accesskey_mod_content

Esquema Nacional de Seguretat - ENS

  • Opinar
  • Escoltar
  • Imprimir PDF
  • Compartir

Introducció

El Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat(Obri en nova finestra) substituïx al Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.

El Reial decret 311/2022 actualitza l'Esquema Nacional de Seguretat ( ENS ) para:

  • Primer, alinear l'ENS amb el marc normatiu i el context estratègic existents per a garantir la seguretat en l'Administració Digital. Per a aconseguir-ho, s'aclarix l'àmbit d'aplicació de l'ENS i s'actualitzen les referències al marc legal vigent, de manera que se simplifiquen i harmonitzen els mandats de l'ENS.
  • Segon, introduir la capacitat d'ajustar els requisits de l'ENS per a garantir la seua adaptació a la realitat de certs col·lectius o tipus de sistemes, atenent a la semblança dels riscos als quals estan exposats els seus sistemes d'informació.
  • Tercer, reforçar la protecció enfront de les tendències en ciberseguretat mitjançant la revisió dels principis bàsics, els requisits mínims i les mesures de seguretat que han d'adoptar-se per les entitats subjectes a l'ENS.

Els sistemes afectats hauran d'adequar-se al que es disposa en el reial decret en un termini de vint-i-quatre mesos explicats a partir de la seua entrada en vigor.

Objectius

L'Esquema Nacional de Seguretat ( ENS ) perseguix els següents grans objectius:

  • Crear les condicions necessàries de seguretat en l'ús dels mitjà electrònics, a través de mesures per a garantir la seguretat dels sistemes, les dades, les comunicacions, i els servicis electrònics, que permeta l'exercici de drets i el compliment de deures a través d'estos mitjans.
  • Promoure la gestió continuada de la seguretat.
  • Promoure la prevenció, detecció i correcció, per a una millor resiliència en l'escenari de ciberamenazas i ciberatacs.
  • Promoure un tractament homogeni de la seguretat que facilite la cooperació en la prestació de servicis públics digitals quan participen diverses entitats. Açò suposa proporcionar els elements comuns que han de guiar l'actuació de les entitats del Sector Públic i dels seus proveïdors tecnològics en matèria de seguretat de les tecnologies de la informació.
  • Servir de model de bones pràctiques, en línia amb l'apuntat en les recomanacions de l'OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document(Obri en nova finestra) .

Elements de l'Esquema Nacional de Seguretat

Els elements principals del ENS són els següents:

  • Els principis bàsics a considerar en les decisions en matèria de seguretat (arts. 5-11).
  • Els requisits mínims que permeten una protecció adequada de la informació (arts. 12-27).
  • El mecanisme per a aconseguir el compliment dels principis bàsics i dels requisits mínims mitjançant l'adopció de mesures de seguretat proporcionades a la naturalesa de la informació i els servicis a protegir (arts. 28, 40, 41, Annex I i Annex II).
  • L'ús d'infraestructures i servicis comuns (art. 29).
  • Els perfils de compliment específics (art. 30).
  • L'informe d'estat de la seguretat (art. 32)
  • L'auditoria de la seguretat (art. 31 i Annex III).
  • La resposta davant incidents de seguretat (arts. 33 i 34).
  • L'ús de productes certificats (art. 19 i Annex II).
  • La conformitat (art. 38).
  • La formació i la conscienciació (disposició addicional primera).
  • Les guies de seguretat (disposició addicional segona).
  • Les instruccions tècniques de seguretat (disposició addicional segona).

El mandat principal de l'és ENS l'establit en l'article 12 ‘Política de seguretat i requisits mínims de seguretat’, segons el qual “cada administració pública comptarà amb una política de seguretat formalment aprovada per l'òrgan competent”, la qual “és el conjunt de directrius que regixen la forma en què una organització gestiona i protegix la informació que tracta i els servicis que presta” i s'establirà d'acord amb els principis bàsics i es desenvoluparà aplicant els requisits mínims, en proporció als riscos identificats en cada sistema.

Les instruccions tècniques de seguretat , de compliment obligat, són essencials per a aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures arreplegats en l'Esquema i, particularment, per a indicar la manera comuna d'actuar en aspectes concrets.

Les guies de seguretat CCN-STIC(Obri en nova finestra) , publicades pel Centre Criptològic Nacional, en particular, la col·lecció de guies de la sèrie 800, i disponibles en el Portal del CCN-CERT, ajuden al millor compliment de l'establit en l'Esquema Nacional de Seguretat.

Àmbit d'aplicació

L'àmbit d'aplicació de l'Esquema Nacional de Seguretat comprèn a tot el Sector Públic, en els termes previstos en l'article 2 de la Llei 40/2015; als sistemes que tracten informació classificada, sense perjuí de l'aplicació de la Llei 9/1968, de 5 d'abril, de Secrets Oficials; i als sistemes d'informació de les entitats del sector privat quan presten servicis o proveïsquen solucions a les entitats del sector públic per a l'exercici de les seues competències i potestats administratives.

Adequació a l'Esquema Nacional de Seguretat

Una adequació ordenada a l'Esquema Nacional de Seguretat requerix genèricament el tractament de les següents qüestions, expressades de forma succinta:

  • Preparar i aprovar la política de seguretat, incloent els objectius o missió de l'organització, el marc regulatori de les activitats, la definició de rols de seguretat, l'estructura i composició del comité per a la gestió i coordinació de la seguretat, les directrius d'estructuració de la documentació de la seguretat, i els riscos derivats del tractament de dades personals.
  • Categoritzar els sistemes atenent a la valoració de la informació manejada i dels servicis prestats.
  • Realitzar l'anàlisi de riscos, incloent la valoració de les mesures de seguretat existents.
  • Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'Annex II de l'ENS.
  • Elaborar un pla d'adequació per a la millora de la seguretat, sobre la base de les insuficiències detectades, incloent terminis benvolguts d'execució.
  • Implantar, operar i monitorar les mesures de seguretat a través de la gestió continuada de la seguretat corresponent.
  • Auditar la seguretat per a verificar el compliment dels requisits de l'ENS.
  • Obtindre i publicitar la conformitat amb l'ENS.
  • Informar sobre l'estat de la seguretat.

Adecuación al ENS

Figura: Adequació a l'Esquema Nacional de Seguretat.

Conformitat amb l'ENS

L'article 38 sobre ‘Procediments de determinació de la conformitat amb l'Esquema Nacional de Seguretat’ assenyala que tots els subjectes responsables dels sistemes d'informació afectats per l'ENS donaran publicitat de les declaracions i certificacions conforme a l'ENS en els seus portals d'internet o seus electròniques. Esta obligació afecta a tot el Sector Públic, als sistemes d'informació classificada  i a les entitats del sector privat que els presten solucions i servicis per a l'exercici de competències i potestats administratives.

La Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat(Obri en nova finestra) establix els criteris i procediments per a la determinació de la conformitat, així com per a la publicitat d'aquesta conformitat. Precisa els mecanismes d'obtenció i publicitat de les declaracions de conformitat i dels distintius de seguretat obtinguts respecte al compliment de l'ENS.

Més informació

Òmpliga el formulari de  Contacte(Obri en nova finestra)  per a enviar la seua petició d'informació.