El CCN-CERT del Centro Criptológico Nacional ha publicado en su portal web una actualización de su Guia CCN-STIC-801
sobre responsabilitats i funcions en l'ENS. Concretament, el document, que es pot consultar en la part pública del portal, arreplega les responsabilitats generals en la gestió de la seguretat dels sistemes d'informació de les entitats del Sector Públic de l'àmbit subjectiu d'aplicació del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de seguridad (ENS) .
Aquestes entitats hauran de, prenent com a base les directrius assenyalades en esta guia, establir i aprovar la seua pròpia Organització de Seguretat, d'acord amb la seua naturalesa, estructura, dimensió i recursos disponibles, que haurà d'estar arreplegada en la Política de Seguretat de la Informació de l'entitat i, quan es tracten dades de caràcter personal, en la Política de Protecció de Dades.
Entre els principals continguts que arreplega la guia es troba una definició de l'estructura de seguretat, així com dels actors i responsables de la gestió de la mateixa. Dites responsables estan agrupats en funció del nivell de govern, de supervisió i operatiu.
No obstant açò, tal com assenyala el document, algunes responsabilitats poden instrumentalitzar-se per mitjà de comités, que es constituiran com a òrgans col·legiats, de conformitat amb l'assenyalat en la Llei 40/2015. Els més comuns, tal com s'arreplega, són el Comité de Seguretat Corporativa i el Comité de Seguretat de la Informació.
Finalment, s'inclou un epígraf dedicat a la gestió dels riscos i un altre a la concurrència de l'ENS amb el Reglament General de Protecció de Dades (RGPD).
