus sistemas de información.

Terceiro, reforzar a protección fronte ás tendencias en ciberseguridade mediante a revisión dos principios básicos, os requisitos mínimos e as medidas de seguridade que deben adoptarse polas entidades suxeitas ao ENS.

Os sistemas afectados deberán adecuarse ao disposto no real decreto nun prazo de vinte e catro meses contados a partir da súa entrada en vigor.

Obxectivos do ENS

O Esquema Nacional de Seguridade (ENS) persegue os seguintes grandes obxectivos:

• Crear as condicións necesarias de seguridade no uso dos medio electrónicos, a través de medidas para garantir a seguridade dos sistemas, os datos, as comunicacións, e os servizos electrónicos, que permita o exercicio de dereitos e o cumprimento de deberes a través destes medios.
• Promover a xestión continuada da seguridade.
• Promover a prevención, detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
• Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público e dos seus provedores tecnolóxicos en materia de seguridade das tecnoloxías da información.
• Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document .

Elementos do Esquema Nacional de Seguridade

Os elementos principais do ENS son os seguintes:

• Os principios básicos a considerar nas decisións en materia de seguridade (arts. 5-11).
• Os requisitos mínimos que permitan unha protección adecuada da información (arts. 12-27).
• O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 28, 40, 41, Anexo I e Anexo II).
• O uso de infraestruturas e servizos comúns (art. 29).
• As guías de seguridade (art. 30 e disposición adicional segunda).
• As instrucións técnicas de seguridade (art. 30 e disposición adicional segunda).
• O informe de estado da seguridade (art. 32)
• A auditoría da seguridade (art. 31 e Anexo III).
• A resposta ante incidentes de seguridade (arts. 33 e 34).
• O uso de produtos certificados (art. 19 e Anexo II).
• A conformidade (art. 38).
• A formación e a concienciación (disposición adicional primeira).

O mandato principal do ENS é o establecido no artigo 12 ‘Política de seguridade e requisitos mínimos de seguridade’, segundo o cal “cada administración pública contará cunha política de seguridade formalmente aprobada polo órgano competente”, a cal “é o conxunto de directrices que rexen a forma en que unha organización xestiona e protexe a información que trata e os servizos que presta” e establecerase de acordo con os principios básicos e desenvolverase aplicando os requisitos mínimos, en proporción aos riscos identificados en cada sistema.

As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos.

As guías de seguridade CCN-STIC , publicadas polo Centro Criptolóxico Nacional, en particular, a colección de guías da serie 800, e dispoñibles no Portal do CCN-CERT, axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade.

Ámbito de aplicación

O ámbito de aplicación do Esquema Nacional de Seguridade comprende a todo o Sector Público, nos termos previstos no artigo 2 da Lei 40/2015; aos sistemas que tratan información clasificada, sen prexuízo da aplicación da Lei 9/1968, do 5 de abril, de Segredos Oficiais; e aos sistemas de información das entidades do sector privado cando presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas.

Adecuación ao Esquema Nacional de Seguridade

Unha adecuación ordenada ao Esquema Nacional de Seguridade require genéricamente o tratamento das seguintes cuestións, expresadas de forma sucinta:

• Preparar e aprobar a política de seguridade, incluíndo os obxectivos ou misión da organización, o marco regulatorio das actividades, a definición de roles de seguridade, a estrutura e composición do comité para a xestión e coordinación da seguridade, as directrices de estruturación da documentación da seguridade, e os riscos derivados do tratamento de datos persoais.
• Categorizar os sistemas atendendo á valoración da información manexada e dos servizos prestados.
• Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes.
• Preparar e aprobar a Declaración de aplicabilidade das medidas do Anexo II do ENS.
• Elaborar un plan de adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución.
• Implantar, operar e monitorar as medidas de seguridade a través da xestión continuada da seguridade correspondente.
• Auditar a seguridade para verificar o cumprimento dos requisitos do ENS.
• Obter e publicitar a conformidade co ENS.
• Informar o estado da seguridade.

Conformidade co ENS

O artigo 38 sobre ‘Procedementos de determinación da conformidade co Esquema Nacional de Seguridade’ sinala que todos os suxeitos responsables dos sistemas de información afectados polo ENS darán publicidade das declaracións e certificacións conforme ao ENS nos seus portais de internet ou sedes electrónicas. Esta obriga afecta a todo o Sector Público, aos sistemas de información clasificada  e ás entidades do sector privado que lles presten solucións e servizos para o exercicio de competencias e potestades administrativas.

A Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.

Instrumentos para a adecuación do ENS

• Contorna de validación do ENS
• Guías CCN-STIC
• Soluciones de Ciberseguridade do CCN
• Magerit – v.3 Metodoloxías de Análises e Xestión de Riscos dos Sistemas de Información
• Infraestruturas e servizos comúns
• Produtos certificados

Evolución do ENS

• Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (texto consolidado) .
• Real Decreto 951/2015, do 23 de outubro, de modificación do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
• Real Decreto 311/2022, do 3 de maio, que regula o Esquema Nacional de Seguridade .

Máis información

Encha o formulario de  Contacto  para enviar o seu pedimento de información.