El CCN-CERT del Centro Criptológico Nacional ha publicado en su portal web una actualización de su Guía CCN-STIC-801 sobre responsabilidades y funciones en el ENS. Concretamente, el documento, que se puede consultar en la parte pública del portal, recoge las responsabilidades generales en la gestión de la seguridad de los sistemas de información de las entidades del Sector Público del ámbito subjetivo de aplicación del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de seguridad (ENS) .
Dichas entidades deberán, tomando como base las directrices señaladas en esta guía, establecer y aprobar su propia Organización de Seguridad, de acuerdo con su naturaleza, estructura, dimensión y recursos disponibles, que deberá estar recogida en la Política de Seguridad de la Información de la entidad y, cuando se traten datos de carácter personal, en la Política de Protección de Datos.
Entre los principales contenidos que recoge la guía se encuentra una definición de la estructura de seguridad, así como de los actores y responsables de la gestión de la misma. Dichos responsables están agrupados en función del nivel de gobierno, de supervisión y operativo.
No obstante, tal y como señala el documento, algunas responsabilidades pueden instrumentalizarse por medio de comités, que se constituirán como órganos colegiados, de conformidad con lo señalado en la Ley 40/2015. Los más comunes, tal y como se recoge, son el Comité de Seguridad Corporativa y el Comité de Seguridad de la Información.
Por último, se incluye un epígrafe dedicado a la gestión de los riesgos y otro a la concurrencia del ENS con el Reglamento General de Protección de Datos (RGPD).