Publicat el nou Reial decret que regula l'Esquema Nacional de Seguretat

El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat , aprovat pel Consell de Ministres de 3 de maig de 2022, substituïx al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

L'objecte de la norma és l'actualització de l'Esquema Nacional de Seguretat (ENS) per a adaptar-ho a la nova realitat normativa i a l'increment de les ciberamenazas tant quantitativa com qualitativament, i així poder garantir una resposta més adequada davant els ciberatacs, propiciant la resiliència dels sistemes, i proporcionant un tractament més segur de la informació i els servicis públics.

Per a acomodar una resposta a les amenaces provinents del ciberespai, l'actualització de l'ENS perseguix tres grans objectius.

Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per a garantir la seguretat en l'Administració Digital. Per a aconseguir-ho, s'aclarix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquen i harmonitzen els mandats de l'ENS.

Segon, introduir la capacitat d'ajustar els requisits de l'ENS per a garantir la seua adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.

Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seua entrada en vigor.

L'esforç realitzat per a l'actualització de l'ENS respon a l'execució de la Reforma 9.3 “Una Administració Cibersegura” del Pla de Digitalització de les Administracions Públiques 2021-2025, així com a les reformes previstes en l'agenda Espanya Digital 2025, amb la finalitat de convertir-se en una mesura urgent de reforç del marc normatiu en matèria de ciberseguretat.

Les novetats

cal destacar les següents novetats:

• Se ha revisat i actualitzat la redacció de l'àmbit d'aplicació (art 2 i DONA 3ª) amb una doble finalitat:

En primer lloc, per a aclarir-ho i que tots dos sectors, públic i privat (proveïdors o subministradors tecnològics de les entitats del sector públic), siguen conscients del que els és exigible, en benefici últim de la ciberseguretat pública i dels drets dels ciutadans.

En segon lloc, per a estendre la seua aplicació als sistemes que manegen o tracten informació classificada, sense perjuí que poguera resultar necessari complementar les mesures de seguretat previstes en l'ENS amb altres específiques per a tals sistemes.

• S'ha realitzat la clarificació, precisió, homogeneïtzació, simplificació, o actualització de diferents aspectes del text, així com l'eliminació d'aspectes no necessaris o excessius (un capítol de ‘Comunicacions electròniques’, amb tres articles, ja superat per les lleis 39/2015, d'1 d'octubre i 40/2015, d'1 d'octubre, i el seu desenvolupament reglamentari).

• A través del nou article 30 s'han incorporat els perfils de compliment específics que introduïxen la capacitat d'ajustar els requisits de l'ENS a necessitats específiques, mitjançant la definició d'un conjunt de mesures de seguretat que resulten d'aplicació a una entitat o sector d'activitat concreta, i per a una determinada categoria de seguretat (per ex. per a Entitats Locals), la qual cosa permet aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant els recursos requerits sense menyscapte de la protecció perseguida i exigible.

• S'han revisat els principis bàsics, els requisits mínims i les mesures de seguretat:

1. El principi abans denominat ‘prevenció, reacció i recuperació’ passa a denominar-se ‘prevenció, detecció i resposta’, entenent que la “recuperació” es troba subsumida en el concepte més ampli de “resposta”, que ho inclou.

2. S'introduïx el principi de “vigilància contínua” per a permetre la detecció d'activitats o comportaments anòmals i la seua oportuna resposta i impulsar l'avaluació permanent de l'estat de la seguretat dels actius, per a detectar vulnerabilitats i identificar deficiència de configuració.

3.  S'aclarix la redacció del principi “responsabilitats diferenciades” per a precisar els aspectes relatius al responsable de la seguretat i al responsable del sistema.

• En l'article 12 “Política de seguretat i requisits mínims de seguretat” s'expliciten quins són els elements principals que ha d'incloure la política de seguretat; qui han de disposar de la citada política incloent cada administració almenys, cada òrgan o entitat amb personalitat jurídica pròpia sense perjuí de poder quedar inclosos en l'àmbit subjectiu de la política de seguretat de l'Administració amb la qual guarden relació de vinculació, dependència o adscripció; i, finalment, es precisa que en l'àmbit de l'Administració General de l'Estat, cada ministeri comptarà amb la seua política de seguretat, mentre que els organismes públics o entitats pertanyents al sector públic institucional estatal podran ben comptar amb la seua pròpia política de seguretat o, bé quedar compresos en l'àmbit de la política de seguretat del Departament amb el qual mantinguen relació de vinculació, dependència o adscripció.

• En l'article 13 “Organització i implantació de la seguretat” s'aclarix el paper de les figures principals en l'aplicació de l'ENS: responsable de la informació, responsable del servici, responsable del sistema, responsable de la seguretat. A més, en el cas dels servicis externalitzats és necessari comptar amb una figura que ajude a canalitzar i supervisar el compliment dels requisits de seguretat del servici que presta, així com la gestió dels possibles incidents de seguretat raó per la qual s'establix que aquests servicis han de comptar amb un punt d'explicat. En qualsevol cas la responsabilitat última residix en l'entitat del sector públic destinatària o contractant dels servicis en qüestió que ha d'exigir als seus subministradors la deguda diligència en matèria de seguretat.

