Introdución
O Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade substitúe ao Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
O Real Decreto 311/2022 actualiza o Esquema Nacional de Seguridade (
ENS
) para:
- Primeiro, aliñar o ENS co marco normativo e o contexto estratéxico existentes para garantir a seguridade na Administración Dixital. Para logralo, clarifícase o ámbito de aplicación do ENS e actualízanse as referencias ao marco legal vixente, de maneira que se simplifiquen e harmonicen os mandatos do ENS.
- Segundo, introducir a capacidade de axustar os requisitos do ENS para garantir a súa adaptación á realidade de certos colectivos ou tipos de sistemas, atendendo á semellanza dos riscos aos que están expostos os seus sistemas de información.
- Terceiro, reforzar a protección fronte ás tendencias en ciberseguridade mediante a revisión dos principios básicos, os requisitos mínimos e as medidas de seguridade que deben adoptarse polas entidades suxeitas ao ENS.
Os sistemas afectados deberán adecuarse ao disposto no real decreto nun prazo de vinte e catro meses contados a partir da súa entrada en vigor.
Obxectivos
O Esquema Nacional de Seguridade (
ENS
) persegue os seguintes grandes obxectivos:
- Crear as condicións necesarias de seguridade no uso dos medio electrónicos, a través de medidas para garantir a seguridade dos sistemas, os datos, as comunicacións, e os servizos electrónicos, que permita o exercicio de dereitos e o cumprimento de deberes a través destes medios.
- Promover a xestión continuada da seguridade.
- Promover a prevención, detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
- Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público e dos seus provedores tecnolóxicos en materia de seguridade das tecnoloxías da información.
- Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document .
Elementos do Esquema Nacional de Seguridade
Os elementos principais do
ENS
son os seguintes:
- Os principios básicos a considerar nas decisións en materia de seguridade (arts. 5-11).
- Os requisitos mínimos que permitan unha protección adecuada da información (arts. 12-27).
- O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 28, 40, 41, Anexo I e Anexo II).
- O uso de infraestruturas e servizos comúns (art. 29).
- Os perfís de cumprimento específicos (art. 30).
- O informe de estado da seguridade (art. 32)
- A auditoría da seguridade (art. 31 e Anexo III).
- A resposta ante incidentes de seguridade (arts. 33 e 34).
- O uso de produtos certificados (art. 19 e Anexo II).
- A conformidade (art. 38).
- A formación e a concienciación (disposición adicional primeira).
- As guías de seguridade (disposición adicional segunda).
- As instrucións técnicas de seguridade (disposición adicional segunda).
O mandato principal do
ENS
é o establecido no artigo 12 ‘Política de seguridade e requisitos mínimos de seguridade’, segundo o cal “cada administración pública contará cunha política de seguridade formalmente aprobada polo órgano competente”, a cal “é o conxunto de directrices que rexen a forma en que unha organización xestiona e protexe a información que trata e os servizos que presta” e establecerase de acordo con os principios básicos e desenvolverase aplicando os requisitos mínimos, en proporción aos riscos identificados en cada sistema.
As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos.
As guías de seguridade CCN-STIC , publicadas polo Centro Criptolóxico Nacional, en particular, a colección de guías da serie 800, e dispoñibles no Portal do CCN-CERT, axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade.
Ámbito de aplicación
O ámbito de aplicación do Esquema Nacional de Seguridade comprende a todo o Sector Público, nos termos previstos no artigo 2 da Lei 40/2015; aos sistemas que tratan información clasificada, sen prexuízo da aplicación da Lei 9/1968, do 5 de abril, de Secretos Oficiales; e aos sistemas de información das entidades do sector privado cando presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas.
Adecuación ao Esquema Nacional de Seguridade
Unha adecuación ordenada ao Esquema Nacional de Seguridade require genéricamente o tratamento das seguintes cuestións, expresadas de forma sucinta:
- Preparar e aprobar a política de seguridade, incluíndo os obxectivos ou misión da organización, o marco regulatorio das actividades, a definición de roles de seguridade, a estrutura e composición do comité para a xestión e coordinación da seguridade, as directrices de estruturación da documentación da seguridade, e os riscos derivados do tratamento de datos persoais.
- Categorizar os sistemas atendendo á valoración da información manexada e dos servizos prestados.
- Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes.
- Preparar e aprobar a Declaración de aplicabilidade das medidas do Anexo II do ENS.
- Elaborar un plan de adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución.
- Implantar, operar e monitorar as medidas de seguridade a través da xestión continuada da seguridade correspondente.
- Auditar a seguridade para verificar o cumprimento dos requisitos do ENS.
- Obter e publicitar a conformidade co ENS.
- Informar o estado da seguridade.
Figura: Adecuación ao Esquema Nacional de Seguridade.
Conformidade co ENS
O artigo 38 sobre ‘Procedementos de determinación da conformidade co Esquema Nacional de Seguridade’ sinala que todos os suxeitos responsables dos sistemas de información afectados polo ENS darán publicidade das declaracións e certificacións conforme ao ENS nos seus portais de internet ou sedes electrónicas. Esta obriga afecta a todo o Sector Público, aos sistemas de información clasificada e ás entidades do sector privado que lles presten solucións e servizos para o exercicio de competencias e potestades administrativas.
A Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.
Instrumentos para a adecuación ao ENS
Instrumentos para abordar a adecuación ao ENS:
Evolución do ENS
Máis información
Encha o formulario de Contacto para enviar o seu pedimento de información.