Esquema Nacional de Seguridad 2022

El ENS, en base al establecimiento y desarrollo de unos principios básicos y unos requisitos mínimos, proporciona a las organizaciones que dispongan de sus sistemas de información conformes a sus disposiciones y gestionados en el ejercicio de sus competencias, una protección adecuada de los servicios prestados y de la información tratada por éstos, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios apoyados directa o indirectamente en medios electrónicos.

Tanto para las organizaciones del sector público como para las pertenecientes al sector privado que les aportan soluciones o les prestan servicios competenciales, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.

Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.

El Esquema Nacional de Seguridad, tal y como está recogido en su art. 2, resulta de aplicación a las entidades del sector público, a las entidades del sector privado que les presten servicios competenciales y, en general, a la cadena de suministro de estas últimas, en la medida que un análisis de riesgos previo así lo determine.

Además, hay que recordar que las medidas del ENS son asimismo de aplicación para aquellas entidades que determina la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantías de los derechos digitales, cuando se realicen tratamientos de datos personales.

Por último, el ENS también es de aplicación a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas que asimismo están sujetos a la Ley 9/1968, de 5 de abril, de Secretos Oficiales (LSO), y las derivadas de los compromisos internacionales contraídos por España, o consecuencia de su pertenencia a organismos o foros internacionales.

El Esquema Nacional de seguridad está regulado específicamente por la siguiente normativa:

• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
• Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional de Seguridad.
• Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
• Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

La relación de otra normativa relacionada con la ciberseguridad en España puede consultarse en el Código de Derecho de la Ciberseguridad editado por el BOE.

Si su organización se encuentra comprendido en el ámbito de aplicación del ENS, debe cumplir con lo establecido en el Real Decreto 311/2022. Para ello, debe comenzar el proceso de adecuación al ENS y, como primer paso, deberá acometer la aprobación de la Política de Seguridad de la Información (PSI) de la organización, asignando los roles que determina el ENS.

µCeENS es una metodología innovadora que se beneficia de las novedades del RD 311/2022, de 3 de mayo, para facilitar la obtención de la Certificación de Conformidad en el Esquema Nacional de Seguridad (ENS) en base a un Perfil de Cumplimiento Específico (PCE).

Con esta metodología se proporciona el acompañamiento y la asistencia necesaria para alcanzar la Certificación de Conformidad con el ENS desde la fase previa a la adecuación, hasta después de su obtención, todo ello automatizado en las herramientas de Gobernanza de la Ciberseguridad (INES-AMPARO).

Guías STIC 800

El Plan de Adecuación es un conjunto ordenado de acciones tendentes a satisfacer lo exigido por el ENS. Este Plan deberá contemplar las siguientes fases:

• Preparar y aprobar la Política de Seguridad de la Información (PSI) y la Normativa Interna de Seguridad, incluyendo la definición de roles y la asignación de responsabilidades a los mismos. Si se trata de sistemas que manejan información clasificada, asimismo se atenderá a criterios adicionales de organización de la seguridad.
• Analizar y categorizar los sistemas de información, atendiendo a la valoración de la información manejada, teniendo en cuenta si incluye datos de carácter personal, y la valoración de los servicios prestados.
• Preparar la Declaración de Aplicabilidad Inicial de las medidas del Anexo II del ENS atendiendo, si procede, a determinado Perfil de Cumplimiento al que pueda adscribirse el/los sistema(s) de información.
• Desarrollar un Análisis de Riesgos, a fin de verificar que las medidas de seguridad derivadas de la Declaración de Aplicabilidad Inicial son adecuadas y suficientes.
• Obtener la Declaración de Aplicabilidad definitiva.
• Iniciar las acciones tendentes a la implantación del resto de las medidas exigidas para el nivel de seguridad y la categoría de seguridad definidas.

La Política de Seguridad de la Información (PSI) es un documento de alto nivel que muestra el compromiso de una organización con la seguridad de la información y determina el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. Dicho documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible.

Al tratarse de un documento de alto nivel en la organización conviene que sea breve, dejando los detalles técnicos para otros documentos normativos que la desarrollen. Como se trata de un documento público no debe poner de manifiesto vulnerabilidades que puedan ser explotadas por actores maliciosos.

