Tal dia com hui, fa deu anys, s'aprovava el Reial decret 3/2010, de 8 de gener, pel qual es regulava l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica. Vint-i-un dies després, el 29 de gener, es publicava en el Butlletí Oficial de l'Estat, BOE, establint els principis bàsics i els requisits mínims que, d'acord amb l'interés general, permetien una protecció adequada de la informació, les comunicacions i els servicis de les Administracions Públiques.
Posteriorment, en 2015, es va ampliar l'àmbit d'aplicació de l'a
Esquema Nacional de Seguridad (ENS)
tot el Sector Públic de la mà de la Llei 40/2015 i va ser modificat a través del RD 951/20105, de 23 d'octubre a la llum de l'experiència adquirida i del context normatiu comunitari, particularment del Reglament
eIDAS
. L'incloïa
ENS
de forma pionera, 75 mesures de seguretat de compliment obligat per part del Sector Públic espanyol, tant en el marc organitzatiu, com a operacional i de protecció.
Una fortalesa que ha posicionat al nostre país com un referent en la Unió Europea i que és el resultat d'un esforç col·lectiu de les Administracions Públiques d'Espanya, amb la col·laboració del Sector Privat, que van contribuir activament a la seua elaboració i aplicació liderats pel Ministeri de Política Territorial i Funció Pública a través de la Secretaria General d'Administració Digital,
SGAD
, (en 2010 quan va ser aprovat, Ministeri de la Presidència) i el Centre Criptològic Nacional.
L'ENS s'ha convertit en la principal ferramenta per a enfortir la ciberseguretat en el Sector Públic i ha vingut acompanyat de 61 Guies CCN-STIC (Sèrie 800), 14 solucions de ciberseguretat desenvolupades pel CCN i 4 Instruccions Tècniques de Seguretat (
ITS
) publicades en el BOE sobre notificació d'incidents, Auditoria de la Seguretat en els Sistemes d'Informació, de conformitat amb el propi Esquema i de l'Informe de l'Estat de la Seguretat.
Precisament, per a confeccionar este informe i poder establir un sistema de mesurament de la seguretat del Sector Públic, el
CCN
va desenvolupar la solució
INES
(Informe Nacional de l'Estat de Seguretat) per a facilitar d'una manera més ràpida i intuïtiu el seu nivell d'adequació al
ENS
. S'ha realitzat cinc edicions realitzades de l'informe
INES
i la sisena en curs. En 2019, 1006 entitats havien carregat les seues dades, enfront de les 799 d'un any abans. La valoració general que es desprèn de l'informe
INES
és que s'ha de mantindre l'esforç d'implantació de l'ENS, especialment quan es demostra que la seua aplicació ajuda a una millor protecció enfront de les ciberamenazas.
També en 2015 es van establir els criteris per a aconseguir el compliment amb l'Esquema i la seua corresponent Declaració i Certificació de la Conformitat amb
ENS
el , de manera que la col·laboració de la
SGAD
i l'amb
CCN
l'Entitat Nacional d'Acreditació (
ENAC
) va donar lloc a l'esquema d'acreditació i certificació que ha permès que a la data hi haja 8 entitats de certificació acreditades i al final de 2019 més de 160 entitats certificades (públiques i privades).
Finalment, i ja en 2018, es va crear el Consell de Certificació de l'Esquema Nacional de Seguretat (
CoCENS
), que el seu objectiu és ajudar a l'adequada implantació de l'i,
ENS
en conseqüència, a la millor i més garant prestació dels servicis públics.
ENS en revisió
En este moment d'aniversari cal realitzar una revisió de l'ENS en la qual, aprenent de l'experiència d'estos deu anys, es puga preparar l'Esquema per a afrontar les noves amenaces; millorar les capacitats de vigilància i dissenyar respostes cada vegada més eficaces enfront dels atacs; per a reduir la superfície d'exposició a vulnerabilitats i deficiències de configuració dels sistemes.
Per a açò cal, primer, alinear l'ENS amb el marc legal i el context estratègic a la data de 2020 per a facilitar la seguretat en l'administració digital; segon, introduir certa flexibilitat per a facilitar l'aplicació de l'ENS a necessitats específiques de certs col·lectius d'entitats o tecnologies; i tercer, actualitzar l'ENS per a facilitar la resposta a les tendències en ciberseguretat, reduir vulnerabilitats i promoure la defensa activa mitjançant la revisió, a la llum de l'estat de l'art, dels principis bàsics, els requisits mínims i les mesures de seguretat, incidint, en particular, en qüestions tals com el monitoratge dels sistemes, la vigilància amb ferramentes de detecció d'amenaces avançades i correlació d'esdeveniments, i la disposició d'observatoris amb finalitats de cibervigilancia, aproximacions més específiques per a la notificació i gestió d'incidents, mesures per a la utilització de servicis en el núvol, i per a ajudar a la protecció de dades personals segons l'indicat en la disposició addicional primera de la Llei Orgànica 3/2018.