Una adecuación a la tecnología con el Esquema Nacional de Seguridad (ENS)
El pasado 3 de mayo se publicó el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS). Dicho documento viene a sustituir Real Decreto 3/2010, de 8 de enero, por el que se regulaba dicho esquema.
Tras 11 años, estamos ante lo que va a representar un cambio y principalmente, una adecuación a la tecnología, para proteger la información, no solo de las administraciones públicas, sino también de las empresas del sector privado que prestan servicios a Administraciones Públicas, de manera que se minimice el riesgo de violación o brechas de seguridad, a la cual estamos, tristemente, malacostumbrándonos con fallos que hay en los sistemas críticos de las organizaciones.
Esta actualización del ENS supone la adaptación a una nueva realidad normativa y al incremento de las ciber amenazas con el objetivo de dar una respuesta más adecuada ante ciberataques y protegiendo mucho más la información que se almacenan en los sistemas.
Los objetivos de dicha actualización son los siguientes:
- Alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital.
- Introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.
- Reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.
Entre los cambios más significativos de la normativa, encontramos los siguientes:
- Incorporación de la figura del perfil de cumplimiento: En este caso, el objetivo es la aplicación eficiente del nuevo ENS. Además, la metodología consistirá en suprimir medidas o incluir la aplicabilidad de otras. Aumentar o disminuir la exigencia del nivel de implantación de alguna medida. Proponer medidas compensatorias o complementarias de vigilancia.
- Establecimiento de protocolo de actuación ante ciber incidentes: El Centro Criptológico Nacional articula la respuesta a los incidentes de seguridad. Establece la obligación de notificar al CCN-CERT los incidentes de seguridad. El procedimiento sería el siguiente:
- Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información concernidos.
- INCIBE-CERT pondrá inmediatamente en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del sector privado que presten servicios a las entidades públicas.
- El CNN indicará las directrices para paliar los daños causados por el incidente y las salvaguardas para reducir su impacto
- Nuevo sistema de codificación de los requisitos de las medidas de seguridad: Facilita de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.
#helas #legaltech #ENS #INCIBE #CNN #ciber
María Jiménez García
Consultor de Helas Consultores