El Consejo de Ministros ha aprobado un Real Decreto que modifica otro Real Decreto del 8 de enero de 2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
L'objecte de la norma és reforçar la protecció de les Administracions Públiques enfront de les "ciberamenazas" mitjançant l'adequació a la ràpida evolució de les tecnologies, tot això tenint en consideració l'experiència adquirida en la implementació de l'esquema nacional de seguretat des de 2010. A més, permet adequar l'actual normativa al context regulatori internacional i europeu, en particular al previst en un Reglament comunitari de 2014 quant a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior. En definitiva, es tracta de dotar a l'Esquema Nacional de Seguretat dels mecanismes necessaris que millorin la resposta en matèria de seguretat dels sistemes tecnològics.
Per tant, es modifica la normativa de protecció contra les ciberamenazas reforçant els serveis de confiança i la protecció per a les transaccions electròniques. Els sistemes hauran d'adequar-se al que es disposa en la present modificació en un termini de vint-i-quatre mesos.
L'esforç realitzat per a l'actualització de l'Esquema Nacional de Seguretat respon a l'Objectiu I de l'Estratègia de Ciberseguretat Nacional que es refereix a "Garantir que els Sistemes d'Informació i Telecomunicacions que utilitzen les Administracions Públiques posseeixen l'adequat nivell de ciberseguretat i resiliència", així com als principis generals prevists en la Llei de Règim Jurídic del Sector Públic, que es refereixen a la seguretat com un element clau per a la interacció de les Administracions Públiques pel mitjà electrònic
Per a això, s'introdueixen en l'Esquema Nacional de Seguretat, entre unes altres, les següents mesures addicionals:
- En l'article 11, la gestió continuada de la seguretat com un aspecte clau que ha d'acompanyar als serveis disponibles per mitjans electrònics 24 hores al dia.
- En el artículo 15, la exigencia, de manera objetiva y no discriminatoria, de profesionales cualificados a las organizaciones que presten servicios de seguridad a las Administraciones Públicas.
- En el artículo 18, la utilización, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, de aquellos productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
- En l'article 24, el desplegament de procediments de gestió d'incidents de seguretat i de febleses detectades en els elements del sistema d'informació.
- En l'article 27, la formalització de les mesures de seguretat en un document denominat ‘declaració d'aplicabilitat’ i la possibilitat de reemplaçar mesures de seguretat per altres compensatòries quan es justifiqui documentalment.
- En el artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoría de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.
- En l'article 35, referències expresses a l'articulació dels procediments necessaris per a la recollida i consolidació de la informació per l'informa anual d'estat de la seguretat i organismes responsables de la seva realització.
- En l'article 36, la notificació al Centre Criptològic Nacional d'aquells incidents que tinguin un impacte significatiu en la seguretat de la informació manejada i dels serveis prestats.
- En l'article 37, les evidències necessàries per a la recerca d'incidents de seguretat per part del Centre Criptològic Nacional.
- La millora de diverses mesures de seguretat per millorar la seva eficàcia i per adequar-se al previst en el Reglament nº 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques al mercat interior i pel qual es deroga la Directiva 1999/93/CE. En particular, els apartats 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 i 5.8.2.
- También se concreta el Anexo III, referido a la auditoría de seguridad, se modifica el Glosario de términos recogido en el Anexo IV, se actualiza la redacción de la cláusula administrativa particular contenida en el Anexo V, se elimina la referencia a INTECO y se establece mediante disposición transitoria un plazo de veinticuatro meses contados a partir de la entrada en vigor para la adecuación de los sistemas a lo dispuesto en la modificación.
Publicat en BOE el 4-11-2015: Reial decret 951/2015
, de 23 d'octubre, de modificació del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.
