Publicado el nuevo Real Decreto que regula el Esquema Nacional de Seguridad

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad , aprobado por el Consejo de Ministros de 3 de mayo de 2022, sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

El objeto de la norma es la actualización del Esquema Nacional de Seguridad (ENS) para adaptarlo a la nueva realidad normativa y al incremento de las ciberamenazas tanto cuantitativa como cualitativamente, y así poder garantizar una respuesta más adecuada ante los ciberataques, propiciando la resiliencia de los sistemas, y proporcionando un tratamiento más seguro de la información y los servicios públicos.

Para acomodar una respuesta a las amenazas provenientes del ciberespacio, la actualización del ENS persigue tres grandes objetivos.

Primero, alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital. Para lograrlo, se clarifica el ámbito de aplicación del ENS y se actualizan las referencias al marco legal vigente, de manera que se simplifiquen y armonicen los mandatos del ENS.

Segundo, introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.

Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.

Los sistemas afectados deberán adecuarse a lo dispuesto en el real decreto en un plazo de veinticuatro meses contados a partir de su entrada en vigor.

El esfuerzo realizado para la actualización del ENS responde a la ejecución de la Reforma 9.3 “Una Administración Cibersegura” del Plan de Digitalización de las Administraciones Públicas 2021-2025, así como a las reformas previstas en la agenda España Digital 2025, con la finalidad de convertirse en una medida urgente de refuerzo del marco normativo en materia de ciberseguridad.

Las novedades

Cabe destacar las siguientes novedades:

• Se ha revisado y actualizado la redacción del ámbito de aplicación (art 2 y DA 3ª) con una doble finalidad:

En primer lugar, para clarificarlo y que ambos sectores, público y privado (proveedores o suministradores tecnológicos de las entidades del sector público), sean conscientes de lo que les es exigible, en beneficio último de la ciberseguridad pública y de los derechos de los ciudadanos.

En segundo lugar, para extender su aplicación a los sistemas que manejan o tratan información clasificada, sin perjuicio de que pudiera resultar necesario complementar las medidas de seguridad previstas en el ENS con otras específicas para tales sistemas.

• Se ha realizado la clarificación, precisión, homogeneización, simplificación, o actualización de distintos aspectos del texto, así como la eliminación de aspectos no necesarios o excesivos (un capítulo de ‘Comunicaciones electrónicas’, con tres artículos, ya superado por las leyes 39/2015, de 1 de octubre y 40/2015, de 1 de octubre, y su desarrollo reglamentario).

• A través del nuevo artículo 30 se han incorporado los perfiles de cumplimiento específicos que introducen la capacidad de ajustar los requisitos del ENS a necesidades específicas, mediante la definición de un conjunto de medidas de seguridad que resulten de aplicación a una entidad o sector de actividad concreta, y para una determinada categoría de seguridad (por ej. para Entidades Locales), lo que permite alcanzar una adaptación al ENS más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible.

• Se han revisado los principios básicos, los requisitos mínimos y las medidas de seguridad:

1. El principio antes denominado ‘prevención, reacción y recuperación’ pasa a denominarse ‘prevención, detección y respuesta’, entendiendo que la “recuperación” se encuentra subsumida en el concepto más amplio de “respuesta”, que lo incluye.

2. Se introduce el principio de “vigilancia continua” para permitir la detección de actividades o comportamientos anómalos y su oportuna respuesta e impulsar la evaluación permanente del estado de la seguridad de los activos, para detectar vulnerabilidades e identificar deficiencia de configuración.

3.  Se clarifica la redacción del principio “responsabilidades diferenciadas” para precisar los aspectos relativos al responsable de la seguridad y al responsable del sistema.

• En el artículo 12 “Política de seguridad y requisitos mínimos de seguridad” se explicitan cuáles son los elementos principales que ha de incluir la política de seguridad; quiénes han de disponer de la citada política incluyendo cada administración al menos, cada órgano o entidad con personalidad jurídica propia sin perjuicio de poder quedar incluidos en el ámbito subjetivo de la política de seguridad de la Administración con la que guarden relación de vinculación, dependencia o adscripción; y, finalmente, se precisa que en el ámbito de la Administración General del Estado, cada ministerio contará con su política de seguridad, mientras que los organismos públicos o entidades pertenecientes al sector público institucional estatal podrán bien contar con su propia política de seguridad o, bien quedar comprendidos en el ámbito de la política de seguridad del Departamento con el que mantengan relación de vinculación, dependencia o adscripción.

• En el artículo 13 “Organización e implantación de la seguridad” se clarifica el papel de las figuras principales en la aplicación del ENS: responsable de la información, responsable del servicio, responsable del sistema, responsable de la seguridad. Además, en el caso de los servicios externalizados es necesario contar con una figura que ayude a canalizar y supervisar el cumplimiento de los requisitos de seguridad del servicio que presta, así como la gestión de los posibles incidentes de seguridad razón por la cual se establece que dichos servicios han de contar con un punto de contado. En cualquier caso la responsabilidad última reside en la entidad del sector público destinataria o contratante de los servicios en cuestión que ha de exigir a sus suministradores la debida diligencia en materia de seguridad.

