Actualització de l'esquema nacional de seguretat en l'administració electrònica

El Consell de Ministres ha aprovat un Reial decret que modifica un altre Reial decret del 8 de gener de 2010, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

L'objecte de la norma és reforçar la protecció de les Administracions Públiques enfront de les "ciberamenazas" mitjançant l'adequació a la ràpida evolució de les tecnologies, tot això tenint en consideració l'experiència adquirida en la implementació de l'esquema nacional de seguretat des de 2010. A més, permet adequar l'actual normativa al context regulatori internacional i europeu, en particular al previst en un Reglament comunitari de 2014 quant a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior. En definitiva, es tracta de dotar a l'Esquema Nacional de Seguretat dels mecanismes necessaris que millorin la resposta en matèria de seguretat dels sistemes tecnològics.

Por lo tanto, se modifica la normativa de protección contra las ciberamenazas reforzando los servicios de confianza y la protección para las transacciones electrónicas. Los sistemas deberán adecuarse a lo dispuesto en la presente modificación en un plazo de veinticuatro meses.

L'esforç realitzat per a l'actualització de l'Esquema Nacional de Seguretat respon a l'Objectiu I de l'Estratègia de Ciberseguretat Nacional que es refereix a "Garantir que els Sistemes d'Informació i Telecomunicacions que utilitzen les Administracions Públiques posseeixen l'adequat nivell de ciberseguretat i resiliència", així com als principis generals prevists en la Llei de Règim Jurídic del Sector Públic, que es refereixen a la seguretat com un element clau per a la interacció de les Administracions Públiques pel mitjà electrònic

Para ello, se introducen en el Esquema Nacional de Seguridad, entre otras, las siguientes medidas adicionales:

• En l'article 11, la gestió continuada de la seguretat com un aspecte clau que ha d'acompanyar als serveis disponibles per mitjans electrònics 24 hores al dia.
• En l'article 15, l'exigència, de manera objectiva i no discriminatòria, de professionals qualificats a les organitzacions que prestin serveis de seguretat a les Administracions Públiques.
• En l'article 18, la utilització, de forma proporcionada a la categoria del sistema i nivell de seguretat determinats, d'aquells productes que tinguin certificada la funcionalitat de seguretat relacionada amb l'objecte de la seva adquisició.
• En l'article 24, el desplegament de procediments de gestió d'incidents de seguretat i de febleses detectades en els elements del sistema d'informació.
• En l'article 27, la formalització de les mesures de seguretat en un document denominat ‘declaració d'aplicabilitat’ i la possibilitat de reemplaçar mesures de seguretat per altres compensatòries quan es justifiqui documentalment.
• En el artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoría de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.
• En el artículo 35, referencias expresas a la articulación de los procedimientos necesarios para la recogida y consolidación de la información para el informa anual de estado de la seguridad y organismos responsables de su realización.
• En el artículo 36, la notificación al Centro Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
• En l'article 37, les evidències necessàries per a la recerca d'incidents de seguretat per part del Centre Criptològic Nacional.
• La millora de diverses mesures de seguretat per millorar la seva eficàcia i per adequar-se al previst en el Reglament nº 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior i pel qual es deroga la Directiva 1999/93/CE. En particular, els apartats 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 i 5.8.2.
• També es concreta l'Annex III, referit a l'auditoria de seguretat, es modifica el Glossari de termes recollit en l'Annex IV, s'actualitza la redacció de la clàusula administrativa particular continguda en l'Annex V, s'elimina la referència a INTECO i s'estableix mitjançant disposició transitòria un termini de vint-i-quatre mesos explicats a partir de l'entrada en vigor per a l'adequació dels sistemes al que es disposa en la modificació.

Font original de la notícia

Publicat en BOE el 4-11-2015: Reial decret 951/2015 , de 23 d'octubre, de modificació del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.