Publicat el nou Reial decret que regula l'Esquema Nacional de Seguretat

El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat , aprovat pel Consell de Ministres de 3 de maig de 2022, substituïx al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

L'objecte de la norma és l'actualització de l'Esquema Nacional de Seguretat (ENS) per a adaptar-ho a la nova realitat normativa i a l'increment de les ciberamenazas tant quantitativa com qualitativament, i així poder garantir una resposta més adequada davant els ciberatacs, propiciant la resiliència dels sistemes, i proporcionant un tractament més segur de la informació i els servicis públics.

Per a acomodar una resposta a les amenaces provinents del ciberespai, l'actualització de l'ENS perseguix tres grans objectius.

Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per a garantir la seguretat en l'Administració Digital. Per a aconseguir-ho, s'aclarix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquen i harmonitzen els mandats de l'ENS.

Segon, introduir la capacitat d'ajustar els requisits de l'ENS per a garantir la seua adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.

Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seua entrada en vigor.

L'esforç realitzat per a l'actualització de l'ENS respon a l'execució de la Reforma 9.3 “Una Administració Cibersegura” del Pla de Digitalització de les Administracions Públiques 2021-2025, així com a les reformes previstes en l'agenda Espanya Digital 2025, amb la finalitat de convertir-se en una mesura urgent de reforç del marc normatiu en matèria de ciberseguretat.

Les novetats

cal destacar les següents novetats:

• S'ha revisat i actualitzat la redacció de l'àmbit d'aplicació (art 2 i DONA 3ª) amb una doble finalitat:

En primer lloc, per a aclarir-ho i que tots dos sectors, públic i privat (proveïdors o subministradors tecnològics de les entitats del sector públic), siguen conscients del que els és exigible, en benefici últim de la ciberseguretat pública i dels drets dels ciutadans.

En segon lloc, per a estendre la seua aplicació als sistemes que manegen o tracten informació classificada, sense perjuí que poguera resultar necessari complementar les mesures de seguretat previstes en l'ENS amb altres específiques per a tals sistemes.

• S'ha realitzat la clarificació, precisió, homogeneïtzació, simplificació, o actualització de diferents aspectes del text, així com l'eliminació d'aspectes no necessaris o excessius (un capítol de ‘Comunicacions electròniques’, amb tres articles, ja superat per les lleis 39/2015, d'1 d'octubre i 40/2015, d'1 d'octubre, i el seu desenvolupament reglamentari).

• A través del nou article 30 s'han incorporat els perfils de compliment específics que introduïxen la capacitat d'ajustar els requisits de l'ENS a necessitats específiques, mitjançant la definició d'un conjunt de mesures de seguretat que resulten d'aplicació a una entitat o sector d'activitat concreta, i per a una determinada categoria de seguretat (per ex. per a Entitats Locals), la qual cosa permet aconseguir una adaptació a l'ENS més eficaç i eficient, racionalitzant els recursos requerits sense menyscapte de la protecció perseguida i exigible.

• S'han revisat els principis bàsics, els requisits mínims i les mesures de seguretat:

1. El principi abans denominat ‘prevenció, reacció i recuperació’ passa a denominar-se ‘prevenció, detecció i resposta’, entenent que la “recuperació” es troba subsumida en el concepte més ampli de “resposta”, que ho inclou.

2. S'introduïx el principi de “vigilància contínua” per a permetre la detecció d'activitats o comportaments anòmals i la seua oportuna resposta i impulsar l'avaluació permanent de l'estat de la seguretat dels actius, per a detectar vulnerabilitats i identificar deficiència de configuració.

3.  S'aclarix la redacció del principi “responsabilitats diferenciades” per a precisar els aspectes relatius al responsable de la seguretat i al responsable del sistema.

• En l'article 12 “Política de seguretat i requisits mínims de seguretat” s'expliciten quins són els elements principals que ha d'incloure la política de seguretat; qui han de disposar de la citada política incloent cada administració almenys, cada òrgan o entitat amb personalitat jurídica pròpia sense perjuí de poder quedar inclosos en l'àmbit subjectiu de la política de seguretat de l'Administració amb la qual guarden relació de vinculació, dependència o adscripció; i, finalment, es precisa que en l'àmbit de l'Administració General de l'Estat, cada ministeri comptarà amb la seua política de seguretat, mentre que els organismes públics o entitats pertanyents al sector públic institucional estatal podran ben comptar amb la seua pròpia política de seguretat o, bé quedar compresos en l'àmbit de la política de seguretat del Departament amb el qual mantinguen relació de vinculació, dependència o adscripció.

• En l'article 13 “Organització i implantació de la seguretat” s'aclarix el paper de les figures principals en l'aplicació de l'ENS: responsable de la informació, responsable del servici, responsable del sistema, responsable de la seguretat. A més, en el cas dels servicis externalitzats és necessari comptar amb una figura que ajude a canalitzar i supervisar el compliment dels requisits de seguretat del servici que presta, així com la gestió dels possibles incidents de seguretat raó per la qual s'establix que aquests servicis han de comptar amb un punt d'explicat. En qualsevol cas la responsabilitat última residix en l'entitat del sector públic destinatària o contractant dels servicis en qüestió que ha d'exigir als seus subministradors la deguda diligència en matèria de seguretat.

