ESQUEMA NACIONAL DE SEGURIDAD
En virtud del Real Decreto 311/2022, de 3 de mayo, se ha venido a derogar el anterior y a regular el nuevo Esquema Nacional de Seguridad adaptado a las nuevas circunstancias en el ámbito de la ciberseguridad, con la aplicación del esquema nacional de seguridad a las empresas del sector privado.
El Esquema Nacional de Seguridad (ENS) fue regulado por el Real Decreto 3/2010 en el ámbito de la Administración Electrónica y tenía por objeto determinar la política de seguridad en la utilización de medios electrónicos en las entidades a las que era de aplicación, que no eran otras que las Administraciones Públicas, para garantizar la seguridad de los sistemas de información y para garantizar la prestación de los servicios y la información.
De ahí su vinculación con la ciberseguridad, que además se considera un ámbito de especial interés para la Seguridad Nacional, de acuerdo con la Ley 36/2015, de Seguridad Nacional. Es sabido que la competencia en esta materia corresponde al Centro Criptológico Nacional dependiente del CNI.
ES decir, que el ENS no es más que un plan de seguridad que deben implementar los organismos públicos con la supervisión del CCN-CNI para garantizar la seguridad de los sistemas electrónicos en el marco de la administración electrónica.
LAS EMPRESAS DEL SECTOR PRIVADO
La novedad de este RD es que además de su aplicación a los organismos públicos extiende su aplicación al sector privado.
Concretamente su artículo 2, al establecer su ámbito de aplicación, dispone que el ENS también se aplica a las empresas del sector privado:
- Cuando existe una relación contractual y presten servicios o provean soluciones a las entidades del sector público.
- Cuando los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector contemplen la necesidad de cumplir requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas.
- Cuando se exija en los procedimientos de contratación pública la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.
Por tanto, el ENS se aplica a las empresas privadas y también mixtas de capital privado mayoritario, cuando presten servicios a las administraciones públicas, servicios que corresponden a las A.A.P.P. (proveedores informáticos, de aguas. Electricidad, seguridad, etc.) o cuando pretendan contratar en el futuro servicios con organismos públicos y lo exijan los pliegos de condiciones de los contratos con el sector público.
CUÁL EL OBJETIVO DEL ENS
Con el ENS se pretende, en definitiva, dotar a las empresas de las medidas de seguridad necesarias para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de manera que se garantice el cumplimiento de las obligaciones por parte de las Administraciones Públicas y el ejercicio de los derechos de los ciudadanos, con la aplicación del esquema nacional de seguridad a las empresas del sector privado.
Disponer del ENS se acredita con la Certificación de Conformidad, que consiste en un distintivo oficial que se debe incorporar a la página web de la organización o empresa.
Para conseguir dicho Distintito es necesario que una entidad acreditada por el ENAC emita la certificación correspondiente previa auditoria formal de los sistemas de información y las medidas de seguridad con que cuentan los mismos.
El citado RD establece que para determinar la categoría del sistema de la empresa se debe tener en cuenta el impacto que produciría un incidente de seguridad en la información tratada o en los servicios prestados para que la empresa pueda alcanzar sus objetivos, proteger los activos a su cargo y garantizar el cumplimiento de la Ley.
DIMENSIONES DE SEGURIDAD
Para determinar el impacto se deben tener en cuenta las dimensiones de seguridad: confidencialidad (C); integridad (I); trazabilidad (T); autenticidad (A) y Disponibilidad (D).
Una información o un servicio pueden verse afectadas por una o más dimensiones, aunque se suele entender que la Disponibilidad es una dimensión a tener en cuenta en relación al servicio prestado.
Cada dimensión tiene un nivel de seguridad que puede ser BAJO, MEDIO O ALTO. En función del nivel de seguridad se determinará la categoría de seguridad que puede ser BÁSICA, MEDIA O ALTA.
En función de la categoría de seguridad se deben aplicar las medidas de seguridad que establece el Anexo II del citado RD.
El paso siguiente es obtener la Certificación previa auditoria por una entidad acreditada para poder incluir el Distintivo ENS en la página web corporativa.
EN DEFINITIVA
Es de señalar, por último, que el plazo de adaptación de los sistemas preexistentes, incluidos los de los contratistas del sector privado, es de dos años desde la publicación del RD y finaliza el 5 de mayo de 2024.
Y que, si el organismo de referencia ante incidentes cibernéticos en los organismos públicos es el CCN-CNI. En el sector privado es el INCIBE-CERT.
En ambos organismos se puede encontrar información sobre el ENS, disponiendo el CCN-CNI de Guías y programas para facilitar su implantación.