El Consell de Ministres ha aprovat un Reial decret que modifica un altre Reial decret del 8 de gener de 2010, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.
El objeto de la norma es reforzar la protección de las Administraciones Públicas frente a las "ciberamenazas" mediante la adecuación a la rápida evolución de las tecnologías, todo ello teniendo en consideración la experiencia adquirida en la implementación del esquema nacional de seguridad desde 2010. Además, permite adecuar la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en un Reglamento comunitario de 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. En definitiva, se trata de dotar al Esquema Nacional de Seguridad de los mecanismos necesarios que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos.
Per tant, es modifica la normativa de protecció contra les ciberamenazas reforçant els serveis de confiança i la protecció per a les transaccions electròniques. Els sistemes hauran d'adequar-se al que es disposa en la present modificació en un termini de vint-i-quatre mesos.
El esfuerzo realizado para la actualización del Esquema Nacional de Seguridad responde al Objetivo I de la Estrategia de Ciberseguridad Nacional que se refiere a "Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia", así como a los principios generales previstos en la Ley de Régimen Jurídico del Sector Público, que se refieren a la seguridad como un elemento clave para la interacción de las Administraciones Públicas por el medio electrónico
Per a això, s'introdueixen en l'Esquema Nacional de Seguretat, entre unes altres, les següents mesures addicionals:
- En l'article 11, la gestió continuada de la seguretat com un aspecte clau que ha d'acompanyar als serveis disponibles per mitjans electrònics 24 hores al dia.
- En l'article 15, l'exigència, de manera objectiva i no discriminatòria, de professionals qualificats a les organitzacions que prestin serveis de seguretat a les Administracions Públiques.
- En l'article 18, la utilització, de forma proporcionada a la categoria del sistema i nivell de seguretat determinats, d'aquells productes que tinguin certificada la funcionalitat de seguretat relacionada amb l'objecte de la seva adquisició.
- En el artículo 24, el despliegue de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información.
- En l'article 27, la formalització de les mesures de seguretat en un document denominat ‘declaració d'aplicabilitat’ i la possibilitat de reemplaçar mesures de seguretat per altres compensatòries quan es justifiqui documentalment.
- En l'article 29, la figura de les “Instruccions tècniques de seguretat” que regularan aspectes tals com l'informe de l'estat de la seguretat, l'auditoria de la seguretat, la conformitat amb l'Esquema, la notificació d'incidents de seguretat, l'adquisició de productes de seguretat, la criptologia emprada en l'àmbit de l'Esquema i els requisits de seguretat en entorns externalitzats, entre unes altres.
- En l'article 35, referències expresses a l'articulació dels procediments necessaris per a la recollida i consolidació de la informació per l'informa anual d'estat de la seguretat i organismes responsables de la seva realització.
- En l'article 36, la notificació al Centre Criptològic Nacional d'aquells incidents que tinguin un impacte significatiu en la seguretat de la informació manejada i dels serveis prestats.
- En l'article 37, les evidències necessàries per a la recerca d'incidents de seguretat per part del Centre Criptològic Nacional.
- La millora de diverses mesures de seguretat per millorar la seva eficàcia i per adequar-se al previst en el Reglament nº 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior i pel qual es deroga la Directiva 1999/93/CE. En particular, els apartats 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 i 5.8.2.
- També es concreta l'Annex III, referit a l'auditoria de seguretat, es modifica el Glossari de termes recollit en l'Annex IV, s'actualitza la redacció de la clàusula administrativa particular continguda en l'Annex V, s'elimina la referència a INTECO i s'estableix mitjançant disposició transitòria un termini de vint-i-quatre mesos explicats a partir de l'entrada en vigor per a l'adequació dels sistemes al que es disposa en la modificació.
Publicat en BOE el 4-11-2015: Reial decret 951/2015
, de 23 d'octubre, de modificació del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.
