El Consejo de Ministros ha aprobado el Real Decreto por el que se regula el Esquema Nacional de Seguridad (ENS). El Real Decreto actualiza el ENS y se enmarca en el paquete de actuaciones urgentes, adoptado el 25 de mayo de 2021, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.

Hay que tener en cuenta que, el Esquema Nacional de Seguridad vigente hasta la fecha es del 2010 y, desde entonces, la cosa ha cambiado mucho.

Esquema Nacional de Seguridad
Fuente | CCN-CERT

El ENS establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la administración pública, así como los proveedores tecnológicos del sector privado que colaboran con la administración.

Novedades en el Esquema Nacional de Seguridad

Entre las novedades que introduce el real decreto encontramos:

  • Adecuación del ENS al nuevo marco normativo y al contexto estratégico existente para garantizar la seguridad en la administración digital.
  • Ajuste de los requisitos a necesidades, colectivos de entidades y ámbitos tecnológicos para una aplicación más eficaz y eficiente.
  • Actualización de los principios básicos y las medidas de seguridad para facilitar una mejor respuesta a las nuevas tendencias y necesidades de ciberseguridad.

Con esta nueva versión del ENS se persigue garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación, reduciendo vulnerabilidades y promoviendo la vigilancia continua, estableciendo a su vez mecanismos de respuesta y medidas de seguridad óptimas dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales.

Entre las nuevas medidas de seguridad, por ejemplo, se han incluido las relativas a servicios en la nube, interconexión de sistemas, protección de la cadena de suministro, medios alternativos, vigilancia y otros dispositivos conectados a la red.

Informe del estado de la seguridad

El Real Decreto recoge que la Comisión Sectorial de Administración Electrónica, órgano técnico para la cooperación del Estado con las comunidades autónomas y entidades locales en materia de administración digital, recopilará la información de las principales variables de la ciberseguridad.

El Centro Criptológico Nacional (CCN), articulará la respuesta a los incidentes de seguridad de entidades del sector público. Por su parte, las entidades del sector privado que presten servicios a las entidades públicas notificarán la respuesta a incidentes de seguridad al Instituto Nacional de Ciberseguridad de España (INCIBE).

Para el desarrollo del real decreto, la Secretaría de Estado de Digitalización e Inteligencia Artificial, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento, que tendrán en cuenta las normas armonizadas europeas aplicables.

La aprobación de este real decreto se incardina también en la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025, uno de los instrumentos principales para el cumplimiento del Plan de Recuperación, Transformación y Resiliencia y su Componente 11 denominado “Modernización de las Administraciones Públicas”, así como para el desarrollo de las inversiones y reformas previstas en la agenda España Digital.

El Plan de Digitalización contempla expresamente, entre sus reformas, la actualización del ENS con el fin de hacer evolucionar la política de seguridad de todas las entidades del sector público español, tomando en cuenta las regulaciones de la Unión Europea dirigidas a incrementar el nivel de ciberseguridad de los sistemas de información.