• En el capítol dels requisits mínims de seguretat es reforcen la importància de la política de seguretat i el requisit mínim “seguretat per defecte” que passa a denominar-se “mínim privilegi”, amb diverses millores en altres requisits mínims. Efectivament, quant a la relació de requisits mínims inclosa en l'apartat 6, se significa l'evolució de la denominació del requisit de la lletra h) “Seguretat per defecte” segons el reial decret de 2010, cap a la denominació “mínim privilegi” per respondre millor a l'escenari actual i esdevenidor que emfatitza que les funcionalitats dels sistemes han de configurar-se de manera que siguen les mínimes i necessàries perquè l'organització aconseguisca els seus objectius. D'altra banda, en relació amb la lletra f) “Protecció de les instal·lacions” en l'article 18 que tracta esta qüestió s'establix una vinculació amb la legislació relativa a la protecció de les infraestructures crítiques.

• En el artículo 28 “Cumplimiento de los requisitos mínimos” se deja abierta la posibilidad de que, una vez satisfechos los mínimos exigibles, el responsable de seguridad pueda, en función de los resultados del análisis de riesgos, a la luz del estado del arte de la tecnología, de la naturaleza de la información tratada y de los servicios prestados y de los riesgos identificados, ampliar las medidas de protección con los refuerzos que se identifican para las mismas.

• Se ha perfeccionado el artículo 33 “Capacidad de respuesta a incidentes de seguridad de la información” en el que se detallan de forma más pormenorizada:

1. Las condiciones relativas a la notificación de incidentes de seguridad por parte de las entidades del sector público al CCN-CERT y a las correspondientes actuaciones respuesta por parte de la Secretaría General de Administración Digital y del CCN-CERT.

2. Las condiciones de la notificación de incidentes de seguridad al INCIBE-CERT por parte de las entidades del sector privado que preste servicios a las entidades públicas; todo ello en el marco de lo previsto en el Real Decreto 43/2021, de 26 de enero.

3. El papel de otros actores como la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior cuando un operador esencial que haya sido designado como operador crítico sufra un incidente; el ESPDEF-CERT del Mando Conjunto del Ciberespacio (MCCE) cuando un operador con incidencia en la Defensa Nacional sufra un incidente; la Intervención General de la Administración del Estado cuando se trate de un incidente de seguridad que afecte a un medio o servicio común bajo su ámbito de responsabilidad.

• La disposició transitòria, sobre adequació de sistemes, contempla un termini de vint-i-quatre mesos per a l'adequació a l'ENS dels sistemes preexistents a la seua entrada en vigor, circumstància que es manifestarà amb l'exhibició del corresponent distintiu de conformitat derivats de declaracions o certificacions. La disposició té present que hi haurà sistemes que ja comptaran amb els corresponents distintius de conformitat i que, segons la pràctica habitual amb este tipus de distintius, podran mantindre la seua vigència procedint a la seua renovació a mesura que arribe la seua caducitat abans que arribe el citat termini.

• En l'annex II de mesures de seguretat, se han actualizado las medidas de seguridad en el marco operacional y en las medidas de protección. Como resultado de estas modificaciones de detalle, algunas medidas han ampliado considerablemente su nivel de exigencia para determinadas categorías (10), y otras lo han aumentado levemente (14). Por el contrario, otras medidas han simplificado su nivel de exigencia (6), y algunas medidas han sido eliminadas y/o englobadas dentro de otras (9). Por último, se han creado nuevas medidas que no existían (6). El resto, sólo han sufrido cambios de redacción, o se han concretado:

• Entre les noves mesures, s'han inclòs les relatives a servicis en el núvol, interconnexió de sistemes, protecció de la cadena de subministrament (al·ludix als proveïdors o subministradors tecnològics de les entitats del sector públic), mitjans alternatius, vigilància i altres dispositius connectats a la xarxa.

• Se han reforzado medidas relativas a la identificación, la configuración de seguridad, la gestión de la configuración de seguridad, la protección frente al código dañino, el registro de actividad, la gestión de capacidad, la detección de intrusión, el sistema de métricas y la aceptación y puesta en servicio.

• Altres mesures amb un reforç més lleuger inclouen els requisits d'accés, la gestió de canvis, la gestió d'incidents, manteniment i actualitzacions de seguretat, protecció de la confidencialitat i còpies de seguretat.

• Se han simplificado algunas medidas como segregación de tareas, sellos de tiempo, calificación de la información, protección de dispositivos portátiles, protección frente a denegación de servicio o perímetro seguro.

• S'han eliminat mesures tals com les relatives a personal alternatiu, mitjans alternatius, protecció dels registres d'activitat per estar cobertes per altres mesures. 

Finalment, com a ajuda a la implantació i revisió de les mesures de protecció, d'una banda, s'han codificat els seus requisits; i, per una altra, per a indicar una major exigència s'empren els reforços de seguretat, també codificats, que se sumen als requisits base de la mesura, però que no sempre són incrementals entre si; de manera que, en certs casos, es pot triar entre aplicar un reforç o un altre d'entre els recollits per a les mesures en funció de l'anàlisi dels riscos i del criteri del responsable de la seguretat.