Introducció
El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat substitueix al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.
El Reial decret 311/2022 actualitza l'Esquema Nacional de Seguretat (
ENS
) para:
- Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per garantir la seguretat en l'Administració Digital. Per aconseguir-ho, s'aclareix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquin i harmonitzin els mandats de l'ENS.
- Segon, introduir la capacitat d'ajustar els requisits de l'ENS per garantir la seva adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.
- Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.
Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seva entrada en vigor.
Objectius
L'Esquema Nacional de Seguretat (
ENS
) persegueix els següents grans objectius:
- Crear les condicions necessàries de seguretat en l'ús dels mitjà electrònics, a través de mesures per garantir la seguretat dels sistemes, les dades, les comunicacions, i els serveis electrònics, que permeti l'exercici de drets i el compliment de deures a través d'aquests mitjans.
- Promoure la gestió continuada de la seguretat.
- Promoure la prevenció, detecció i correcció, per a una millor resiliència en l'escenari de ciberamenazas i ciberatacs.
- Promoure un tractament homogeni de la seguretat que faciliti la cooperació en la prestació de serveis públics digitals quan participen diverses entitats. Això suposa proporcionar els elements comuns que han de guiar l'actuació de les entitats del Sector Públic i dels seus proveïdors tecnològics en matèria de seguretat de les tecnologies de la informació.
- Servir de model de bones pràctiques, en línia amb l'apuntat en les recomanacions de l'OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document .
Elements de l'Esquema Nacional de Seguretat
Els elements principals del
ENS
són els següents:
- Els principis bàsics a considerar en les decisions en matèria de seguretat (arts. 5-11).
- Els requisits mínims que permetin una protecció adequada de la informació (arts. 12-27).
- El mecanisme per aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els serveis a protegir (arts. 28, 40, 41, Annex I i Annex II).
- L'ús d'infraestructures i serveis comuns (art. 29).
- Els perfils de compliment específics (art. 30).
- L'informe d'estat de la seguretat (art. 32)
- L'auditoria de la seguretat (art. 31 i Annex III).
- La resposta davant incidents de seguretat (arts. 33 i 34).
- L'ús de productes certificats (art. 19 i Annex II).
- La conformitat (art. 38).
- La formació i la conscienciació (disposició addicional primera).
- Les guies de seguretat (disposició addicional segona).
- Les instruccions tècniques de seguretat (disposició addicional segona).
El mandat principal de l'és
ENS
l'establert en l'article 12 ‘Política de seguretat i requisits mínims de seguretat’, segons el qual “cada administració pública comptarà amb una política de seguretat formalment aprovada per l'òrgan competent”, la qual “és el conjunt de directrius que regeixen la forma en què una organització gestiona i protegeix la informació que tracta i els serveis que presta” i s'establirà d'acord amb els principis bàsics i es desenvoluparà aplicant els requisits mínims, en proporció als riscos identificats en cada sistema.
Les instruccions tècniques de seguretat , de compliment obligat, són essencials per aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures recollits en l'Esquema i, particularment, per indicar la manera comuna d'actuar en aspectes concrets.
Les guies de seguretat CCN-STIC , publicades pel Centre Criptològic Nacional, en particular, la col·lecció de guies de la sèrie 800, i disponibles al Portal del CCN-CERT, ajuden al millor compliment de l'establert en l'Esquema Nacional de Seguretat.
Àmbit d'aplicació
L'àmbit d'aplicació de l'Esquema Nacional de Seguretat comprèn a tot el Sector Públic, en els termes previstos en l'article 2 de la Llei 40/2015; als sistemes que tracten informació classificada, sense perjudici de l'aplicació de la Llei 9/1968, de 5 d'abril, de Secretos Oficiales; i als sistemes d'informació de les entitats del sector privat quan prestin serveis o proveeixin solucions a les entitats del sector públic per a l'exercici de les seves competències i potestats administratives.
Adequació a l'Esquema Nacional de Seguretat
Una adequació ordenada a l'Esquema Nacional de Seguretat requereix genèricament el tractament de les següents qüestions, expressades de forma succinta:
- Preparar i aprovar la política de seguretat, incloent els objectius o missió de l'organització, el marc regulatori de les activitats, la definició de rols de seguretat, l'estructura i composició del comitè per a la gestió i coordinació de la seguretat, les directrius d'estructuració de la documentació de la seguretat, i els riscos derivats del tractament de dades personals.
- Categoritzar els sistemes atenent a la valoració de la informació manejada i dels serveis prestats.
- Realitzar l'anàlisi de riscos, incloent la valoració de les mesures de seguretat existents.
- Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'Annex II de l'ENS.
- Elaborar un pla d'adequació per a la millora de la seguretat, sobre la base de les insuficiències detectades, incloent terminis benvolguts d'execució.
- Implantar, operar i monitorar les mesures de seguretat a través de la gestió continuada de la seguretat corresponent.
- Auditar la seguretat per verificar el compliment dels requisits de l'ENS.
- Obtenir i publicitar la conformitat amb l'ENS.
- Informar sobre l'estat de la seguretat.
Figura: Adequació a l'Esquema Nacional de Seguretat.
Conformitat amb l'ENS
L'article 38 sobre ‘Procediments de determinació de la conformitat amb l'Esquema Nacional de Seguretat’ assenyala que tots els subjectes responsables dels sistemes d'informació afectats per l'ENS donaran publicitat de les declaracions i certificacions conforme a l'ENS als seus portals d'internet o seus electròniques. Aquesta obligació afecta a tot el Sector Públic, als sistemes d'informació classificada i a les entitats del sector privat que els prestin solucions i serveis per a l'exercici de competències i potestats administratives.
La Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat estableix els criteris i procediments per a la determinació de la conformitat, així com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenció i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.
Instruments per a l'adequació a l'ENS
Instruments per abordar l'adequació a l'ENS:
Evolució de l'ENS
Més informació
Empleni el formulari de Contacto per enviar la seva petició d'informació.