Hoy entra en vigor el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), publicado ayer en el Boletín Oficial del Estado. De esta forma, se actualiza la principal norma en materia de ciberseguridad aplicable a la utilización de medios electrónicos en las Administraciones Públicas.
Una garantía para la seguridad de los sistemas y los datos
Se trata de una renovación necesaria para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. La transformación digital que ha vivido nuestra sociedad y el aumento de las ciberamenazas han dejado obsoletas parte de las medidas establecidas en 2010 y revisadas en 2015. Muestra de ello son los ataques sufridos por organismos como la Seguridad Social y Ministerio de Trabajo.
Asimismo, también resultaba necesario alinear el ENS con la última normativa aprobada en el marco de la Unión Europea:
- Reglamento (UE) N.º 526/2013, relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (Reglamento ENISA).
- Reglamento (UE) 2019/881, relativo a ENISA relativo a ENISA (Reglamento sobre la Ciberseguridad).
- Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS).
De esta forma, el nuevo ENS se presenta como un nuevo y más ágil marco para la gestión de la seguridad de la información, no solo dentro de las Administraciones Públicas. Resulta necesario recordar que la propia Agencia Española de Protección de Datos (AEPD) ha recomendado la implementación de sus medidas como básicas para garantizar la seguridad de los datos.
Los nuevos cambios recogidos por el Esquema Nacional de Seguridad
Entre los principales cambios recogidos por el nuevo ENS, caben mencionar los siguientes:
- Ámbito de aplicación. Se detalla el ámbito de aplicación de la norma, haciendo mención expresa a los sistemas de información clasificada; y las entidades privadas cuando presten servicios a las Administraciones Públicas para el ejercicio de sus competencias y potestades.
- Principios básicos. Se incorpora el principio de vigilancia continua. De esta forma, el sistema debe permitir la detección de actividades o comportamientos anómalos y su oportuna respuesta.
- Diferenciación de responsabilidades. Además del responsable de la información, del servicio y de la seguridad, también habrá que designar un responsable del sistema. Asimismo, en el artículo 13 se recogen las funciones de cada uno de los responsables.
- Política de seguridad. Se amplía el contenido mínimo que detallará la Política de seguridad, debiendo incluir los riesgos que derivan del tratamiento de los datos personales.
- Persona de contacto. Las entidades jurídicas privadas que presten servicios dentro del alcance del ENS deberán nombrar a una Persona de Contacto (POC); que será el responsable del seguridad de la organización contratada.
- Comunicaciones electrónicas. Se elimina el Capítulo IV, relativo a comunicaciones electrónicas, en el que se regulaban aspectos como la firma electrónica; o los requerimientos técnicos de notificaciones y publicaciones electrónicas.
- Perfiles de cumplimiento. A fin de agilizar la aplicación del ENS, se promoverá la implementación de perfiles de cumplimiento. Son un conjunto de medidas de seguridad destinadas a una concreta categoría de seguridad y que permitirán una adaptación al ENS más eficaz y eficiente.
- Respuesta a incidentes de seguridad. Se regula más en profundidad las obligaciones en relación a la notificación de incidentes de seguridad; así como las actuaciones a llevar a cabo por parte del CCN-CERT. Adicionalmente, también se recoge la obligación de las organizaciones privadas de notificar al INCIBE-CERT.
- Categoría del sistema. Se determina la obligación de reevaluar de forma anual la categoría del sistema.
- Medidas de seguridad. A falta de un análisis más profundo de las medidas de seguridad requeridas por el Anexo III; es posible afirmar que de forma general el rango de alcance de las mismas ha sido ampliado. De esta manera, las medidas de seguridad aplicables son sustancialmente más estrictas para los sistemas de todas las categorías.
La principal novedad
No obstante, la principal novedad es el nuevo sistema de referencias. Así, divide las medidas de seguridad entre requisitos generales y refuerzos. En función del nivel de seguridad, estos refuerzos podrán resultar tanto obligatorios como preceptivos.
Por último, se debe destacar que los sistemas de información afectados por el ENS deberán ser adaptados al mismo en un período de 2 años desde su entrada en vigor, incluidos los del sector privado. Desde UBT Legal & Compliance, como expertos en ciberseguridad y sistemas de gestión, podemos ayudar a tu organización a lo largo de todo el proceso.