• En el capítol dels requisits mínims de seguretat es reforcen la importància de la política de seguretat i el requisit mínim “seguretat per defecte” que passa a denominar-se “mínim privilegi”, amb diverses millores en altres requisits mínims. Efectivament, quant a la relació de requisits mínims inclosa en l'apartat 6, se significa l'evolució de la denominació del requisit de la lletra h) “Seguretat per defecte” segons el reial decret de 2010, cap a la denominació “mínim privilegi” per respondre millor a l'escenari actual i esdevenidor que emfatitza que les funcionalitats dels sistemes han de configurar-se de manera que siguen les mínimes i necessàries perquè l'organització aconseguisca els seus objectius. D'altra banda, en relació amb la lletra f) “Protecció de les instal·lacions” en l'article 18 que tracta esta qüestió s'establix una vinculació amb la legislació relativa a la protecció de les infraestructures crítiques.

• En l'article 28 “Compliment dels requisits mínims” es deixa oberta la possibilitat que, una vegada satisfets els mínims exigibles, el responsable de seguretat puga, en funció dels resultats de l'anàlisi de riscos, a la llum de l'estat de l'art de la tecnologia, de la naturalesa de la informació tractada i dels servicis prestats i dels riscos identificats, ampliar les mesures de protecció amb els reforços que s'identifiquen per a les mateixes.

• S'ha perfeccionat l'article 33 “Capacitat de resposta a incidents de seguretat de la informació” en el qual es detallen de forma més detallada:

1. Les condicions relatives a la notificació d'incidents de seguretat per part de les entitats del sector públic al CCN-CERT i a les corresponents actuacions resposta per part de la Secretaria General d'Administració Digital i del CCN-CERT.

2. Les condicions de la notificació d'incidents de seguretat a l'INCIBE-CERT per part de les entitats del sector privat que preste servicis a les entitats públiques; tot açò en el marc del previst en el Reial decret 43/2021, de 26 de gener.

3. El paper d'altres actors com l'Oficina de Coordinació de Ciberseguretat del Ministeri de l'Interior quan un operador essencial que haja sigut designat com a operador crític patisca un incident; l'ESPDEF-CERT del Comandament Conjunt del Ciberespai (MCCE) quan un operador amb incidència en la Defensa Nacional patisca un incident; la Intervenció General de l'Administració de l'Estat quan es tracte d'un incident de seguretat que afecte a un mitjà o servici comú baix el seu àmbit de responsabilitat.

• La disposició transitòria, sobre adequació de sistemes, contempla un termini de vint-i-quatre mesos per a l'adequació a l'ENS dels sistemes preexistents a la seua entrada en vigor, circumstància que es manifestarà amb l'exhibició del corresponent distintiu de conformitat derivats de declaracions o certificacions. La disposició té present que hi haurà sistemes que ja comptaran amb els corresponents distintius de conformitat i que, segons la pràctica habitual amb este tipus de distintius, podran mantindre la seua vigència procedint a la seua renovació a mesura que arribe la seua caducitat abans que arribe el citat termini.

• En l'annex II de mesures de seguretat, s'han actualitzat les mesures de seguretat en el marc operacional i en les mesures de protecció. Com a resultat d'estes modificacions de detall, algunes mesures han ampliat considerablement el seu nivell d'exigència per a determinades categories (10), i unes altres ho han augmentat lleument (14). Per contra, altres mesures han simplificat el seu nivell d'exigència (6), i algunes mesures han sigut eliminades i/o englobades dins d'altres (9). Finalment, s'han creat noves mesures que no existien (6). La resta, només han patit canvis de redacció, o s'han concretat:

• Entre les noves mesures, s'han inclòs les relatives a servicis en el núvol, interconnexió de sistemes, protecció de la cadena de subministrament (al·ludix als proveïdors o subministradors tecnològics de les entitats del sector públic), mitjans alternatius, vigilància i altres dispositius connectats a la xarxa.

• S'han reforçat mesures relatives a la identificació, la configuració de seguretat, la gestió de la configuració de seguretat, la protecció enfront del codi nociu, el registre d'activitat, la gestió de capacitat, la detecció d'intrusió, el sistema de mètriques i l'acceptació i posada en servici.

• Altres mesures amb un reforç més lleuger inclouen els requisits d'accés, la gestió de canvis, la gestió d'incidents, manteniment i actualitzacions de seguretat, protecció de la confidencialitat i còpies de seguretat.

• S'han simplificat algunes mesures com a segregació de tasques, segells de temps, qualificació de la informació, protecció de dispositius portàtils, protecció enfront de denegació de servici o perímetre segur.

• S'han eliminat mesures tals com les relatives a personal alternatiu, mitjans alternatius, protecció dels registres d'activitat per estar cobertes per altres mesures. 

Finalment, com a ajuda a la implantació i revisió de les mesures de protecció, d'una banda, s'han codificat els seus requisits; i, per una altra, per a indicar una major exigència s'empren els reforços de seguretat, també codificats, que se sumen als requisits base de la mesura, però que no sempre són incrementals entre si; de manera que, en certs casos, es pot triar entre aplicar un reforç o un altre d'entre els recollits per a les mesures en funció de l'anàlisi dels riscos i del criteri del responsable de la seguretat.