Realitzem l’adequació per obtenir la teva certificació ENS RD 311/2022 . Assegura la màxima protecció de la informació i els serveis de la teva empresa d’acord amb els estàndards de seguretat exigits per l’Administració Pública.
L’ Esquema Nacional de Seguretat (ENS) és un marc normatiu que estableix les pautes i mesures necessàries per garantir la seguretat de la informació a les administracions públiques ia les empreses que col·laboren amb elles.
Obtenir la certificació ENS significa que la teva empresa compleix aquests estàndards de seguretat, cosa que no només et permet treballar amb l’Administració Pública, sinó que també millora la teva reputació i la confiança dels teus clients. És un pas essencial per garantir la seguretat i l’èxit de la vostra organització a l’entorn digital!
Les entitats afectades pel Reial decret 311/2022 tenen un termini de 24 mesos des de la seva entrada en vigor (5 de maig del 2022) per adequar-se als nous requisits, és a dir, fins al 5 de maig del 2024 .
Les entitats acreditades amb els certificats emesos davant del Reial decret 3/2010 (actualitzat per RD 311/2022) deixaran de tenir la condició dacreditats en la mateixa data.
L’ENS és d’ aplicació obligatòria per a:
Consulta el Reial decret 311/2022 per a informació més detallada.
A SoterGuard t’ajudem a adequar el teu negoci per obtenir el certificat ENS, amb totes les garanties i transparència durant el procés. No esperis més per garantir la seguretat i l’èxit de la teva organització!
Una adequació ordenada a l’Esquema Nacional de Seguretat requereix genèricament el tractament de les qüestions següents, expressades de manera succinta:
A SoterGuard t’ajudem a adequar el teu negoci per obtenir el certificat ENS, amb totes les garanties i transparència durant el procés. No esperis més per garantir la seguretat i l’èxit de la teva organització!
Els elements principals de l’ENS són els següents:
Ens posarem en contacte amb tu a través de la informació proporcionada
L’ENS, en base a l’establiment i el desenvolupament d’uns principis bàsics i uns requisits mínims, proporciona a les organitzacions que disposin dels seus sistemes d’informació conformes a les seves disposicions i gestionats en l’exercici de les seves competències, una protecció adequada dels serveis prestats i de la informació tractada per aquests, a fi d’assegurar-ne l’accés, la confidencialitat, la integritat, la traçabilitat, la informació, la informació, la informació indirectament en mitjans electrònics.
Tant per a les organitzacions del sector públic com per a les que pertanyen al sector privat que els aporten solucions o els presten serveis competencials, el que disposa l’ENS permet satisfer els principis d’actuació i els requisits de seguretat de les administracions públiques que els permetin assolir els seus objectius.
Per als ciutadans, destinataris últims del servei públic, suposa la garantia que les entitats públiques amb què es relacionen reuneixen les condicions de seguretat necessàries per salvaguardar-ne la informació i els drets.
L’Esquema Nacional de Seguretat, tal com està recollit a l’art. 2, és aplicable a les entitats del sector públic, a les entitats del sector privat que els presten serveis competencials i, en general, a la cadena de subministrament d’aquestes últimes, en la mesura que una anàlisi de riscos prèvia així ho determini.
A més, cal recordar que les mesures de l’ENS són així mateix d’aplicació per a aquelles entitats que determina la Llei Orgànica 3/2018, del 5 de desembre, de Protecció de Dades i garanties dels drets digitals, quan es realitzin tractaments de dades personals.
Finalment, l’ENS també és aplicable als sistemes que tracten informació classificada, podent resultar necessari adoptar mesures complementàries de seguretat, específiques per a aquests sistemes que així mateix estan subjectes a la Llei 9/1968, de 5 d’abril, de Secrets Oficials (LSO) , i les derivades dels compromisos internacionals contrets per Espanya, o conseqüència de la seva pertinença.
L’Esquema Nacional de seguretat està regulat específicament per la normativa següent:
La relació d’una altra normativa relacionada amb la ciberseguretat a Espanya es pot consultar al Codi de Dret de la Ciberseguretat editat pel BOE.
Si la vostra organització es troba compresa en l’àmbit d’aplicació de l’ENS, ha de complir el que estableix el Reial decret 311/2022 . Per fer-ho, heu de començar el procés d’adequació a l’ENS i, com a primer pas, heu d’emprendre l’aprovació de la Política de Seguretat de la Informació (PSI) de l’organització, assignant els rols que determina l’ENS.
µCeENS és una metodologia innovadora que es beneficia de les novetats del RD 311/2022, de 3 de maig, per facilitar l’obtenció de la Certificació de Conformitat a l’Esquema Nacional de Seguretat (ENS) sobre la base d’un Perfil de Compliment Específic (PCE).
Amb aquesta metodologia es proporciona l’acompanyament i l’assistència necessària per assolir la Certificació de Conformitat amb l’ENS des de la fase prèvia a l’adequació, fins després de la seva obtenció, tot això automatitzat a les eines de Governança de la Ciberseguretat (INES-AMPARO).
El Pla d‟Adequació és un conjunt ordenat d‟accions tendents a satisfer el que exigeix l‟ENS. Aquest Pla haurà de contemplar les fases següents:
La Política de Seguretat de la Informació (PSI) és un document d’alt nivell que mostra el compromís d’una organització amb seguretat de la informació i determina el conjunt de directrius que regeixen la manera com una organització gestiona i protegeix la informació que tracta i els serveis que presta. Aquest document ha de ser accessible per tots els membres de lorganització i redactat de forma senzilla, precisa i comprensible.
Com que es tracta d’un document d’alt nivell a l’organització convé que sigui breu, deixant els detalls tècnics per a altres documents normatius que la desenvolupin.
