O CCN-CERT do Centro Criptolóxico Nacional publicou no seu portal web unha actualización do Guía CCN-STIC-801
sobre responsabilidades y funciones en el ENS. Concretamente, el documento, que se puede consultar en la parte pública del portal, recoge las responsabilidades generales en la gestión de la seguridad de los sistemas de información de las entidades del Sector Público del ámbito subjetivo de aplicación del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de seguridad (ENS) .
Ditas entidades deberán, tomando como base as directrices sinaladas nesta guía, establecer e aprobar a súa propia Organización de Seguridade, de acordo con a súa natureza, estrutura, dimensión e recursos dispoñibles, que deberá estar recollida na Política de Seguridade da Información da entidade e, cando se traten datos de carácter persoal, na Política de Protección de Datos.
Entre os principais contidos que recolle a guía atópase unha definición da estrutura de seguridade, así como dos actores e responsables da xestión da mesma. Este responsables están agrupados en función do nivel de goberno, de supervisión e operativo.
No entanto, tal e como sinala o documento, algunhas responsabilidades poden instrumentalizarse por medio de comités, que se constituirán como órganos colexiados, de conformidade co sinalado na Lei 40/2015. Os máis comúns, tal e como se recolle, son o Comité de Seguridade Corporativa e o Comité de Seguridade da Información.
Por último, se incluye un epígrafe dedicado a la gestión de los riesgos y otro a la concurrencia del ENS con el Reglamento General de Protección de Datos (RGPD).
