caes

Administració electrònica

Nova actualització de l'Esquema Nacional de Seguretat

En aquest blog mirarem de donar a conèixer l'Esquema Nacional de Seguretat (ENS), un marc normatiu que regula la política de seguretat en l'ús de mitjans electrònics en l'àmbit de l'Administració electrònica, el qual ha estat actualitzat mitjançant el Reial Decret 311/2022, de 3 de maig. 

Publicat el

L’ENS va ser aprovat al 2010 i el seu objectiu era fonamentar la confiança que els sistemes d'informació presten els seus serveis adequadament i custodien la informació garantint que no es produeixen accessos indeguts. Per a això estableix mesures per a garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics.

Des de 2010 s'han produït notables canvis a Espanya i a la Unió Europea, inclosos transformació digital de la societat, el nou escenari de la ciberseguretat (amb els increments de ciberatacs que han evidenciat que els sistemes d'informació estan exposats de forma cada vegada més intensa a la materialització d'amenaces) i l'avanç de les tecnologies. L'evolució de les amenaces, el desenvolupament de mecanismes de resposta i la necessitat de mantenir l'alineament amb les regulacions europees i nacionals d'aplicació, exigeixen adaptar les mesures de seguretat a aquesta nova realitat.

En aquest context, s'ha anat estenent la implantació del ENS, resultant d'això una major experiència sobre la seva aplicació, alhora que un millor coneixement de la situació gràcies a les successives edicions de l'Informe Nacional de l'Estat de la Seguretat (INES), del cos de guies de seguretat CCN-STIC i dels serveis i eines proporcionats pel CCN-CERT, del Centre Criptológico Nacional (CCN).

En el pla normatiu s'ha anat modificant tant el marc europeu (amb quatre Reglaments i una Directiva) com l'espanyol, referit a la seguretat nacional, regulació del procediment administratiu i el règim jurídic del sector públic, de protecció de dades personals i de la seguretat de les xarxes i sistemes d'informació, i s'ha evolucionat el marc estratègic de la ciberseguretat.

En definitiva, per totes les raons exposades era necessari actualitzar l'Esquema Nacional de Seguretatper a complir tres grans objectius:

  • Alinear l’ENS amb el marc normatiu i el context estratègic existent.
  • Introduir la capacitat d'ajustar els requisits de l’ENS per a garantir la seva adaptació a la realitat d'uns certs col·lectius o tipus de sistemes de manera que s'aconsegueixi simplificar, precisar o harmonitzar els mandats de l’ENS, eliminar aspectes que puguin considerar-se excessius, o afegir aquells altres que s'identifiquen com a necessaris.
  • Facilitar una millor resposta a les tendències en ciberseguretat, reduir vulnerabilitats i promoure la vigilància contínua.

Finalment, aquesta modificació respon també a l'execució del Pla de Digitalització de les Administracions Públiques 2021-2025, un dels instruments principals per al compliment del Pla de Recuperació, Transformació i Resiliència que compta amb una mesura denominada Modernització de les Administracions Públiques.

I també al desenvolupament de l'agenda Espanya Digital 2025, un Pla de Digitalització que contempla expressament, entre les seves reformes, l'actualització de l’ENS amb la finalitat de fer evolucionar la política de seguretat de totes les entitats del sector públic espanyol, tenint en compte les regulacions de la Unió Europea dirigides a incrementar el nivell de ciberseguretat.