Actualització de l'esquema nacional de seguretat en l'administració electrònica

El Consell de Ministres ha aprovat un Reial decret que modifica un altre Reial decret del 8 de gener de 2010, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

L'objecte de la norma és reforçar la protecció de les Administracions Públiques enfront de les "ciberamenazas" mitjançant l'adequació a la ràpida evolució de les tecnologies, tot açò tenint en consideració l'experiència adquirida en la implementació de l'esquema nacional de seguretat des de 2010. A més, permet adequar l'actual normativa al context regulatori internacional i europeu, en particular al previst en un Reglament comunitari de 2014 quant a la identificació electrònica i els servicis de confiança per a les transaccions electròniques en el mercat interior. En definitiva, es tracta de dotar a l'Esquema Nacional de Seguretat dels mecanismes necessaris que milloren la resposta en matèria de seguretat dels sistemes tecnològics.

Per tant, es modifica la normativa de protecció contra les ciberamenazas reforçant els servicis de confiança i la protecció per a les transaccions electròniques. Els sistemes hauran d'adequar-se al que es disposa en la present modificació en un termini de vint-i-quatre mesos.

L'esforç realitzat per a l'actualització de l'Esquema Nacional de Seguretat respon a l'Objectiu I de l'Estratègia de Ciberseguretat Nacional que es referix a "Garantir que els Sistemes d'Informació i Telecomunicacions que utilitzen les Administracions Públiques posseïxen l'adequat nivell de ciberseguretat i resiliència", així com als principis generals previstos en la Llei de Règim Jurídic del Sector Públic, que es referixen a la seguretat com un element clau per a la interacció de les Administracions Públiques pel mitjà electrònic

Per a açò, s'introduïxen en l'Esquema Nacional de Seguretat, entre unes altres, les següents mesures addicionals:

• En l'article 11, la gestió continuada de la seguretat com un aspecte clau que ha d'acompanyar als servicis disponibles per mitjans electrònics 24 hores al dia.
• En l'article 15, l'exigència, de manera objectiva i no discriminatòria, de professionals qualificats a les organitzacions que presten servicis de seguretat a les Administracions Públiques.
• En l'article 18, la utilització, de forma proporcionada a la categoria del sistema i nivell de seguretat determinats, d'aquells productes que tinguen certificada la funcionalitat de seguretat relacionada amb l'objecte de la seua adquisició.
• En l'article 24, el desplegament de procediments de gestió d'incidents de seguretat i de debilitats detectades en els elements del sistema d'informació.
• En l'article 27, la formalització de les mesures de seguretat en un document denominat ‘declaració d'aplicabilitat’ i la possibilitat de reemplaçar mesures de seguretat per altres compensatòries quan es justifique documentalment.
• En l'article 29, la figura de les “Instruccions tècniques de seguretat” que regularan aspectes tals com l'informe de l'estat de la seguretat, l'auditoria de la seguretat, la conformitat amb l'Esquema, la notificació d'incidents de seguretat, l'adquisició de productes de seguretat, la criptologia emprada en l'àmbit de l'Esquema i els requisits de seguretat en entorns externalitzats, entre unes altres.
• En l'article 35, referències expresses a l'articulació dels procediments necessaris per a la recollida i consolidació de la informació per a l'informa anual d'estat de la seguretat i organismes responsables de la seua realització.
• En l'article 36, la notificació al Centre Criptològic Nacional d'aquells incidents que tinguen un impacte significatiu en la seguretat de la informació manejada i dels servicis prestats.
• En l'article 37, les evidències necessàries per a la investigació d'incidents de seguretat per part del Centre Criptològic Nacional.
• La mejora de diversas medidas de seguridad para mejorar su eficacia y para adecuarse a lo previsto en el Reglamento nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. En particular, los apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 y 5.8.2.
• También se concreta el Anexo III, referido a la auditoría de seguridad, se modifica el Glosario de términos recogido en el Anexo IV, se actualiza la redacción de la cláusula administrativa particular contenida en el Anexo V, se elimina la referencia a INTECO y se establece mediante disposición transitoria un plazo de veinticuatro meses contados a partir de la entrada en vigor para la adecuación de los sistemas a lo dispuesto en la modificación.

Font original de la notícia

Publicat en BOE el 4-11-2015: Reial decret 951/2015 , de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.