Logo Governe d'Espanya Governe d'Espanya logo Governe d'Espanya logo
Escoltar
Logo Portal d'Administració electrònica PAE logo PAE logo
Logo impressió Portal d'Administració electrònica
Text requerit per a la cerca (*) Accés directe al buscador

User

Busqueda

Text requerit per a la cerca (*) Accés directe al buscador

Menú

accesskey_mod_content

Esquema Nacional de Seguretat - ENS

  • Opinar
  • Escoltar
  • Imprimir PDF
  • Compartir

Introducció

El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat(Obri en nova finestra) substituïx al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

El Reial decret 311/2022 actualitza l'Esquema Nacional de Seguretat ( ENS ) para:

  • Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per a garantir la seguretat en l'Administració Digital. Per a aconseguir-ho, s'aclarix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquen i harmonitzen els mandats de l'ENS.
  • Segon, introduir la capacitat d'ajustar els requisits de l'ENS per a garantir la seua adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.
  • Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seua entrada en vigor.

Objectius

L'Esquema Nacional de Seguretat ( ENS ) perseguix els següents grans objectius:

  • Crear les condicions necessàries de seguretat en l'ús dels mitjà electrònics, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Promoure la gestió continuada de la seguretat.
  • Promoure la prevenció, detecció i correcció, per a una millor resiliència en l'escenari de ciberamenazas i ciberatacs.
  • Promoure un tractament homogeni de la seguretat que facilite la cooperació en la prestació de servicis públics digitals quan participen diverses entitats. Açò suposa proporcionar els elements comuns que han de guiar l'actuació de les entitats del Sector Públic i dels seus proveïdors tecnològics en matèria de seguretat de les tecnologies de la informació.
  • Servir de model de bones pràctiques, en línia amb l'apuntat en les recomanacions de l'OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document(Obri en nova finestra) .

Elements de l'Esquema Nacional de Seguretat

Els elements principals del ENS són els següents:

  • Els principis bàsics a considerar en las decisiones en materia de seguridad (arts. 5-11).
  • Els requisits mínims que permeten una protecció adequada de la informació (arts. 12-27).
  • El mecanisme per a aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els servicis a protegir (arts. 28, 40, 41, Annex I i Annex II).
  • L'ús d'infraestructures i servicis comuns (art. 29).
  • Els perfils de compliment específics (art. 30).
  • L'informe d'estat de la seguretat (art. 32)
  • L'auditoria de la seguretat (art. 31 i Annex III).
  • La resposta davant incidents de seguretat (arts. 33 i 34).
  • L'ús de productes certificats (art. 19 i Annex II).
  • La conformitat (art. 38).
  • La formació i la conscienciació (disposició addicional primera).
  • Les guies de seguretat (disposició addicional segona).
  • Les instruccions tècniques de seguretat (disposició addicional segona).

El mandat principal de l'és ENS l'establit en l'article 12 ‘Política de seguretat i requisits mínims de seguretat’, segons el qual “cada administració pública comptarà amb una política de seguretat formalment aprovada per l'òrgan competent”, la qual “és el conjunt de directrius que regixen la forma en què una organització gestiona i protegix la informació que tracta i els servicis que presta” i s'establirà d'acord amb els principis bàsics i es desenvoluparà aplicant els requisits mínims, en proporció als riscos identificats en cada sistema.

Les instruccions tècniques de seguretat , de compliment obligat, són essencials per a aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures arreplegats en l'Esquema i, particularment, per a indicar la manera comuna d'actuar en aspectes concrets.

Les guies de seguretat CCN-STIC(Obri en nova finestra) , publicades pel Centre Criptològic Nacional, en particular, la col·lecció de guies de la sèrie 800, i disponibles en el Portal del CCN-CERT, ajuden al millor compliment de l'establit en l'Esquema Nacional de Seguretat.

Àmbit d'aplicació

L'àmbit d'aplicació del Esquema Nacional de Seguridad comprende a todo el Sector Público, en los términos previstos en el artículo 2 de la Ley 40/2015; a los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales; y a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.

Adequació a l'Esquema Nacional de Seguretat

Una adecuación ordenada al Esquema Nacional de Seguridad requiere genéricamente el tratamiento de las siguientes cuestiones, expresadas de forma sucinta:

  • Preparar i aprovar la política de seguretat, incluyendo los objetivos o misión de la organización, el marco regulatorio de las actividades, la definición de roles de seguridad, la estructura y composición del comité para la gestión y coordinación de la seguridad, las directrices de estructuración de la documentación de la seguridad, y los riesgos derivados del tratamiento de datos personales.
  • Categoritzar els sistemes atenent a la valoración de la información manejada y de los servicios prestados.
  • Realitzar l'anàlisi de riscos, incloent la valoració de les mesures de seguretat existents.
  • Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'Annex II de l'ENS.
  • Elaborar un pla d'adequació per a la millora de la seguretat, sobre la base de les insuficiències detectades, incloent terminis benvolguts d'execució.
  • Implantar, operar i monitorar les mesures de seguretat a través de la gestió continuada de la seguretat corresponent.
  • Auditar la seguretat per a verificar el compliment dels requisits de l'ENS.
  • Obtindre i publicitar la conformitat amb l'ENS.
  • Informar sobre l'estat de la seguretat.

Adecuación al ENS

Figura: Adequació a l'Esquema Nacional de Seguretat.

Conformitat amb l'ENS

El artículo 38 sobre ‘Procedimientos de determinación de la conformidad con el Esquema Nacional de Seguridad’ señala que todos los sujetos responsables de los sistemas de información afectados por el ENS darán publicidad de las declaraciones y certificaciones conforme al ENS en sus portales de internet o sedes electrónicas. Esta obligación afecta a todo el Sector Público, a los sistemas de información clasificada  y a las entidades del sector privado que les presten soluciones y servicios para el ejercicio de competencias y potestades administrativas.

La Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat(Obri en nova finestra) establix els criteris i procediments per a la determinació de la conformitat, així com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenció i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.

Més informació

Òmpliga el formulari de  Contacte(Obri en nova finestra)  per a enviar la seua petició d'informació.

Coneix carpeta Ciutadana

Enllaços Relacionats

Coneix carpeta Ciutadana

Enllaços RelacionatsEnllaços Relacionats