Actualidad
Nueva actualización del Esquema Nacional de Seguridad
En este blog trataremos de dar a conocer el Esquema Nacional de Seguridad (ENS), un marco normativo que regula la política de seguridad en el uso de medios electrónicos en el ámbito de la Administración electrónica, el cual ha sido actualizado mediante el Real Decreto 311/2022, de 3 de mayo.
El ENS fue aprobado en 2010 y su objetivo era fundamentar la confianza en que los sistemas de información prestan sus servicios adecuadamente y custodian la información garantizando que no se producen accesos indebidos. Para ello establece medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos.
Desde 2010 se han producido notables cambios en España y en la Unión Europea, incluidos transformación digital de la sociedad, el nuevo escenario de la ciberseguridad (con los incrementos de ciberataques que han evidenciado que los sistemas de información están expuestos de forma cada vez más intensa a la materialización de amenazas) y el avance de las tecnologías. La evolución de las amenazas, el desarrollo de mecanismos de respuesta y la necesidad de mantener el alineamiento con las regulaciones europeas y nacionales de aplicación, exigen adaptar las medidas de seguridad a esta nueva realidad.
En este contexto, se ha ido extendiendo la implantación del ENS, resultando de ello una mayor experiencia sobre su aplicación, a la vez que un mejor conocimiento de la situación gracias a las sucesivas ediciones del Informe Nacional del Estado de la Seguridad (INES), del cuerpo de guías de seguridad CCN-STIC y de los servicios y herramientas proporcionados por el CCN-CERT, del Centro Criptológico Nacional (CCN).
En el plano normativo se ha ido modificando tanto el marco europeo (con cuatro Reglamentos y una Directiva) como el español, referido a la seguridad nacional, regulación del procedimiento administrativo y el régimen jurídico del sector público, de protección de datos personales y de la seguridad de las redes y sistemas de información, y se ha evolucionado el marco estratégico de la ciberseguridad.
En definitiva, por todas las razones expuestas era necesario actualizar el Esquema Nacional de Seguridad para cumplir tres grandes objetivos:
- Alinear el ENS con el marco normativo y el contexto estratégico existente.
- Introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas de forma que se logre simplificar, precisar o armonizar los mandatos del ENS, eliminar aspectos que puedan considerarse excesivos, o añadir aquellos otros que se identifican como necesarios.
- Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua.
Por último, dicha modificación responde también a la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025, uno de los instrumentos principales para el cumplimiento del Plan de Recuperación, Transformación y Resiliencia que cuenta con una medida denominada Modernización de las Administraciones Públicas.
Y también al desarrollo de la agenda España Digital 2025, un Plan de Digitalización que contempla expresamente, entre sus reformas, la actualización del ENS con el fin de hacer evolucionar la política de seguridad de todas las entidades del sector público español, tomando en cuenta las regulaciones de la Unión Europea dirigidas a incrementar el nivel de ciberseguridad.