Publicado o novo Real Decreto que regula o Esquema Nacional de Seguridade

O Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade , aprobado polo Consello de Ministros do 3 de maio de 2022, substitúe ao Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.

O obxecto da norma é a actualización do Esquema Nacional de Seguridade (ENS) para adaptalo á nova realidade normativa e ao incremento das ciberamenazas tanto cuantitativa como cualitativamente, e así poder garantir unha resposta máis adecuada ante os ciberataques, propiciando a resiliencia dos sistemas, e proporcionando un tratamento máis seguro da información e os servizos públicos.

Para acomodar unha resposta ás ameazas provenientes do ciberespazo, a actualización do ENS persegue tres grandes obxectivos.

Primeiro, aliñar o ENS co marco normativo e o contexto estratéxico existentes para garantir a seguridade na Administración Dixital. Para logralo, clarifícase o ámbito de aplicación do ENS e actualízanse as referencias ao marco legal vixente, de maneira que se simplifiquen e harmonicen os mandatos do ENS.

Segundo, introducir a capacidade de axustar os requisitos do ENS para garantir a súa adaptación á realidade de certos colectivos ou tipos de sistemas, atendendo á semellanza dos riscos aos que están expostos os seus sistemas de información.

Terceiro, reforzar a protección fronte ás tendencias en ciberseguridade mediante a revisión dos principios básicos, os requisitos mínimos e as medidas de seguridade que deben adoptarse polas entidades suxeitas ao ENS.

Os sistemas afectados deberán adecuarse ao disposto no real decreto nun prazo de vinte e catro meses contados a partir da súa entrada en vigor.

O esforzo realizado para a actualización do ENS responde á execución da Reforma 9.3 “Unha Administración Cibersegura” do Plan de Dixitalización das Administracións Públicas 2021-2025, así como ás reformas previstas na axenda España Dixital 2025, coa finalidade de converterse nunha medida urxente de reforzo do marco normativo en materia de ciberseguridade.

As novidades

Cabe destacar as seguintes novidades:

• Revisouse e actualizado a redacción do ámbito de aplicación (art 2 e DÁ 3ª) cunha dobre finalidade:

En primeiro lugar, para clarificalo e que ambos os sectores, público e privado (provedores ou subministradores tecnolóxicos das entidades do sector público), sexan conscientes do que lles é esixible, en beneficio último da ciberseguridade pública e dos dereitos dos cidadáns.

En segundo lugar, para estender a súa aplicación aos sistemas que manexan ou tratan información clasificada, sen prexuízo de que puidese resultar necesario complementar as medidas de seguridade previstas no ENS con outras específicas para tales sistemas.

• Realizouse a clarificación, precisión, homoxeneización, simplificación, ou actualización de distintos aspectos do texto, así como a eliminación de aspectos non necesarios ou excesivos (un capítulo de ‘Comunicacións electrónicas’, con tres artigos, xa superado polas leis 39/2015, do 1 de outubro e 40/2015, do 1 de outubro, e o seu desenvolvemento regulamentario).

• A través do novo artigo 30 incorporáronse os perfís de cumprimento específicos que introducen a capacidade de axustar os requisitos do ENS a necesidades específicas, mediante a definición dun conxunto de medidas de seguridade que resulten de aplicación a unha entidade ou sector de actividade concreta, e para unha determinada categoría de seguridade (por ex. para Entidades locais), o que permite alcanzar unha adaptación ao ENS máis eficaz e eficiente, racionalizando os recursos requiridos sen menoscabo da protección perseguida e esixible.

• Revisáronse os principios básicos, os requisitos mínimos e as medidas de seguridade:

1. O principio antes denominado ‘prevención, reacción e recuperación’ pasa a denominarse ‘prevención, detección e resposta’, entendendo que a “recuperación” se atopa subsumida no concepto máis amplo de “resposta”, que o inclúe.

2. Introdúcese o principio de “vixilancia continua” para permitir a detección de actividades ou comportamentos anómalos e a súa oportuna resposta e impulsar a avaliación permanente do estado da seguridade dos activos, para detectar vulnerabilidades e identificar deficiencia de configuración.

3.  Clarifícase a redacción do principio “responsabilidades diferenciadas” para precisar os aspectos relativos ao responsable da seguridade e ao responsable do sistema.

• No artigo 12 “Política de seguridade e requisitos mínimos de seguridade” explicítanse cales son os elementos principais que ha de incluír a política de seguridade; quen han de dispor da citada política incluíndo cada administración polo menos, cada órgano ou entidade con personalidade xurídica propia sen prexuízo de poder quedar incluídos no ámbito subxectivo da política de seguridade da Administración coa que garden relación de vinculación, dependencia ou adscrición; e, finalmente, precísase que no ámbito da Administración Xeral do Estado, cada ministerio contará coa súa política de seguridade, mentres que os organismos públicos ou entidades pertencentes ao sector público institucional estatal poderán ben contar coa súa propia política de seguridade ou, ben quedar comprendidos no ámbito da política de seguridade do Departamento co que manteñan relación de vinculación, dependencia ou adscrición.

