11/05/2022
3 min lectura
Esquema Nacional de Seguridad
11 de mayo 2022
El pasado 4 de mayo, se publicó el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), y que viene a sustituir al Real Decreto 3/2010. El ENS ha sufrido un proceso permanente de evolución desde su desarrollo inicial en 2010, y establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.
Con estos parámetros, el Real Decreto 311/2022 tiene como objetivos principales:
Más información
Real Decreto 311/2022
11 de mayo 2022
El pasado 4 de mayo, se publicó el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), y que viene a sustituir al Real Decreto 3/2010. El ENS ha sufrido un proceso permanente de evolución desde su desarrollo inicial en 2010, y establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.
Con estos parámetros, el Real Decreto 311/2022 tiene como objetivos principales:
- Mejorar y alinear el ENS con el marco legal y estratégico actual para facilitar la seguridad de la administración digital, precisando su ámbito de aplicación a los sistemas[1] de todo el sector público y sistemas que tratan información clasificada, así como a entidades que presten servicios o provean soluciones al sector público.
- Articular el protocolo de respuesta y notificación de incidentes de seguridad¸ alineado con el establecido en el RDL 12/2018 de transposición de la Directiva NIS.
- Introducir la capacidad de ajustar los requisitos del ENS a determinados colectivos o ámbitos tecnológicos a través de perfiles de cumplimiento.
- Revisar de forma pormenorizada los principios básicos, requisitos mínimos y medidas de seguridad.
- Se ha revisado el ámbito de aplicación para incluir también a los proveedores o suministradores tecnológicos de las entidades del sector público y a los sistemas que manejan o tratan información clasificada.
- Se hace referencia a que, cuando las entidades del sector público lleven a cabo la instalación, despliegue y explotación de redes 5G o la prestación de servicios 5G, además de las previsiones de este Real Decreto; será de aplicación lo establecido en el Real Decreto-ley 7/2022, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.
- Se han incorporado los perfiles de cumplimiento específicos que introducen la capacidad de ajustar los requisitos del ENS a necesidades concretas, para determinados colectivos como Entidades Locales, Universidades, Organismos Pagadores, o a determinados ámbitos tecnológicos como servicios en la nube.
- Se han revisado los principios básicos, los requisitos mínimos y las medidas de seguridad: el principio antes denominado ‘prevención, reacción y recuperación’ pasa a denominarse ‘prevención, detección y respuesta’; se introduce el principio de “vigilancia continua” para permitir la detección de actividades o comportamientos anómalos y su oportuna respuesta; y, por último, se clarifica la redacción del principio “responsabilidades diferenciadas” para precisar los aspectos relativos al responsable de la seguridad y al responsable del sistema.
- Se establecen nuevas obligaciones y protocolos en el proceso de notificación de incidentes, en línea con lo establecido en el Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, incluyendo el uso de la Plataforma de Notificación y Seguimiento de Ciberincidentes.
Más información
Real Decreto 311/2022
[1] Sistema de información: cualquiera de los elementos siguientes: 1.º Las redes de comunicaciones electrónicas que utilice la entidad del ámbito de aplicación de este real decreto sobre las que posea capacidad de gestión. 2.º Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales. 3.º Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1.º y 2.º anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos.