O Consello de Ministros aprobou un Real Decreto que modifica outro Real Decreto do 8 de xaneiro de 2010, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
El objeto de la norma es reforzar la protección de las Administraciones Públicas frente a las "ciberamenazas" mediante la adecuación a la rápida evolución de las tecnologías, todo ello teniendo en consideración la experiencia adquirida en la implementación del esquema nacional de seguridad desde 2010. Además, permite adecuar la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en un Reglamento comunitario de 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. En definitiva, se trata de dotar al Esquema Nacional de Seguridad de los mecanismos necesarios que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos.
Por tanto, modifícase a normativa de protección contra as ciberamenazas reforzando os servizos de confianza e a protección para as transaccións electrónicas. Os sistemas deberán adecuarse ao disposto na presente modificación nun prazo de vinte e catro meses.
O esforzo realizado para a actualización do Esquema Nacional de Seguridade responde ao Obxectivo I da Estratexia de Ciberseguridade Nacional que se refire a "Garantir que os Sistemas de Información e Telecomunicacións que utilizan as Administracións Públicas posúen o adecuado nivel de ciberseguridade e resiliencia", así como aos principios xerais previstos na Lei de Réxime Xurídico do Sector Público, que se refiren a a seguridade como un elemento crave para a interacción das Administracións Públicas polo medio electrónico
Para iso, introdúcense no Esquema Nacional de Seguridade, entre outras, as seguintes medidas adicionais:
- No artigo 11, a xestión continuada da seguridade como un aspecto crave que ha de acompañar aos servizos dispoñibles por medios electrónicos 24 horas ao día.
- No artigo 15, a esixencia, de maneira obxectiva e non discriminatoria, de profesionais cualificados ás organizacións que presten servizos de seguridade ás Administracións Públicas.
- No artigo 18, a utilización, de forma proporcionada á categoría do sistema e nivel de seguridade determinados, daqueles produtos que teñan certificada a funcionalidade de seguridade relacionada co obxecto da súa adquisición.
- No artigo 24, o despregamento de procedementos de xestión de incidentes de seguridade e de debilidades detectadas nos elementos do sistema de información.
- No artigo 27, a formalización das medidas de seguridade nun documento denominado ‘declaración de aplicabilidade’ e a posibilidade de substituír medidas de seguridade por outras compensatorias cando se xustifique documentalmente.
- No artigo 29, a figura das “Instrucións técnicas de seguridade” que regularán aspectos tales como o informe do estado da seguridade, a auditoría da seguridade, a conformidade co Esquema, a notificación de incidentes de seguridade, a adquisición de produtos de seguridade, a criptología empregada no ámbito do Esquema e os requisitos de seguridade en contornas externalizados, entre outras.
- No artigo 35, referencias expresas á articulación dos procedementos necesarios para a recollida e consolidación da información para o informa anual de estado da seguridade e organismos responsables da súa realización.
- No artigo 36, a notificación ao Centro Criptolóxico Nacional daqueles incidentes que teñan un impacto significativo na seguridade da información manexada e dos servizos prestados.
- No artigo 37, as evidencias necesarias para a investigación de incidentes de seguridade por parte do Centro Criptolóxico Nacional.
- A mellora de diversas medidas de seguridade para mellorar a súa eficacia e para adecuarse ao previsto no Regulamento nº 910/2014 do Parlamento Europeo e do Consello, do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE. En particular, os apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 e 5.8.2.
- Tamén se concreta o Anexo III, referido a a auditoría de seguridade, modifícase o Glosario de termos recolleito no Anexo IV, actualízase a redacción da cláusula administrativa particular contida no Anexo V, elimínase a referencia a INTECO e establécese mediante disposición transitoria un prazo de vinte e catro meses contados a partir da entrada en vigor para a adecuación dos sistemas ao disposto na modificación.
Publicado en BOE o 4-11-2015: Real Decreto 951/2015
, do 23 de outubro, de modificación do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
