Logo Governe d'Espanya Governe d'Espanya logo Governe d'Espanya logo
Escoltar
Logo Portal d'Administració electrònica PAE logo PAE logo
Logo impressió Portal d'Administració electrònica
Text requerit per a la cerca (*) Accés directe al buscador

User

Busqueda

Text requerit per a la cerca (*) Accés directe al buscador

Menú

accesskey_mod_content

Esquema Nacional de Seguretat - ENS

  • Opinar
  • Escoltar
  • Imprimir PDF
  • Compartir

Introducció

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad(Obri en nova finestra) substituïx al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

El Reial decret 311/2022 actualitza l'Esquema Nacional de Seguretat ( ENS ) para:

  • Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per a garantir la seguretat en l'Administració Digital. Per a aconseguir-ho, s'aclarix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquen i harmonitzen els mandats de l'ENS.
  • Segon, introduir la capacitat d'ajustar els requisits de l'ENS per a garantir la seua adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.
  • Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seua entrada en vigor.

Objectius

L'Esquema Nacional de Seguretat ( ENS ) perseguix els següents grans objectius:

  • Crear les condicions necessàries de seguretat en l'ús dels mitjà electrònics, a través de mesures per a garantir la seguretat dels sistemes, les dades, les comunicacions, i els servicis electrònics, que permeta l'exercici de drets i el compliment de deures a través d'estos mitjans.
  • Promoure la gestió continuada de la seguretat.
  • Promoure la prevenció, detecció i correcció, per a una millor resiliència en l'escenari de ciberamenazas i ciberatacs.
  • Promoure un tractament homogeni de la seguretat que facilite la cooperació en la prestació de servicis públics digitals quan participen diverses entitats. Açò suposa proporcionar els elements comuns que han de guiar l'actuació de les entitats del Sector Públic i dels seus proveïdors tecnològics en matèria de seguretat de les tecnologies de la informació.
  • Servir de model de bones pràctiques, en línia amb l'apuntat en les recomanacions de l'OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document(Obri en nova finestra) .

Elements de l'Esquema Nacional de Seguretat

Els elements principals del ENS són els següents:

  • Els principis bàsics a considerar en las decisiones en materia de seguridad (arts. 5-11).
  • Els requisits mínims que permeten una protecció adequada de la informació (arts. 12-27).
  • El mecanisme per a aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els servicis a protegir (arts. 28, 40, 41, Annex I i Annex II).
  • L'ús d'infraestructures i servicis comuns (art. 29).
  • Els perfils de compliment específics (art. 30).
  • L'informe d'estat de la seguretat (art. 32)
  • L'auditoria de la seguretat (art. 31 i Annex III).
  • La resposta davant incidents de seguretat (arts. 33 i 34).
  • L'ús de productes certificats (art. 19 i Annex II).
  • La conformitat (art. 38).
  • La formació i la conscienciació (disposició addicional primera).
  • Les guies de seguretat (disposició addicional segona).
  • Les instruccions tècniques de seguretat (disposició addicional segona).

El mandat principal de l'es ENS el establecido en el artículo 12 ‘Política de seguridad y requisitos mínimos de seguridad’, según el cual “cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente”, la cual “es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta” y se establecerá de acuerdo con los principios básicos y se desarrollará aplicando los requisitos mínimos, en proporción a los riesgos identificados en cada sistema.

Les instruccions tècniques de seguretat , de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos.

Les guies de seguretat CCN-STIC(Obri en nova finestra) , publicades pel Centre Criptològic Nacional, en particular, la col·lecció de guies de la sèrie 800, i disponibles en el Portal del CCN-CERT, ajuden al millor compliment de l'establit en l'Esquema Nacional de Seguretat.

Àmbit d'aplicació

L'àmbit d'aplicació del Esquema Nacional de Seguridad comprende a todo el Sector Público, en los términos previstos en el artículo 2 de la Ley 40/2015; a los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales; y a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.

Adequació a l'Esquema Nacional de Seguretat

Una adecuación ordenada al Esquema Nacional de Seguridad requiere genéricamente el tratamiento de las siguientes cuestiones, expresadas de forma sucinta:

  • Preparar i aprovar la política de seguretat, incloent els objectius o missió de l'organització, el marc regulatori de les activitats, la definició de rols de seguretat, l'estructura i composició del comité per a la gestió i coordinació de la seguretat, les directrius d'estructuració de la documentació de la seguretat, i els riscos derivats del tractament de dades personals.
  • Categoritzar els sistemes atenent a la valoració de la informació manejada i dels servicis prestats.
  • Realitzar l'anàlisi de riscos, incloent la valoració de les mesures de seguretat existents.
  • Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'Annex II de l'ENS.
  • Elaborar un pla d'adequació para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.
  • Implantar, operar i monitorar les mesures de seguretat a través de la gestió continuada de la seguretat corresponent.
  • Auditar la seguretat per a verificar el compliment dels requisits de l'ENS.
  • Obtindre i publicitar la conformitat amb l'ENS.
  • Informar sobre l'estat de la seguretat.

Adecuación al ENS

Figura: Adequació a l'Esquema Nacional de Seguretat.

Conformitat amb l'ENS

L'article 38 sobre ‘Procediments de determinació de la conformitat amb l'Esquema Nacional de Seguretat’ assenyala que tots els subjectes responsables dels sistemes d'informació afectats per l'ENS donaran publicitat de les declaracions i certificacions conforme a l'ENS en els seus portals d'internet o seus electròniques. Esta obligació afecta a tot el Sector Públic, als sistemes d'informació classificada  i a les entitats del sector privat que els presten solucions i servicis per a l'exercici de competències i potestats administratives.

La Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat(Obri en nova finestra) establix els criteris i procediments per a la determinació de la conformitat, així com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenció i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.

Més informació

Òmpliga el formulari de  Contacte(Obri en nova finestra)  per a enviar la seua petició d'informació.

Coneix carpeta Ciutadana

Enllaços Relacionats

Coneix carpeta Ciutadana

Enllaços RelacionatsEnllaços Relacionats