Tal dia com avui, fa deu anys, s'aprovava el Reial decret 3/2010, de 8 de gener, pel qual es regulava l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica. Vint-i-un dies després, el 29 de gener, es publicava en el Butlletí Oficial de l'Estat, BOE, establint els principis bàsics i els requisits mínims que, d'acord amb l'interès general, permetien una protecció adequada de la informació, les comunicacions i els serveis de les Administracions Públiques.
Posteriorment, en 2015, es va ampliar l'àmbit d'aplicació de l'a
Esquema Nacional de Seguridad (ENS)
tot el Sector Públic de la mà de la Llei 40/2015 i va ser modificat a través del RD 951/20105, de 23 de octubre a la luz de la experiencia adquirida y del contexto normativo comunitario, particularmente del Reglamento
eIDAS
. L'incloïa
ENS
de forma pionera, 75 mesures de seguretat de compliment obligat per part del Sector Públic espanyol, tant en el marc organitzatiu, com a operacional i de protecció.
Una fortaleza que ha posicionado a nuestro país como un referente en la Unión Europea y que es el resultado de un esfuerzo colectivo de las Administraciones Públicas de España, con la colaboración del Sector Privado, que contribuyeron activamente a su elaboración y aplicación liderados por el Ministerio de Política Territorial y Función Pública a través de la Secretaría General de Administración Digital,
SGAD
, (en 2010 quan va ser aprovat, Ministeri de la Presidència) i el Centre Criptològic Nacional.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público y ha venido acompañado de 61 Guías CCN-STIC (Sèrie 800), 14 solucions de ciberseguretat desenvolupades pel CCN i 4 Instruccions Tècniques de Seguretat (
ITS
) publicades en el BOE sobre notificació d'incidents, Auditoria de la Seguretat en els Sistemes d'Informació, de conformitat amb el propi Esquema i de l'Informe de l'Estat de la Seguretat.
Precisament, per confeccionar aquest informe i poder establir un sistema de mesurament de la seguretat del Sector Públic, el
CCN
va desenvolupar la solució
INES
(Informe Nacional de l'Estat de Seguretat) per facilitar d'una manera més ràpida i intuïtiu el seu nivell d'adequació al
ENS
. S'ha realitzat cinc edicions realitzades de l'informe
INES
i la sisena en curs. En 2019, 1006 entitats havien carregat les seves dades, enfront de les 799 d'un any abans. La valoració general que es desprèn de l'informe
INES
és que s'ha de mantenir l'esforç d'implantació de l'ENS, máxime quan es demostra que la seva aplicació ajuda a una millor protecció enfront de les ciberamenazas.
També en 2015 es van establir els criteris per aconseguir el compliment amb l'Esquema i la seva corresponent Declaració i Certificació de la Conformitat amb
ENS
el , de manera que la col·laboració de la
SGAD
i l'amb
CCN
l'Entitat Nacional d'Acreditació (
ENAC
) va donar lloc a l'esquema d'acreditació i certificació que ha permès que a la data hi hagi 8 entitats de certificació acreditades i al final de 2019 més de 160 entitats certificades (públiques i privades).
Finalment, i ja en 2018, es va crear el Consell de Certificació de l'Esquema Nacional de Seguretat (
CoCENS
), que el seu objectiu és ajudar a l'adequada implantació de l'i,
ENS
en conseqüència, a la millor i més garant prestació dels serveis públics.
ENS en revisió
En aquest moment d'aniversari cal realitzar una revisió de l'ENS en la qual, aprenent de l'experiència d'aquests deu anys, es pugui preparar l'Esquema per afrontar les noves amenaces; millorar les capacitats de vigilància i dissenyar respostes cada vegada més eficaces enfront dels atacs; per reduir la superfície d'exposició a vulnerabilitats i deficiències de configuració dels sistemes.
Per a això cal, primer, alinear l'ENS amb el marc legal i el context estratègic a la data de 2020 per facilitar la seguretat en l'administració digital; segon, introduir certa flexibilitat per facilitar l'aplicació de l'ENS a necessitats específiques de certs col·lectius d'entitats o tecnologies; i tercer, actualitzar l'ENS per facilitar la resposta a les tendències en ciberseguretat, reduir vulnerabilitats i promoure la defensa activa mitjançant la revisió, a la llum de l'estat de l'art, dels principis bàsics, els requisits mínims i les mesures de seguretat, incidint, en particular, en qüestions tals com el monitoratge dels sistemes, la vigilància amb eines de detecció d'amenaces avançades i correlació d'esdeveniments, i la disposició d'observatoris amb finalitats de cibervigilancia, aproximacions més específiques per a la notificació i gestió d'incidents, mesures per a la utilització de serveis en el núvol, i per ajudar a la protecció de dades personals segons l'indicat en la disposició addicional primera de la Llei Orgànica 3/2018.