La política de seguretat, en aplicació del principi de diferenciació de responsabilitats a què fa referència l’article 11 de l’ENS, haurà de ser coneguda per totes les persones que formin part de l’organització i definir de manera inequívoca els rols responsables de vetllar pel seu compliment. Una pràctica addicional comuna consisteix que es trobi accessible des de la pàgina web, portal o seu electrònica de l’organització i, per a determinats organismes públics, publicar-la al Butlletí Oficial de l’Estat (BOE), Butlletí de la Comunitat Autònoma, o Butlletí Oficial de la Província (BOP), segons correspongui.
Aquesta norma serà aprovada per la Direcció General de l’organització (òrgan superior de què es tracti, al Sector Públic), i es plasmarà en un document escrit, en què, de forma clara, calgui, almenys, el següent:
Els rols de l’ENS són els assumits per les persones responsables de vetllar pel seu compliment, segons la diferenciació de responsabilitats que assenyala l’article 11 de l’ENS i considerant que la responsabilitat de la seguretat dels sistemes d’informació ha d’estar diferenciada de la responsabilitat sobre la seva explotació.
Concretament, es diferenciarà el responsable de la informació, el responsable del servei, el responsable de la seguretat i el responsable del sistema, principalment.
Com hem indicat respecte a la Política de Seguretat de la Informació (PSI) de l’organització, aquesta detallarà les atribucions de cada responsable i els mecanismes de coordinació i resolució de conflictes.
Com a resum:
El responsable de la seguretat serà diferent del responsable del sistema, i no hi haurà dependència jeràrquica entre tots dos. Si a causa de la mida i la manca de recursos de l’organització no és possible, caldrà aplicar les mesures compensatòries convenients per garantir la diferenciació de responsabilitats i absència de conflicte d’interès.
Així mateix, l’ENS preveu la figura de l’Administrador de Seguretat (ASEG) com a recurs per a aquelles organitzacions en què el Responsable de Seguretat (RSEG) no tingui tots els coneixements tècnics necessaris i pugui recolzar-se en ell. ASEG intern, o extern contractat en modalitat de prestació de serveis.
El procediment per obtenir la conformitat amb l’Esquema Nacional de Seguretat està regulat a l’article 38 de l’ ENS , així com a la resolució de 13 d’octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat (ITS) de conformitat amb l’Esquema Nacional de Seguretat. Aquesta ITS es troba en procés de revisió per adequar-la al Reial decret 311/2022 .
Com a resum, hi ha dues vies diferenciades:
De conformitat amb el que assenyala l’article 2.3 del Reial decret 311/2022 , els plecs de prescripcions administratives o tècniques dels contractes que subscriguin les entitats del sector públic, incloses en l’àmbit d’aplicació de l’ENS, contemplaran tots aquells requisits necessaris per assegurar la conformitat amb l’ENS dels sistemes d’ informació en què se sustentin els serveis prestats pels contractes. Conformitat amb l’ENS.
Aquesta cautela s’estendrà també a la cadena de subministrament dels contractistes esmentats, en la mesura que sigui necessari i d’acord amb els resultats de l’anàlisi de riscos corresponent.
Així mateix, la Resolució de 13 d’octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat de conformitat amb l’Esquema Nacional de Seguretat, actualment en procés d’actualització al Reial Decret 311/2022, quan els operadors del sector privat prestin serveis o proveeixin solucions a les entitats públiques, als quals resulti exigible el compliment de l’Esquema Nacional de Seguretat, hauran d’estar en condicions d’exhibir la Declaració de Conformitat corresponent amb l’Esquema Nacional de Seguretat, quan es tracti de sistemes de categoria BÀSICA, o la Certificació de Conformitat amb l’Esquema Nacional de Seguretat, quan es tracti de sistemes de categories BÀSICA, MITJANA o ALTA, utilitzant els mateixos procediments que els exigits en aquesta Instrucció tècnica de seguretat per a les entitats públiques.
Per tant, és responsabilitat de les entitats públiques contractants notificar als operadors del sector privat que participin en la provisió de solucions tecnològiques o la prestació de serveis, l’obligació que aquestes solucions o serveis siguin conformes amb el que disposa l’Esquema Nacional de Seguretat i posseeixin les corresponents Declaracions o Certificacions de Conformitat , segons el que assenyala aquesta Instrucció.
Com a garantia del compliment de l’anterior, les entitats públiques usuàries de solucions o serveis proveïts o prestats per organitzacions del sector privat que exhibeixin una Declaracions o Certificacions de Conformitat amb l’Esquema Nacional de Seguretat podran sol·licitar en tot moment a tals organitzacions els informes d’autoavaluació o auditoria corresponents, a fi de verificar l’adequació i la idoneïtat de les mateixes.
Actualment, el CCN manté a la seva pàgina web una llista dels operadors privats els sistemes d’informació dels quals han obtingut la Certificació de Conformitat amb l’ENS.
El Reial decret 311/2022 , determina al seu Annex III ( Auditories de seguretat ), que es comprovarà haver realitzat una anàlisi de riscos amb revisió i aprovació anual.
Això no és obstacle perquè, quan el sistema pateixi modificacions que puguin afectar-ne la seguretat, s’hagi de fer una anàlisi de riscos extraordinària que permeti identificar variacions en els nivells de risc derivades de l’esmentada modificació.
En aquests moments no hi ha una formació reglada per a l’ENS. Tanmateix, a l’apartat de capacitació de l’Entorn de Validació ENS (EVENS) es pot trobar la formació que el CCN proporciona.
Per a qüestions més específiques, es pot enviar consulta al correu electrònic formacion.ccn@cni.es.
Soterguard ® · Tots els drets reservats
