Esquema Nacional de Seguridade - ENS

Introdución

O Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

O Real Decreto 311/2022 actualiza o Esquema Nacional de Seguridade ( ENS ) para:

• Primero, alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital. Para lograrlo, se clarifica el ámbito de aplicación del ENS y se actualizan las referencias al marco legal vigente, de manera que se simplifiquen y armonicen los mandatos del ENS.
• Segundo, introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.
• Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.

Los sistemas afectados deberán adecuarse a lo dispuesto en el real decreto en un plazo de veinticuatro meses contados a partir de su entrada en vigor.

Obxectivos

O Esquema Nacional de Seguridade ( ENS ) persegue os seguintes grandes obxectivos:

• Crear as condicións necesarias de seguridade no uso dos medio electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Promover a xestión continuada da seguridade.
• Promover a prevención, detección e corrección, para unha mellor resiliencia no escenario de ciberamenazas e ciberataques.
• Promover un tratamento homoxéneo da seguridade que facilite a cooperación na prestación de servizos públicos dixitais cando participan diversas entidades. Isto supón proporcionar os elementos comúns que han de guiar a actuación das entidades do Sector Público e dos seus provedores tecnolóxicos en materia de seguridade das tecnoloxías da información.
• Servir de modelo de boas prácticas, en liña co apuntado nas recomendacións do OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document .

Elementos do Esquema Nacional de Seguridade

Os elementos principais do ENS son os seguintes:

• Os principios básicos a considerar en las decisiones en materia de seguridad (arts. 5-11).
• Os requisitos mínimos que permitan unha protección adecuada da información (arts. 12-27).
• O mecanismo para lograr o cumprimento dos principios básicos e dos requisitos mínimos mediante a adopción de medidas de seguridade proporcionadas á natureza da información e os servizos a protexer (arts. 28, 40, 41, Anexo I e Anexo II).
• O uso de infraestruturas e servizos comúns (art. 29).
• Os perfís de cumprimento específicos (art. 30).
• O informe de estado da seguridade (art. 32)
• A auditoría da seguridade (art. 31 e Anexo III).
• A resposta ante incidentes de seguridade (arts. 33 e 34).
• O uso de produtos certificados (art. 19 e Anexo II).
• A conformidade (art. 38).
• A formación e a concienciación (disposición adicional primeira).
• As guías de seguridade (disposición adicional segunda).
• As instrucións técnicas de seguridade (disposición adicional segunda).

O mandato principal do ENS é o establecido no artigo 12 ‘Política de seguridade e requisitos mínimos de seguridade’, segundo o cal “cada administración pública contará cunha política de seguridade formalmente aprobada polo órgano competente”, a cal “é o conxunto de directrices que rexen a forma en que unha organización xestiona e protexe a información que trata e os servizos que presta” e establecerase de acordo con os principios básicos e desenvolverase aplicando os requisitos mínimos, en proporción aos riscos identificados en cada sistema.

As instrucións técnicas de seguridade , de obrigado cumprimento, son esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no Esquema e, particularmente, para indicar o modo común de actuar en aspectos concretos.

As guías de seguridade CCN-STIC , publicadas polo Centro Criptolóxico Nacional, en particular, a colección de guías da serie 800, e dispoñibles no Portal do CCN-CERT, axudan ao mellor cumprimento do establecido no Esquema Nacional de Seguridade.

Ámbito de aplicación

O ámbito de aplicación do Esquema Nacional de Seguridade comprende a todo o Sector Público, nos termos previstos no artigo 2 da Lei 40/2015; aos sistemas que tratan información clasificada, sen prexuízo da aplicación da Lei 9/1968, do 5 de abril, de Segredos Oficiais; e aos sistemas de información das entidades do sector privado cando presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas.

Adecuación ao Esquema Nacional de Seguridade

Unha adecuación ordenada ao Esquema Nacional de Seguridade require genéricamente o tratamento das seguintes cuestións, expresadas de forma sucinta:

• Preparar e aprobar a política de seguridade, incluíndo os obxectivos ou misión da organización, o marco regulatorio das actividades, a definición de roles de seguridade, a estrutura e composición do comité para a xestión e coordinación da seguridade, as directrices de estruturación da documentación da seguridade, e os riscos derivados do tratamento de datos persoais.
• Categorizar os sistemas atendendo á valoración da información manexada e dos servizos prestados.
• Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes.
• Preparar e aprobar a Declaración de aplicabilidade das medidas do Anexo II do ENS.
• Elaborar un plan de adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución.
• Implantar, operar e monitorar as medidas de seguridade a través da xestión continuada da seguridade correspondente.
• Auditar a seguridade para verificar o cumprimento dos requisitos do ENS.
• Obter e publicitar a conformidade co ENS.
• Informar o estado da seguridade.

Figura: Adecuación ao Esquema Nacional de Seguridade.

Conformidade co ENS

O artigo 38 sobre ‘Procedementos de determinación da conformidade co Esquema Nacional de Seguridade’ sinala que todos os suxeitos responsables dos sistemas de información afectados polo ENS darán publicidade das declaracións e certificacións conforme ao ENS nos seus portais de internet ou sedes electrónicas. Esta obriga afecta a todo o Sector Público, aos sistemas de información clasificada  e ás entidades do sector privado que lles presten solucións e servizos para o exercicio de competencias e potestades administrativas.

A Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade establece os criterios e procedementos para a determinación da conformidade, así como para a publicidade da este conformidade. Precisa os mecanismos de obtención e publicidade das declaracións de conformidade e dos distintivos de seguridade obtidos respecto ao cumprimento do ENS.

Instrumentos para a adecuación ao ENS

Instrumentos para abordar a adecuación ao ENS:

• Contorna de validación do ENS
• Guías CCN-STIC
• Solucións de Ciberseguridade do CCN
• Magerit – v.3 Metodoloxías de Análises e Xestión de Riscos dos Sistemas de Información
• Infraestruturas e servizos comúns
• Produtos certificados

Evolución do ENS

• Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (texto consolidado) .
• Real Decreto 951/2015, do 23 de outubro, de modificación do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica.
• Real Decreto 311/2022, do 3 de maio, que regula o Esquema Nacional de Seguridade .

Máis información

Encha o formulario de  Contacto  para enviar o seu pedimento de información.