Introducción
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
El Real Decreto 311/2022 actualiza el Esquema Nacional de Seguridad (ENS) para:
- Primero, alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital. Para lograrlo, se clarifica el ámbito de aplicación del ENS y se actualizan las referencias al marco legal vigente, de manera que se simplifiquen y armonicen los mandatos del ENS.
- Segundo, introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.
- Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.
Los sistemas afectados deberán adecuarse a lo dispuesto en el real decreto en un plazo de veinticuatro meses contados a partir de su entrada en vigor.
Objetivos
El Esquema Nacional de Seguridad (ENS) persigue los siguientes grandes objetivos:
- Crear las condiciones necesarias de seguridad en el uso de los medio electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Promover la gestión continuada de la seguridad.
- Promover la prevención, detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.
- Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público y de sus proveedores tecnológicos en materia de seguridad de las tecnologías de la información.
- Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document .
Elementos del Esquema Nacional de Seguridad
Los elementos principales del ENS son los siguientes:
- Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 5-11).
- Los requisitos mínimos que permitan una protección adecuada de la información (arts. 12-27).
- El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 28, 40, 41, Anexo I y Anexo II).
- El uso de infraestructuras y servicios comunes (art. 29).
- Los perfiles de cumplimiento específicos (art. 30).
- El informe de estado de la seguridad (art. 32)
- La auditoría de la seguridad (art. 31 y Anexo III).
- La respuesta ante incidentes de seguridad (arts. 33 y 34).
- El uso de productos certificados (art. 19 y Anexo II).
- La conformidad (art. 38).
- La formación y la concienciación (disposición adicional primera).
- Las guías de seguridad (disposición adicional segunda).
- Las instrucciones técnicas de seguridad (disposición adicional segunda).
El mandato principal del ENS es el establecido en el artículo 12 ‘Política de seguridad y requisitos mínimos de seguridad’, según el cual “cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente”, la cual “es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta” y se establecerá de acuerdo con los principios básicos y se desarrollará aplicando los requisitos mínimos, en proporción a los riesgos identificados en cada sistema.
Las instrucciones técnicas de seguridad , de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos.
Las guías de seguridad CCN-STIC , publicadas por el Centro Criptológico Nacional, en particular, la colección de guías de la serie 800, y disponibles en el Portal del CCN-CERT, ayudan al mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad.
Ámbito de aplicación
El ámbito de aplicación del Esquema Nacional de Seguridad comprende a todo el Sector Público, en los términos previstos en el artículo 2 de la Ley 40/2015; a los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales; y a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.
Adecuación al Esquema Nacional de Seguridad
Una adecuación ordenada al Esquema Nacional de Seguridad requiere genéricamente el tratamiento de las siguientes cuestiones, expresadas de forma sucinta:
- Preparar y aprobar la política de seguridad, incluyendo los objetivos o misión de la organización, el marco regulatorio de las actividades, la definición de roles de seguridad, la estructura y composición del comité para la gestión y coordinación de la seguridad, las directrices de estructuración de la documentación de la seguridad, y los riesgos derivados del tratamiento de datos personales.
- Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.
- Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
- Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.
- Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.
- Implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.
- Auditar la seguridad para verificar el cumplimiento de los requisitos del ENS.
- Obtener y publicitar la conformidad con el ENS.
- Informar sobre el estado de la seguridad.
Figura: Adecuación al Esquema Nacional de Seguridad.
Conformidad con el ENS
El artículo 38 sobre ‘Procedimientos de determinación de la conformidad con el Esquema Nacional de Seguridad’ señala que todos los sujetos responsables de los sistemas de información afectados por el ENS darán publicidad de las declaraciones y certificaciones conforme al ENS en sus portales de internet o sedes electrónicas. Esta obligación afecta a todo el Sector Público, a los sistemas de información clasificada y a las entidades del sector privado que les presten soluciones y servicios para el ejercicio de competencias y potestades administrativas.
La Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS.
Instrumentos para la adecuación al ENS
Instrumentos para abordar la adecuación al ENS:
Evolución del ENS
Más información
Rellene el formulario de Contacto para enviar su petición de información.