Publicat el nou Reial decret que regula l'Esquema Nacional de Seguretat

El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat , aprobado por el Consejo de Ministros de 3 de mayo de 2022, sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

El objeto de la norma es la actualización del Esquema Nacional de Seguridad (ENS) para adaptarlo a la nueva realidad normativa y al incremento de las ciberamenazas tanto cuantitativa como cualitativamente, y así poder garantizar una respuesta más adecuada ante los ciberataques, propiciando la resiliencia de los sistemas, y proporcionando un tratamiento más seguro de la información y los servicios públicos.

Per a acomodar una resposta a les amenaces provinents del ciberespai, l'actualització de l'ENS perseguix tres grans objectius.

Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per a garantir la seguretat en l'Administració Digital. Per a aconseguir-ho, s'aclarix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquen i harmonitzen els mandats de l'ENS.

Segon, introduir la capacitat d'ajustar els requisits de l'ENS per a garantir la seua adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.

Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seua entrada en vigor.

El esfuerzo realizado para la actualización del ENS responde a la ejecución de la Reforma 9.3 “Una Administración Cibersegura” del Plan de Digitalización de las Administraciones Públicas 2021-2025, así como a las reformas previstas en la agenda España Digital 2025, con la finalidad de convertirse en una medida urgente de refuerzo del marco normativo en materia de ciberseguridad.

Les novetats

cal destacar les següents novetats:

• Se ha revisado y actualizado la redacción del ámbito de aplicación (art 2 y DA 3ª) con una doble finalidad:

En primer lloc, per a aclarir-ho i que tots dos sectors, públic i privat (proveïdors o subministradors tecnològics de les entitats del sector públic), siguen conscients del que els és exigible, en benefici últim de la ciberseguretat pública i dels drets dels ciutadans.

En segundo lugar, para extender su aplicación a los sistemas que manejan o tratan información clasificada, sin perjuicio de que pudiera resultar necesario complementar las medidas de seguridad previstas en el ENS con otras específicas para tales sistemas.

• Se ha realitzat la clarificació, precisió, homogeneïtzació, simplificació, o actualització de diferents aspectes del text, així com l'eliminació d'aspectes no necessaris o excessius (un capítol de ‘Comunicacions electròniques’, amb tres articles, ja superat per les lleis 39/2015, d'1 d'octubre i 40/2015, d'1 d'octubre, i el seu desenvolupament reglamentari).

• A través del nou article 30 s'han incorporat els perfils de compliment específics que introduïxen la capacitat d'ajustar els requisits de l'ENS a necessitats específiques, mitjançant la definició d'un conjunt de mesures de seguretat que resulten d'aplicació a una entitat o sector d'activitat concreta, i per a una determinada categoria de seguretat (per ex. per a Entitats Locals), la qual cosa permet aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant els recursos requerits sense menyscapte de la protecció perseguida i exigible.

• S'han revisat els principis bàsics, els requisits mínims i les mesures de seguretat:

1. El principi abans denominat ‘prevenció, reacció i recuperació’ passa a denominar-se ‘prevenció, detecció i resposta’, entenent que la “recuperació” es troba subsumida en el concepte més ampli de “resposta”, que ho inclou.

2. S'introduïx el principi de “vigilància contínua” per a permetre la detecció d'activitats o comportaments anòmals i la seua oportuna resposta i impulsar l'avaluació permanent de l'estat de la seguretat dels actius, per a detectar vulnerabilitats i identificar deficiència de configuració.

3.  S'aclarix la redacció del principi “responsabilitats diferenciades” per a precisar els aspectes relatius al responsable de la seguretat i al responsable del sistema.

• En l'article 12 “Política de seguretat i requisits mínims de seguretat” s'expliciten quins són els elements principals que ha d'incloure la política de seguretat; qui han de disposar de la citada política incloent cada administració almenys, cada òrgan o entitat amb personalitat jurídica pròpia sense perjuí de poder quedar inclosos en l'àmbit subjectiu de la política de seguretat de l'Administració amb la qual guarden relació de vinculació, dependència o adscripció; i, finalment, es precisa que en l'àmbit de l'Administració General de l'Estat, cada ministeri comptarà amb la seua política de seguretat, mentre que els organismes públics o entitats pertanyents al sector públic institucional estatal podran ben comptar amb la seua pròpia política de seguretat o, bé quedar compresos en l'àmbit de la política de seguretat del Departament amb el qual mantinguen relació de vinculació, dependència o adscripció.

• En l'article 13 “Organització i implantació de la seguretat” s'aclarix el paper de les figures principals en l'aplicació de l'ENS: responsable de la informació, responsable del servici, responsable del sistema, responsable de la seguretat. A més, en el cas dels servicis externalitzats és necessari comptar amb una figura que ajude a canalitzar i supervisar el compliment dels requisits de seguretat del servici que presta, així com la gestió dels possibles incidents de seguretat raó per la qual s'establix que aquests servicis han de comptar amb un punt d'explicat. En qualsevol cas la responsabilitat última residix en l'entitat del sector públic destinatària o contractant dels servicis en qüestió que ha d'exigir als seus subministradors la deguda diligència en matèria de seguretat.

