Una adecuación a la tecnología con el Esquema Nacional de Seguridad (ENS)

In mayo 17, 2022
Comments off
129 Views

El pasado 3 de mayo se publicó el  Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS). Dicho documento viene a sustituir Real Decreto 3/2010, de 8 de enero, por el que se regulaba dicho esquema.

Tras 11 años, estamos ante lo que va a representar un cambio y principalmente, una adecuación a la tecnología, para proteger la información, no solo de las administraciones públicas, sino también de las empresas del sector privado que prestan servicios a Administraciones Públicas, de manera que se minimice el riesgo de violación o brechas de seguridad, a la cual estamos, tristemente, malacostumbrándonos con fallos que hay en los sistemas críticos de las organizaciones.

Esta actualización del ENS supone la adaptación a una nueva realidad normativa y al incremento de las ciber amenazas con el objetivo de dar una respuesta más adecuada ante ciberataques y protegiendo mucho más la información que se almacenan en los sistemas.  

Los objetivos de dicha actualización son los siguientes:

  • Alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital.
  • Introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información.
  • Reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.

Entre los cambios más significativos de la normativa, encontramos los siguientes:

  1. Incorporación de la figura del perfil de cumplimiento: En este caso, el objetivo es la aplicación eficiente del nuevo ENS. Además, la metodología consistirá en suprimir medidas o incluir la aplicabilidad de otras. Aumentar o disminuir la exigencia del nivel de implantación de alguna medida. Proponer medidas compensatorias o complementarias de vigilancia.
  2. Establecimiento de protocolo de actuación ante ciber incidentes: El Centro Criptológico Nacional articula la respuesta a los incidentes de seguridad. Establece la obligación de notificar al CCN-CERT los incidentes de seguridad. El procedimiento sería el siguiente:
  • Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información concernidos.
  • INCIBE-CERT pondrá inmediatamente en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del sector privado que presten servicios a las entidades públicas.
  • El CNN indicará las directrices para paliar los daños causados por el incidente y las salvaguardas para reducir su impacto
  1. Nuevo sistema de codificación de los requisitos de las medidas de seguridad: Facilita de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.

 

#helas #legaltech #ENS #INCIBE #CNN #ciber 

 

María Jiménez García

Consultor de Helas Consultores

       

Comments are closed.