¿Qué es el Esquema Nacional de Seguridad?

ciberseguridad-deepfake-hacker-h50
Comparte ese artículo

El Esquema Nacional de Seguridad es una regulación de carácter estatal, que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos. Es de obligado cumplimiento para las administraciones públicas y viene regulado en el Real Decreto 311/2022 de tres de mayo.

Ámbito de aplicación

El ámbito de aplicación del Esquema Nacional de Seguridad comprende a todo el Sector Público, en los términos previstos en el artículo 2 de la Ley 40/2015; a los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales; y a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.

El Real Decreto 311/2022 actualiza el Esquema Nacional de Seguridad (ENS) para:
  • Primero, alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital. Para lograrlo, se clarifica el ámbito de aplicación del ENS y se actualizan las referencias al marco legal vigente, de manera que se simplifiquen y armonicen los mandatos del ENS.
  • Segundo, introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.
  • Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.
El Esquema Nacional de Seguridad (ENS) persigue los siguientes grandes objetivos:
  • Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Promover la gestión continuada de la seguridad.
  • Promover la prevención, detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.
  • Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público y de sus proveedores tecnológicos en materia de seguridad de las tecnologías de la información.
  • Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE

Elementos del Esquema Nacional de Seguridad

Los elementos principales del ENS son los siguientes:

  • Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 5-11).
  • Los requisitos mínimos que permitan una protección adecuada de la información (arts. 12-27).
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 28, 40, 41, Anexo I y Anexo II).
  • El uso de infraestructuras y servicios comunes (art. 29).
  • Los perfiles de cumplimiento específicos (art. 30).
  • El informe de estado de la seguridad (art. 32)
  • La auditoría de la seguridad (art. 31 y Anexo III).
  • La respuesta ante incidentes de seguridad (arts. 33 y 34).
  • El uso de productos certificados (art. 19 y Anexo II).
  • La conformidad (art. 38).
  • La formación y la concienciación (disposición adicional primera).
  • Las guías de seguridad (disposición adicional segunda).
  • Las instrucciones técnicas de seguridad (disposición adicional segunda).
Conformidad con el ENS (Esquema Nacional de Seguridad)

El artículo 38 sobre ‘Procedimientos de determinación de la conformidad con el Esquema Nacional de Seguridad’ señala que todos los sujetos responsables de los sistemas de información afectados por el ENS darán publicidad de las declaraciones y certificaciones conforme al ENS en sus portales de internet o sedes electrónicas. Esta obligación afecta a todo el Sector Público, a los sistemas de información clasificada  y a las entidades del sector privado que les presten soluciones y servicios para el ejercicio de competencias y potestades administrativas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error: Contenido protegido por derechos de autor c) 2021 h50. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.