• En el capítol dels requisits mínims de seguretat es reforcen la importància de la política de seguretat i el requisit mínim “seguretat per defecte” que passa a denominar-se “mínim privilegi”, amb diverses millores en altres requisits mínims. Efectivament, quant a la relació de requisits mínims inclosa en l'apartat 6, se significa l'evolució de la denominació del requisit de la lletra h) “Seguretat per defecte” segons el reial decret de 2010, cap a la denominació “mínim privilegi” per respondre millor a l'escenari actual i esdevenidor que emfatitza que les funcionalitats dels sistemes han de configurar-se de manera que siguen les mínimes i necessàries perquè l'organització aconseguisca els seus objectius. D'altra banda, en relació amb la lletra f) “Protecció de les instal·lacions” en l'article 18 que tracta esta qüestió s'establix una vinculació amb la legislació relativa a la protecció de les infraestructures crítiques.

• En l'article 28 “Compliment dels requisits mínims” es deixa oberta la possibilitat que, una vegada satisfets els mínims exigibles, el responsable de seguretat puga, en funció dels resultats de l'anàlisi de riscos, a la llum de l'estat de l'art de la tecnologia, de la naturalesa de la informació tractada i dels servicis prestats i dels riscos identificats, ampliar les mesures de protecció amb els reforços que s'identifiquen per a les mateixes.

• Se ha perfeccionado el artículo 33 “Capacidad de respuesta a incidentes de seguridad de la información” en el que se detallan de forma más pormenorizada:

1. Les condicions relatives a la notificació d'incidents de seguretat per part de les entitats del sector públic al CCN-CERT i a les corresponents actuacions resposta per part de la Secretaria General d'Administració Digital i del CCN-CERT.

2. Les condicions de la notificació d'incidents de seguretat a l'INCIBE-CERT per part de les entitats del sector privat que preste servicis a les entitats públiques; tot açò en el marc del previst en el Reial decret 43/2021, de 26 de gener.

3. El paper d'altres actors com l'Oficina de Coordinació de Ciberseguretat del Ministeri de l'Interior quan un operador essencial que haja sigut designat com a operador crític patisca un incident; l'ESPDEF-CERT del Comandament Conjunt del Ciberespai (MCCE) quan un operador amb incidència en la Defensa Nacional patisca un incident; la Intervenció General de l'Administració de l'Estat quan es tracte d'un incident de seguretat que afecte a un mitjà o servici comú baix el seu àmbit de responsabilitat.

• La disposició transitòria, sobre adequació de sistemes, contempla un termini de vint-i-quatre mesos per a l'adequació a l'ENS dels sistemes preexistents a la seua entrada en vigor, circumstància que es manifestarà amb l'exhibició del corresponent distintiu de conformitat derivats de declaracions o certificacions. La disposició té present que hi haurà sistemes que ja comptaran amb els corresponents distintius de conformitat i que, segons la pràctica habitual amb este tipus de distintius, podran mantindre la seua vigència procedint a la seua renovació a mesura que arribe la seua caducitat abans que arribe el citat termini.

• En l'annex II de mesures de seguretat, s'han actualitzat les mesures de seguretat en el marc operacional i en les mesures de protecció. Com a resultat d'estes modificacions de detall, algunes mesures han ampliat considerablement el seu nivell d'exigència per a determinades categories (10), i unes altres ho han augmentat lleument (14). Per contra, altres mesures han simplificat el seu nivell d'exigència (6), i algunes mesures han sigut eliminades i/o englobades dins d'altres (9). Finalment, s'han creat noves mesures que no existien (6). La resta, només han patit canvis de redacció, o s'han concretat:

• Entre les noves mesures, s'han inclòs les relatives a servicis en el núvol, interconnexió de sistemes, protecció de la cadena de subministrament (al·ludix als proveïdors o subministradors tecnològics de les entitats del sector públic), mitjans alternatius, vigilància i altres dispositius connectats a la xarxa.

• S'han reforçat mesures relatives a la identificació, la configuració de seguretat, la gestió de la configuració de seguretat, la protecció enfront del codi nociu, el registre d'activitat, la gestió de capacitat, la detecció d'intrusió, el sistema de mètriques i l'acceptació i posada en servici.

• Altres mesures amb un reforç més lleuger inclouen els requisits d'accés, la gestió de canvis, la gestió d'incidents, manteniment i actualitzacions de seguretat, protecció de la confidencialitat i còpies de seguretat.

• S'han simplificat algunes mesures com a segregació de tasques, segells de temps, qualificació de la informació, protecció de dispositius portàtils, protecció enfront de denegació de servici o perímetre segur.

• S'han eliminat mesures tals com les relatives a personal alternatiu, mitjans alternatius, protecció dels registres d'activitat per estar cobertes per altres mesures. 

Finalment, com a ajuda a la implantació i revisió de les mesures de protecció, d'una banda, s'han codificat els seus requisits; i, per una altra, per a indicar una major exigència s'empren els reforços de seguretat, també codificats, que se sumen als requisits base de la mesura, però que no sempre són incrementals entre si; de manera que, en certs casos, es pot triar entre aplicar un reforç o un altre d'entre els recollits per a les mesures en funció de l'anàlisi dels riscos i del criteri del responsable de la seguretat.