O Consello de Ministros aprobou un Real Decreto que modifica outro Real Decreto do 8 de xaneiro de 2010, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
O obxecto da norma é reforzar a protección das Administracións Públicas fronte ás "ciberamenazas" mediante a adecuación á rápida evolución das tecnoloxías, todo iso tendo en consideración a experiencia adquirida na implementación do esquema nacional de seguridade desde 2010. Ademais, permite adecuar a actual normativa ao contexto regulatorio internacional e europeo, en particular ao previsto nun Regulamento comunitario de 2014 no relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior. En definitiva, trátase de dotar ao Esquema Nacional de Seguridade dos mecanismos necesarios que melloren a resposta en materia de seguridade dos sistemas tecnolóxicos.
Por tanto, modifícase a normativa de protección contra as ciberamenazas reforzando os servizos de confianza e a protección para as transaccións electrónicas. Os sistemas deberán adecuarse ao disposto na presente modificación nun prazo de vinte e catro meses.
O esforzo realizado para a actualización do Esquema Nacional de Seguridade responde ao Obxectivo I da Estratexia de Ciberseguridade Nacional que se refire a "Garantir que os Sistemas de Información e Telecomunicacións que utilizan as Administracións Públicas posúen o adecuado nivel de ciberseguridade e resiliencia", así como aos principios xerais previstos na Lei de Réxime Xurídico do Sector Público, que se refiren a a seguridade como un elemento crave para a interacción das Administracións Públicas polo medio electrónico
Para iso, introdúcense no Esquema Nacional de Seguridade, entre outras, as seguintes medidas adicionais:
- No artigo 11, a xestión continuada da seguridade como un aspecto crave que ha de acompañar aos servizos dispoñibles por medios electrónicos 24 horas ao día.
- No artigo 15, a esixencia, de maneira obxectiva e non discriminatoria, de profesionais cualificados ás organizacións que presten servizos de seguridade ás Administracións Públicas.
- No artigo 18, a utilización, de forma proporcionada á categoría do sistema e nivel de seguridade determinados, daqueles produtos que teñan certificada a funcionalidade de seguridade relacionada co obxecto da súa adquisición.
- No artigo 24, o despregamento de procedementos de xestión de incidentes de seguridade e de debilidades detectadas nos elementos do sistema de información.
- No artigo 27, a formalización das medidas de seguridade nun documento denominado ‘declaración de aplicabilidade’ e a posibilidade de substituír medidas de seguridade por outras compensatorias cando se xustifique documentalmente.
- No artigo 29, a figura das “Instrucións técnicas de seguridade” que regularán aspectos tales como o informe do estado da seguridade, a auditoría da seguridade, a conformidade co Esquema, a notificación de incidentes de seguridade, a adquisición de produtos de seguridade, a criptología empregada no ámbito do Esquema e os requisitos de seguridade en contornas externalizados, entre outras.
- No artigo 35, referencias expresas á articulación dos procedementos necesarios para a recollida e consolidación da información para o informa anual de estado da seguridade e organismos responsables da súa realización.
- No artigo 36, a notificación ao Centro Criptolóxico Nacional daqueles incidentes que teñan un impacto significativo na seguridade da información manexada e dos servizos prestados.
- No artigo 37, as evidencias necesarias para a investigación de incidentes de seguridade por parte do Centro Criptolóxico Nacional.
- A mellora de diversas medidas de seguridade para mellorar a súa eficacia e para adecuarse ao previsto no Regulamento nº 910/2014 do Parlamento Europeo e do Consello, do 23 de xullo de 2014, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE. En particular, os apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 e 5.8.2.
- Tamén se concreta o Anexo III, referido a a auditoría de seguridade, modifícase o Glosario de termos recolleito no Anexo IV, actualízase a redacción da cláusula administrativa particular contida no Anexo V, elimínase a referencia a INTECO e establécese mediante disposición transitoria un prazo de vinte e catro meses contados a partir da entrada en vigor para a adecuación dos sistemas ao disposto na modificación.
Publicado en BOE o 4-11-2015: Real Decreto 951/2015 , do 23 de outubro, de modificación do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.