La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 del ENS, deberá ser conocida por todas las personas que formen parte de la organización y definir de forma inequívoca a los roles responsables de velar por su cumplimiento. Una práctica adicional común consiste en que se encuentre accesible desde la página Web, portal o sede electrónica de la organización y, para determinados organismos públicos, publicarla en el Boletín Oficial del Estado (BOE), Boletín de la Comunidad Autónoma, o Boletín Oficial de la Provincia (BOP), según corresponda.

Esta norma será aprobada por la Dirección General de la organización (órgano superior de que se trate, en el Sector Público), y se plasmará en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:

• Los objetivos o misión de la organización.
• El marco legal y regulatorio en el que se desarrollarán las actividades.
• Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.
• La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, los miembros y la relación con otros elementos de la organización.
• Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

Los roles del ENS son los asumidos por las personas responsables de velar por su cumplimiento, en base a la diferenciación de responsabilidades que señala el artículo 11 del ENS y considerando que la responsabilidad de la seguridad de los sistemas de información debe estar diferenciada de la responsabilidad sobre su explotación.

Concretamente, se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema, principalmente.

Como se ha indicado respecto a la Política de Seguridad de la Información (PSI) de la organización, ésta detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

A modo de resumen:

• El responsable del servicio determinará los requisitos de los servicios prestados.
• El responsable de la información determinará los requisitos de la información tratada. Los roles del responsable de la información y el responsable del servicio pueden concurrir en la misma persona física que actúe en su representación.
• El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos, y reportará sobre estas cuestiones al Comité de Seguridad de la Información.
• El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.

El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. Si debido al tamaño y carencia de recursos de la organización no es posible, deberán aplicarse las medidas compensatorias convenientes para garantizar la diferenciación de responsabilidades y ausencia de conflicto de interés.

Asimismo, el ENS prevé la figura del Administrador de Seguridad (ASEG) como recurso para aquellas organizaciones en las que el Responsable de Seguridad (RSEG) no tenga todos los conocimientos técnicos necesarios y pueda apoyarse en él. En ese caso, el RSEG tendrá un desempeño más estratégico mientras que el ASEG lo tendrá más operativo. Un ejemplo sería una EE.LL. que nombrase al Secretario del Ayuntamiento como RSEG, el cual deberá apoyarse en un ASEG interno, o externo contratado en modalidad de prestación de servicios.

El procedimiento para obtener la conformidad con el Esquema Nacional de Seguridad está regulado en el artículo 38 del ENS, así como en la resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. Dicha ITS se encuentra en proceso de revisión para adecuarla al Real Decreto 311/2022.

Como resumen, existen dos vías diferenciadas:

• La Certificación de Conformidad, válida para todas las categorías del sistema (BÁSICA, MEDIA y ALTA).
• La Declaración de Conformidad, únicamente válida para sistemas de categoría BÁSICA.

De conformidad con lo señalado en el artículo 2.3 del Real Decreto 311/2022, los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público, incluidas en el ámbito de aplicación del ENS, contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.

Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.

Asimismo, la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, actualmente en proceso de actualización al Real Decreto 311/2022, cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías BÁSICA, MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.

Por tanto, es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la presente Instrucción Técnica de Seguridad.

Como garantía del cumplimiento de lo anterior, las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaraciones o Certificaciones de Conformidad con el Esquema Nacional de Seguridad podrán solicitar en todo momento a tales organizaciones los Informes de Autoevaluación o Auditoría correspondientes, al objeto de verificar la adecuación e idoneidad de las antedichas manifestaciones.

En la actualidad, el CCN mantiene en su página web una lista de los operadores privados cuyos sistemas de información han obtenido la Certificación de Conformidad con el ENS.

El Real Decreto 311/2022, determina en su Anexo III (Auditorías de seguridad), que se comprobará haber realizado un análisis de riesgos con revisión y aprobación anual.

Esto no es óbice para que, cuando el sistema sufra modificaciones que puedan afectar a la seguridad del mismo, se deba realizar un análisis de riesgos extraordinario que permita identificar variaciones en los niveles de riesgo derivadas de la mencionada modificación.

En estos momentos no existe una formación reglada para el ENS. Sin embargo, en el apartado de capacitación del Entorno de Validación ENS (EVENS) se puede encontrar la formación que el CCN proporciona.

Para cuestiones más específicas, se puede remitir consulta al correo electrónico formacion.ccn@cni.es.