(+34) 91 563 36 12 info@ubtcompliance.com

ENS 2022: Principales novedades

por | May 5, 2022 | Actualidad, AEPD

Hoy entra en vigor el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), publicado ayer en el Boletín Oficial del Estado. De esta forma, se actualiza la principal norma en materia de ciberseguridad aplicable a la utilización de medios electrónicos en las Administraciones Públicas.

Una garantía para la seguridad de los sistemas y los datos

Se trata de una renovación necesaria para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. La transformación digital que ha vivido nuestra sociedad y el aumento de las ciberamenazas han dejado obsoletas parte de las medidas establecidas en 2010 y revisadas en 2015. Muestra de ello son los ataques sufridos por organismos como la Seguridad Social y Ministerio de Trabajo.

Asimismo, también resultaba necesario alinear el ENS con la última normativa aprobada en el marco de la Unión Europea:

  • Reglamento (UE) N.º 526/2013, relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (Reglamento ENISA).
  • Reglamento (UE) 2019/881, relativo a ENISA relativo a ENISA (Reglamento sobre la Ciberseguridad).
  • Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS).

De esta forma, el nuevo ENS se presenta como un nuevo y más ágil marco para la gestión de la seguridad de la información, no solo dentro de las Administraciones Públicas. Resulta necesario recordar que la propia Agencia Española de Protección de Datos (AEPD) ha recomendado la implementación de sus medidas como básicas para garantizar la seguridad de los datos.

Los nuevos cambios recogidos por el Esquema Nacional de Seguridad

Entre los principales cambios recogidos por el nuevo ENS, caben mencionar los siguientes:

  • Ámbito de aplicación. Se detalla el ámbito de aplicación de la norma, haciendo mención expresa a los sistemas de información clasificada; y las entidades privadas cuando presten servicios a las Administraciones Públicas para el ejercicio de sus competencias y potestades.
  • Principios básicos. Se incorpora el principio de vigilancia continua. De esta forma, el sistema debe permitir la detección de actividades o comportamientos anómalos y su oportuna respuesta.
  • Diferenciación de responsabilidades. Además del responsable de la información, del servicio y de la seguridad, también habrá que designar un responsable del sistema. Asimismo, en el artículo 13 se recogen las funciones de cada uno de los responsables.
  • Política de seguridad. Se amplía el contenido mínimo que detallará la Política de seguridad, debiendo incluir los riesgos que derivan del tratamiento de los datos personales.  
  • Persona de contacto. Las entidades jurídicas privadas que presten servicios dentro del alcance del ENS deberán nombrar a una Persona de Contacto (POC); que será el responsable del seguridad de la organización contratada.
  • Comunicaciones electrónicas. Se elimina el Capítulo IV, relativo a comunicaciones electrónicas, en el que se regulaban aspectos como la firma electrónica; o los requerimientos técnicos de notificaciones y publicaciones electrónicas.
  • Perfiles de cumplimiento. A fin de agilizar la aplicación del ENS, se promoverá la implementación de perfiles de cumplimiento. Son un conjunto de medidas de seguridad destinadas a una concreta categoría de seguridad y que permitirán una adaptación al ENS más eficaz y eficiente.
  • Respuesta a incidentes de seguridad. Se regula más en profundidad las obligaciones en relación a la notificación de incidentes de seguridad; así como las actuaciones a llevar a cabo por parte del CCN-CERT. Adicionalmente, también se recoge la obligación de las organizaciones privadas de notificar al INCIBE-CERT.
  • Categoría del sistema. Se determina la obligación de reevaluar de forma anual la categoría del sistema.
  • Medidas de seguridad. A falta de un análisis más profundo de las medidas de seguridad requeridas por el Anexo III; es posible afirmar que de forma general el rango de alcance de las mismas ha sido ampliado. De esta manera, las medidas de seguridad aplicables son sustancialmente más estrictas para los sistemas de todas las categorías.

La principal novedad

No obstante, la principal novedad es el nuevo sistema de referencias. Así, divide las medidas de seguridad entre requisitos generales y refuerzos. En función del nivel de seguridad, estos refuerzos podrán resultar tanto obligatorios como preceptivos.

Por último, se debe destacar que los sistemas de información afectados por el ENS deberán ser adaptados al mismo en un período de 2 años desde su entrada en vigor, incluidos los del sector privado. Desde UBT Legal & Compliance, como expertos en ciberseguridad y sistemas de gestión, podemos ayudar a tu organización a lo largo de todo el proceso.

Ajustes de privacidad

Decida qué cookies desea permitir. Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador. MÁS INFORMACIÓN SOBRE LAS COOKIES QUE USAMOS.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado

Este sitio web no

  • Recordar los datos de inicio de sesión
  • Funcionalidad: Recordar los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado
  • Funcionalidad: Recordar todos los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados

Este sitio web no

  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado
  • Funcionalidad: Recordar todos los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas

Este sitio web no

  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Funcionalidad: Recordar los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web no

  • Recordar los datos de inicio de sesión
Guardar cerrar