Pasar al contenido principal

Esquema Nacional de Seguridad

ENS
Esquema Nacional de Seguridad
11 de mayo 2022
 
El pasado 4 de mayo, se publicó el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), y que viene a sustituir al Real Decreto 3/2010. El ENS ha sufrido un proceso permanente de evolución desde su desarrollo inicial en 2010, y establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.

Con estos parámetros, el Real Decreto 311/2022 tiene como objetivos principales:
  1. Mejorar y alinear el ENS con el marco legal y estratégico actual para facilitar la seguridad de la administración digital, precisando su ámbito de aplicación a los sistemas[1] de todo el sector público y sistemas que tratan información clasificada, así como a entidades que presten servicios o provean soluciones al sector público.
  2. Articular el protocolo de respuesta y notificación de incidentes de seguridad¸ alineado con el establecido en el RDL 12/2018 de transposición de la Directiva NIS.
  3. Introducir la capacidad de ajustar los requisitos del ENS a determinados colectivos o ámbitos tecnológicos a través de perfiles de cumplimiento.
  4. Revisar de forma pormenorizada los principios básicos, requisitos mínimos y medidas de seguridad.
Por otro lado, y entre las novedades más importantes, cabe destacar:
  • Se ha revisado el ámbito de aplicación para incluir también a los proveedores o suministradores tecnológicos de las entidades del sector público y a los sistemas que manejan o tratan información clasificada.
  • Se hace referencia a que, cuando las entidades del sector público lleven a cabo la instalación, despliegue y explotación de redes 5G o la prestación de servicios 5G, además de las previsiones de este Real Decreto; será de aplicación lo establecido en el Real Decreto-ley 7/2022, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.
  • Se han incorporado los perfiles de cumplimiento específicos que introducen la capacidad de ajustar los requisitos del ENS a necesidades concretas, para determinados colectivos como Entidades Locales, Universidades, Organismos Pagadores, o a determinados ámbitos tecnológicos como servicios en la nube.
  • Se han revisado los principios básicos, los requisitos mínimos y las medidas de seguridad: el principio antes denominado ‘prevención, reacción y recuperación’ pasa a denominarse ‘prevención, detección y respuesta’; se introduce el principio de “vigilancia continua” para permitir la detección de actividades o comportamientos anómalos y su oportuna respuesta; y, por último, se clarifica la redacción del principio “responsabilidades diferenciadas” para precisar los aspectos relativos al responsable de la seguridad y al responsable del sistema.
  • Se establecen nuevas obligaciones y protocolos en el proceso de notificación de incidentes, en línea con lo establecido en el Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, incluyendo el uso de la Plataforma de Notificación y Seguimiento de Ciberincidentes.
 
Más información
Real Decreto 311/2022 
 
[1] Sistema de información: cualquiera de los elementos siguientes: 1.º Las redes de comunicaciones electrónicas que utilice la entidad del ámbito de aplicación de este real decreto sobre las que posea capacidad de gestión. 2.º Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales. 3.º Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1.º y 2.º anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos.
17481