¿Qué es el ESQUEMA NACIONAL DE SEGURIDAD?
El Esquema Nacional de Seguridad tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad.
Con posterioridad se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
En 2022 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
¿Quiénes están obligados a adecuarse al Esquema Nacional de Seguridad (ENS)?
En la disposición transitoria del Real Decreto 311/2022 se indica que los sistemas de las Administraciones deberán estar adecuados al Esquema en unos plazos no superiores a 24 meses desde la entrada en vigor de este. Es por ello, que todas las Administraciones Públicas han debido adecuarse antes del 5 de mayo de 2024.
Además de esta obligatoriedad para los organismos públicos, se recomienda que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este Esquema Nacional de Seguridad ya que el RGPD, aunque no establece unas medidas de seguridad determinadas, sí que recoge la necesidad de determinar las medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc.
La obligación de implantar el ENS viene reforzado por lo dispuesto en la Disposición Adicional Primera de la LOPDgdd 03/2018, de 5 de diciembre, referido a las «Medidas de seguridad en el ámbito del sector público» y que establece que«El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del RGPD.»
Esta disposición adicional obliga a aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a las siguientes entidades:
- Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
- Los órganos jurisdiccionales.
- La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
- Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
- Las autoridades administrativas independientes.
- El Banco de España.
- Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
- Las Universidades Públicas.
- Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
Asimismo, esta obligación de implantar el Esquema Nacional de Seguridad se extiende a los terceros que presten un servicio en régimen de concesión, encomienda de gestión o contrato, ya que deberán implantar las medidas de seguridad del ENS exigidas la Administración pública de origen.
Si eres empresa prestadora de un servicio y accedes a los datos de una de las entidades indicadas anteriormente, deberás implantar las medidas de seguridad exigidas a dicha entidad por el ENS.
¿Objetivos del ENS Esquema Nacional de Seguridad?
Los objetivos del ENS (Esquema Nacional de Seguridad) son los siguientes :
- Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Establecer la política de seguridad en la utilización de medios electrónicos, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
- Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
- Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
- Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
- Facilitar un tratamiento continuado de la seguridad.
Elementos del Esquema Nacional de Seguridad (ENS)
Los objetivos del ENS (Esquema Nacional de Seguridad) son los siguientes :
- Los principios básicos a considerar en las decisiones en materia de seguridad.
- Los requisitos mínimos que permitan una protección adecuada de la información.
- El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
- Las comunicaciones electrónicas.
- La auditoría de la seguridad.
- La respuesta ante incidentes de seguridad.
- La certificación de la seguridad.
- La conformidad.
Adecuación al Esquema Nacional de Seguridad (ENS)
En la ya mencionada disposición transitoria del Real Decreto 311/2022 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad por parte de las administraciones.
Para implantar el ENS de precisan tratar las siguientes cuestiones:
- Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
- Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.
- Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
- Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.
- Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.
- Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.
- Auditar la seguridad.
- Informar sobre el estado de la seguridad.
Medidas de Seguridad establecidas en el Esquema Nacional de Seguridad (ENS)
El marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad:
- Política de seguridad.
- Normativa de seguridad.
- Procedimientos de seguridad.
- Proceso de autorización.
El marco operacional está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin:
- Planificación.
- Control de acceso.
- Explotación.
- Servicios externos.
- Continuidad del servicio.
- Monitorización del sistema.
Las medidas de protección, se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad:
- Instalación e infraestructuras.
- Gestión del personal.
- Protección de los equipos.
- Protección de las comunicaciones.
- Protección de los soportes de información.
- Protección aplicaciones informáticas.
- Protección de la información.
- Protección de los servicios.
Donde prestamos nuestro servicio de implantación ENS (Esquema Nacional de Seguridad)
Prestamos nuestro servicio de implantación de ENS (Esquema Nacional de Seguridad) en Tenerife, La Gomera, La Palma, El Hierro, Las Palmas de Gran Canaria, Lanzarote y Fuerteventura (Islas Canarias), A Coruña (Santiago de Compostela), Ourense, Lugo y Pontevedra (Vigo) (Galicia), Madrid y Barcelona, así como en toda España peninsular e insular, Ceuta y Melilla.