Publicado el nuevo Real Decreto que regula el Esquema Nacional de Seguridad

El pasado 5 de mayo entraba en vigor el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), y de esta manera se actualiza la principal norma en materia de ciberseguridad aplicable a la utilización de medios electrónicos en las Administraciones Públicas.

Esquema Nacional de Seguridad

 

Este real decreto es relevante para el sector privado porque aquellas empresas privadas que actualmente tienen una relación vigente con administraciones y empresas públicas, en un plazo de 24 meses, deben alcanzar su plena adecuación al ENS respecto de los sistemas de información en los que se sustenten los servicios que están prestando, y aquellas empresas privadas que en un futuro quieran contratar con administraciones y empresas públicas, deberán acreditar que cumplen el ENS respecto de los sistemas de información en los que se sustenten los servicios a prestar por los contratistas privados, para poder licitar a las contrataciones.

Dicha acreditación se podrá llevar a cabo por las empresas privadas con la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad.

Asimismo, desde Equipo MARZO abogados comentan algunos extremos de interés contemplados en el Real Decreto:

– Deroga: al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
 
– Principales objetivos:
 i) alinear el Esquema Nacional de Seguridad con el marco normativo y el contexto estratégico actual para garantizar la seguridad en la administración digital;
ii) ajustar los requisitos del ENS a la realidad de algunos sistemas que presentan semejanzas en una multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información y sus servicios; iii) facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad;
y iv) ejecución del plan de digitalización de las Administraciones Públicas 2021-2025, así como el desarrollo de las inversiones y reformas previstas en la agenda España Digital 2025.
 
– Objeto: regular el Esquema Nacional de Seguridad establecido en el art. 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público afectando a los sistemas de información utilizados para la prestación de los servicios públicos.
 
– Ámbito de aplicación: entre otros i) a todo el sector público y ii) a los sistemas de información de las entidades privadas, incluida la obligación de contar con la política de seguridad, cuando mediante una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.
 
– Obligación de contar con una Política de seguridad: conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta y que debe incluir, como mínimo, el siguiente contenido:
i) los objetivos o misión de la organización;
ii) el marco regulatorio en el que se desarrollarán las actividades;
iii) los roles o funciones de seguridad, definiendo para cada uno, sus deberes y responsabilidades, así como el procedimiento para su designación y renovación; iv) la estructura y composición del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de la organización;
v) las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso;
vi) y los riesgos que se derivan del tratamiento de los datos personales.
– Requisitos mínimos de la Política de seguridad: 
i) organización e implantación del proceso de seguridad;
ii) análisis y gestión de riesgos;
iii) gestión de personal;
iv) profesionalidad;
v) autorizaciones y control de los accesos;
vi) protección de las instalaciones;
vii) adquisición de productos de seguridad y contratación de servicios de seguridad;
viii) mínimo privilegio;
ix) integridad y actualización del sistema;
x) protección de la información almacenada y en tránsito;
xi) prevención ante otros sistemas de información interconectados;
xii) registro de la actividad y detección de código dañiño;
xiii) incidentes de seguridad;
iV) continuidad de la actividad;
xv) mejora continua del proceso de seguridad.
 
– Pliegos administrativos: los pliegos de prescripciones administrativas o técnicas de los contratos celebrados con Administraciones Públicas contemplarán todos los requisitos necesarios para asegurar la adecuación al ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas (incluyendo a la cadena de suministro de dichos contratistas), tales como la presentación de Declaraciones o Certificaciones de Conformidad con el ENS.
– Tratamiento de datos personales: cuando los sistemas de información traten datos personales será de aplicación el RGPD; la LOPDGDD; la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales; el resto de normativa de aplicación; y los criterios de la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.
– Análisis de riesgos y evaluación de impacto: cuando los sistemas de información traten datos personales, el responsable o el encargado del tratamiento, asesorado por el delegado de protección de datos, deberán realizar un análisis de riesgos y, en su caso, una evaluación de impacto en la protección de datos.
– Principios básicos del ENS: i) seguridad como proceso integral;
ii) gestión de la seguridad basada en los riesgos;
iii) prevención, detección, respuesta y conservación;
iv) existencia de líneas de defensa;
v) vigilancia continua;
vi) reevaluación periódica; y
vii) diferenciación de responsabilidades.
– Obligación de auditoría de la seguridad: con carácter general, cada dos años, para verificar el cumplimiento de los requerimientos del ENS; y con carácter extraordinario, siempre que se produzcan modificaciones sustanciales en los sistemas de información que puedan repercutir en las medidas de seguridad requeridas.
 – Actualización permanente del ENS: desarrollándose y perfeccionándose a lo largo del tiempo, en paralelo al avance de los servicios prestados por las entidades del sector público, la evaluación tecnológica, la aparición o consolidación de nuevos estándares internacionales sobre seguridad y auditoría y los riesgos a los que estén expuestos los sistemas de información concernidos.
– Según Disposición transitoria única: los sistemas de información del ámbito de aplicación del real decreto, preexistentes a su entrada en vigor, incluidos aquellos de los que sean titulares los contratistas del sector privado, dispondrán de  veinticuatro meses para alcanzar su plena adecuación al ENS, circunstancia que se manifestará con la exhibición del correspondiente distintivo de conformidad.
*¿Quieres acceder al nuevo Real Decreto? Pincha aqui

Imágenes: Ijeab/freepik