• No artigo 13 “Organización e implantación da seguridade” clarifícase o papel das figuras principais na aplicación do ENS: responsable da información, responsable do servizo, responsable do sistema, responsable da seguridade. Ademais, no caso dos servizos externalizados é necesario contar cunha figura que axude a canalizar e supervisar o cumprimento dos requisitos de seguridade do servizo que presta, así como a xestión dos posibles incidentes de seguridade razón pola cal se establece que este servizos han de contar cun punto de contado. En calquera caso a responsabilidade última reside na entidade do sector público destinataria ou contratante dos servizos en cuestión que ha de esixir aos seus subministradores a debida dilixencia en materia de seguridade.

• No capítulo dos requisitos mínimos de seguridade refórzanse a importancia da política de seguridade e o requisito mínimo “seguridade por defecto” que pasa a denominarse “mínimo privilexio”, con diversas melloras noutros requisitos mínimos. Efectivamente, canto á relación de requisitos mínimos incluída no apartado 6, signifícase a evolución da denominación do requisito da letra h) “Seguridade por defecto” segundo o real decreto de 2010, cara á denominación “mínimo privilexio” por responder mellor ao escenario actual e vindeiro que salienta que as funcionalidades dos sistemas han de configurarse de forma que sexan as mínimas e necesarias para que a organización alcance os seus obxectivos. Por outra banda, en relación coa letra f) “Protección das instalacións” no artigo 18 que trata esta cuestión establécese unha vinculación coa lexislación relativa á protección das infraestruturas críticas.

• No artigo 28 “Cumprimento dos requisitos mínimos” déixase aberta a posibilidade de que, unha vez satisfeitos os mínimos esixibles, o responsable de seguridade poida, en función dos resultados da análise de riscos, á luz da estado da arte da tecnoloxía, da natureza da información tratada e dos servizos prestados e dos riscos identificados, ampliar as medidas de protección cos reforzos que se identifican para as mesmas.

• Perfeccionouse o artigo 33 “Capacidade de resposta a incidentes de seguridade da información” no que se detallan de forma máis pormenorizada:

1. As condicións relativas á notificación de incidentes de seguridade por parte das entidades do sector público ao CCN-CERT e ás correspondentes actuacións resposta por parte da Secretaría Xeral de Administración Dixital e do CCN-CERT.

2. As condicións da notificación de incidentes de seguridade ao INCIBE-CERT por parte das entidades do sector privado que preste servizos ás entidades públicas; todo iso no marco do previsto no Real Decreto 43/2021, do 26 de xaneiro.

3. O papel doutros actores como a Oficina de Coordinación de Ciberseguridade do Ministerio do Interior cando un operador esencial que fose designado como operador crítico sufra un incidente; o ESPDEF-CERT do Mando Conxunto do Ciberespazo (MCCE) cando un operador con incidencia na Defensa Nacional sufra un incidente; a Intervención Xeral da Administración do Estado cando se trate dun incidente de seguridade que afecte a un medio ou servizo común baixo o seu ámbito de responsabilidade.

• A disposición transitoria, sobre adecuación de sistemas, contempla un prazo de vinte e catro meses para a adecuación ao ENS dos sistemas preexistentes á súa entrada en vigor, circunstancia que se manifestará coa exhibición do correspondente distintivo de conformidade derivados de declaracións ou certificacións. A disposición ten presente que haberá sistemas que xa contarán cos correspondentes distintivos de conformidade e que, segundo a práctica habitual con este tipo de distintivos, poderán manter a súa vixencia procedendo á súa renovación a medida que chegue a súa caducidade antes de que chegue o citado prazo.

• No anexo II de medidas de seguridade, actualizáronse as medidas de seguridade no marco operacional e nas medidas de protección. Como resultado destas modificacións de detalle, algunhas medidas ampliaron considerablemente o seu nivel de esixencia para determinadas categorías (10), e outras o aumentaron levemente (14). Pola contra, outras medidas simplificaron o seu nivel de esixencia (6), e algunhas medidas foron eliminadas e/ou englobadas dentro doutras (9). Por último, creáronse novas medidas que non existían (6). O resto, só sufriron cambios de redacción, ou se concretaron:

• Entre as novas medidas, incluíronse as relativas a servizos na nube, interconexión de sistemas, protección da cadea de subministración (alude aos provedores ou subministradores tecnolóxicos das entidades do sector público), medios alternativos, vixilancia e outros dispositivos conectados á rede.

• Reforzáronse medidas relativas á identificación, a configuración de seguridade, a xestión da configuración de seguridade, a protección fronte ao código daniño, o rexistro de actividade, a xestión de capacidade, a detección de intrusión, o sistema de métricas e a aceptación e posta en servizo.

• Outras medidas cun reforzo máis lixeiro inclúen os requisitos de acceso, a xestión de cambios, a xestión de incidentes, mantemento e actualizacións de seguridade, protección da confidencialidade e copias de seguridade.

• Simplificáronse algunhas medidas como segregación de tarefas, selos de tempo, cualificación da información, protección de dispositivos portátiles, protección fronte a denegación de servizo ou perímetro seguro.

• Elimináronse medidas tales como as relativas a persoal alternativo, medios alternativos, protección dos rexistros de actividade por estar cubertas por outras medidas. 

Finalmente, como axuda á implantación e revisión das medidas de protección, por unha banda, codificáronse os seus requisitos; e, por outra, para indicar unha maior esixencia empréganse os reforzos de seguridade, tamén codificados, que se suman aos requisitos basee da medida, pero que non sempre son incrementais entre si; de forma que, en certos casos, pódese elixir entre aplicar un reforzo ou outro de entre os recolleitos para as medidas en función da análise dos riscos e do criterio do responsable da seguridade.