• En el capítulo de los requisitos mínimos de seguridad se refuerzan la importancia de la política de seguridad y el requisito mínimo “seguridad por defecto” que pasa a denominarse “mínimo privilegio”, con diversas mejoras en otros requisitos mínimos. Efectivamente, en cuanto a la relación de requisitos mínimos incluida en el apartado 6, se significa la evolución de la denominación del requisito de la letra h) “Seguridad por defecto” según el real decreto de 2010, hacia la denominación “mínimo privilegio” por responder mejor al escenario actual y venidero que enfatiza que las funcionalidades de los sistemas han de configurarse de forma que sean las mínimas y necesarias para que la organización alcance sus objetivos. Por otra parte, en relación con la letra f) “Protección de las instalaciones” en el artículo 18 que trata esta cuestión se establece una vinculación con la legislación relativa a la protección de las infraestructuras críticas.

• En el artículo 28 “Cumplimiento de los requisitos mínimos” se deja abierta la posibilidad de que, una vez satisfechos los mínimos exigibles, el responsable de seguridad pueda, en función de los resultados del análisis de riesgos, a la luz del estado del arte de la tecnología, de la naturaleza de la información tratada y de los servicios prestados y de los riesgos identificados, ampliar las medidas de protección con los refuerzos que se identifican para las mismas.

• Se ha perfeccionado el artículo 33 “Capacidad de respuesta a incidentes de seguridad de la información” en el que se detallan de forma más pormenorizada:

1. Las condiciones relativas a la notificación de incidentes de seguridad por parte de las entidades del sector público al CCN-CERT y a las correspondientes actuaciones respuesta por parte de la Secretaría General de Administración Digital y del CCN-CERT.

2. Las condiciones de la notificación de incidentes de seguridad al INCIBE-CERT por parte de las entidades del sector privado que preste servicios a las entidades públicas; todo ello en el marco de lo previsto en el Real Decreto 43/2021, de 26 de enero.

3. El papel de otros actores como la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior cuando un operador esencial que haya sido designado como operador crítico sufra un incidente; el ESPDEF-CERT del Mando Conjunto del Ciberespacio (MCCE) cuando un operador con incidencia en la Defensa Nacional sufra un incidente; la Intervención General de la Administración del Estado cuando se trate de un incidente de seguridad que afecte a un medio o servicio común bajo su ámbito de responsabilidad.

• La disposición transitoria, sobre adecuación de sistemas, contempla un plazo de veinticuatro meses para la adecuación al ENS de los sistemas preexistentes a su entrada en vigor, circunstancia que se manifestará con la exhibición del correspondiente distintivo de conformidad derivados de declaraciones o certificaciones. La disposición tiene presente que habrá sistemas que ya contarán con los correspondientes distintivos de conformidad y que, según la práctica habitual con este tipo de distintivos, podrán mantener su vigencia procediendo a su renovación a medida que llegue su caducidad antes de que llegue el citado plazo.

• En el anexo II de medidas de seguridad, se han actualizado las medidas de seguridad en el marco operacional y en las medidas de protección. Como resultado de estas modificaciones de detalle, algunas medidas han ampliado considerablemente su nivel de exigencia para determinadas categorías (10), y otras lo han aumentado levemente (14). Por el contrario, otras medidas han simplificado su nivel de exigencia (6), y algunas medidas han sido eliminadas y/o englobadas dentro de otras (9). Por último, se han creado nuevas medidas que no existían (6). El resto, sólo han sufrido cambios de redacción, o se han concretado:

• Entre las nuevas medidas, se han incluido las relativas a servicios en la nube, interconexión de sistemas, protección de la cadena de suministro (alude a los proveedores o suministradores tecnológicos de las entidades del sector público), medios alternativos, vigilancia y otros dispositivos conectados a la red.

• Se han reforzado medidas relativas a la identificación, la configuración de seguridad, la gestión de la configuración de seguridad, la protección frente al código dañino, el registro de actividad, la gestión de capacidad, la detección de intrusión, el sistema de métricas y la aceptación y puesta en servicio.

• Otras medidas con un refuerzo más ligero incluyen los requisitos de acceso, la gestión de cambios, la gestión de incidentes, mantenimiento y actualizaciones de seguridad, protección de la confidencialidad y copias de seguridad.

• Se han simplificado algunas medidas como segregación de tareas, sellos de tiempo, calificación de la información, protección de dispositivos portátiles, protección frente a denegación de servicio o perímetro seguro.

• Se han eliminado medidas tales como las relativas a personal alternativo, medios alternativos, protección de los registros de actividad por estar cubiertas por otras medidas. 

Finalmente, como ayuda a la implantación y revisión de las medidas de protección, por una parte, se han codificado sus requisitos; y, por otra, para indicar una mayor exigencia se emplean los refuerzos de seguridad, también codificados, que se suman a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro de entre los recogidos para las medidas en función del análisis de los riesgos y del criterio del responsable de la seguridad.