Tal día como hoxe, fai dez anos, aprobábase o Real Decreto 3/2010, do 8 de xaneiro, polo que se regulaba o Esquema Nacional de Seguridade no ámbito da Administración Electrónica. Vinte e un días despois, o 29 de xaneiro, publicábase no Boletín Oficial do Estado, BOE, establecendo os principios básicos e os requisitos mínimos que, de acordo con o interese xeral, permitían unha protección adecuada da información, as comunicacións e os servizos das Administracións Públicas.
Posteriormente, en 2015, ampliouse o ámbito de aplicación do
Esquema Nacional de Seguridad (ENS)
a todo o Sector Público da man da Lei 40/2015 e foi modificado a través do RD 951/20105, do 23 de outubro á luz da experiencia adquirida e do contexto normativo comunitario, particularmente do Regulamento
eIDAS
. O
ENS
incluía de forma pioneira, 75 medidas de seguridade de obrigado cumprimento por parte do Sector Público español, tanto no marco organizativo, como operacional e de protección.
Unha fortaleza que situou ao noso país como un referente na Unión Europea e que é o resultado dun esforzo colectivo das Administracións Públicas de España, coa colaboración do Sector Privado, que contribuíron activamente á súa elaboración e aplicación liderados polo Ministerio de Política Territorial e Función Pública a través da Secretaría Xeral de Administración Dixital,
SGAD
, (en 2010 cando foi aprobado, Ministerio da Presidencia) e o Centro Criptolóxico Nacional.
O ENS converteuse na principal ferramenta para fortalecer a ciberseguridade no Sector Público e veu acompañado de 61 Guías CCN-STIC (Serie 800), 14 solucións de ciberseguridade desenvolvidas polo CCN e 4 Instrucións Técnicas de Seguridade (
ITS
) publicadas no BOE sobre notificación de incidentes, Auditoría da Seguridade nos Sistemas de Información, de conformidade co propio Esquema e do Informe do Estado da Seguridade.
Precisamente, para confeccionar este informe e poder establecer un sistema de medición da seguridade do Sector Público, o
CCN
desenvolveu a solución
INES
(Informe Nacional do Estado de Seguridade) para facilitar dun modo máis rápido e intuitivo o seu nivel de adecuación ao
ENS
. Realizouse cinco edicións realizadas do informe
INES
e a sexta en curso. En 2019, 1006 entidades cargaran os seus datos, fronte ás 799 dun ano antes. A valoración xeral que se desprende do informe
INES
é que se ha de manter o esforzo de implantación do ENS, máxime cando se demostra que a súa aplicación axuda a unha mellor protección fronte ás ciberamenazas.
Tamén en 2015 establecéronse os criterios para alcanzar o cumprimento co Esquema e a súa correspondente Declaración e Certificación da Conformidade co
ENS
, de forma que a colaboración da
SGAD
e o
CCN
coa Entidade Nacional de Acreditación (
ENAC
) deu lugar ao esquema de acreditación e certificación que permitiu que á data haxa 8 entidades de certificación acreditadas e ao termo de 2019 máis de 160 entidades certificadas (públicas e privadas).
Por último, e xa en 2018, creouse o Consello de Certificación do Esquema Nacional de Seguridade (
CoCENS
), cuxo obxectivo é axudar á adecuada implantación do
ENS
e, en consecuencia, á mellor e máis garante prestación dos servizos públicos.
ENS en revisión
Neste momento de aniversario é preciso realizar unha revisión do ENS na que, aprendendo da experiencia deste dez anos, póidase preparar o Esquema para afrontar as novas ameazas; mellorar as capacidades de vixilancia e deseñar respostas cada vez máis eficaces fronte aos ataques; para reducir a superficie de exposición a vulnerabilidades e deficiencias de configuración dos sistemas.
Para iso é preciso, primeiro, aliñar o ENS co marco legal e o contexto estratéxico á data de 2020 para facilitar a seguridade na administración dixital; segundo, introducir certa flexibilidade para facilitar a aplicación do ENS a necesidades específicas de certos colectivos de entidades ou tecnoloxías; e terceiro, actualizar o ENS para facilitar a resposta ás tendencias en ciberseguridade, reducir vulnerabilidades e promover a defensa activa mediante a revisión, á luz da estado da arte, dos principios básicos, os requisitos mínimos e as medidas de seguridade, incidindo, en particular, en cuestións tales como a monitorización dos sistemas, a vixilancia con ferramentas de detección de ameazas avanzadas e correlación de eventos, e a disposición de observatorios con fins de cibervigilancia, aproximacións máis específicas para a notificación e xestión de incidentes, medidas para a utilización de servizos na nube, e para axudar á protección de datos persoais segundo o indicado na disposición adicional primeira da Lei Orgánica 3/2018.