Nota Informativa
“Modificación del Esquema Nacional de Seguridad”
Madrid 29.12.2015
El Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero, y que tiene por objetivo establecer las condiciones y requerimientos de seguridad a tener en cuenta en la implantación, gestión y relación con sistemas de Administración Electrónica en el ámbito de la Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, llevaba tiempo pendiente de una actualización que adecuará algunos de sus preceptos, y se reforzarse, en palabras del CCN-Cert la “protección de las Administraciones Públicas frente a las ciberamenazas”.
Adicionalmente ha fomentado la actualización de este Esquema, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizando la protección de los datos de carácter personal, y facilitando preferentemente la prestación conjunta de servicios a los interesados, recogiendo expresamente el Esquema Nacional de Seguridad en su artículo 156.
A su vez, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
De acuerdo a esto, la reforma del Esquema Nacional de Seguridad llevada a cabo pretende adecuar la normativa al marco regulatorio europeo en lo que se refiere a las transacciones electrónicas, y en la que se han tenido en cuenta las experiencias adquiridas en la implantación del Esquema desde su publicación en 2010.
Así, y tras varios meses de tramitación, el pasado viernes 23 de Octubre, el Consejo de Ministros aprobó un Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, que modifica otro Real Decreto del 8 de enero de 2010.
Entre las principales novedades incluidas podemos señalar:
- Se introduce en el art. 11 “la gestión continuada de la seguridad” articulada a través de la correspondiente Política de Seguridad formal que cada Administración Pública deberá disponer. Es decir, se fomenta la gestión de la seguridad como un requerimiento continuado a lo largo de la gestión de la propia Administración y su actividad electrónica, con el objetivo de proteger datos personales e informaciones confidenciales que puedan tratarse en los distintos trámites administrativos.
- Se añade en el art. 15 la exigencia de “profesionales cualificados, y con unos niveles idóneos de gestión y madurez de los servicios prestados” a todas aquellas entidades que presten sus servicios a las Administraciones Públicas.
- Se modifica el art. 18 pasando a denominarse “Adquisición de productos de seguridad y contratación de servicios de seguridad”, en donde los productos de seguridad de las tecnologías de la información que vayan a ser empleados por las Administraciones se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Del mismo modo, para la contratación de servicios de seguridad deberán tenerse en cuenta los requisitos del artículo 15.
- Se simplifica el art. 19, al establecer en su punto a) “El sistema proporcionará la mínima funcionalidad requerida para que la organización alcance sus objetivos”, eliminando la referencia anterior a que no pudiera alcanzar ninguna otra funcionalidad.
- Se desarrolla el art. 24.2 en relación con la gestión de incidentes de seguridad, estableciendo que los procedimientos de gestión de incidentes deberán cubrir los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, y los cauces de comunicación a las partes interesadas y el registro de actuaciones, utilizando este registro para la mejora continua de la seguridad. En la versión anterior del ENS, bastaba con tener implantado un registro de incidentes.
- El art. 27 establece dos nuevos requisitos. Por un lado, es necesario que la Declaración de Aplicabilidad vaya firmada por el Responsable de Seguridad. Por otro lado, las medidas de seguridad establecidas podrán ser reemplazadas por medidas compensatorias, siempre que se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos identificados, en este sentido el Esquema sigue el criterio ya establecido por el RDLOPD y estándares internacionales como ISO 27001.
- El art. 29 cambia su titulo a “Instrucciones Técnicas de Seguridad y Guías de Seguridad” estableciendo que dichas Instrucciones Técnicas serán de obligado cumplimiento. Es en la Disposición Cuarta donde se relacionan las Instrucciones Técnicas de obligado cumplimiento para las Administraciones Públicas, y que se concretan en:
a) Informe del estado de la seguridad,
b) Notificación de incidentes de seguridad,
c) Auditoría de la seguridad,
d) Conformidad con el Esquema Nacional de Seguridad,
e) Adquisición de productos de seguridad,
f) Criptología de empleo en el Esquema Nacional de Seguridad,
g) Interconexión en el Esquema Nacional de Seguridad, y
h) Requisitos de seguridad en entornos externalizados.
- Por último, son modificados los artículos 35, 36 y 37, articulando los procedimientos necesarios para la recopilación y consolidación de la información del Informe de Estado de la Seguridad y las vías de reporte en caso de incidente. Así, las Administraciones Públicas notificarán al CCN aquellos incidentes con un impacto significativo en la seguridad de la información y los servicios prestados, contando el CCN-CERT con facultades que le permiten ampliar la información que puede ser recopilada para dar soporte a los incidentes que sean notificados.
Cabe señalar además, que han sido actualizados los criterios de valoración, tanto en las dimensiones / niveles / medidas, como en la aplicabilidad o no de determinados controles, aspecto éste que tendrá un especial impacto en la elaboración y actualización de la Declaración de Aplicabilidad que debe tener cada Administración Pública y aquellos terceros que presten servicios en aquellas.
La presente normativa, entró en vigor al día siguiente de su publicación en el BOE, si bien se establece un plazo de 24 meses, contados desde la fecha de entrada en vigor, para que las Administraciones Públicas lleven a cabo la adecuación de sus sistemas de información a los nuevos requisitos normativos.
En este sentido, cabe remarcar la importancia que adquiere la presente modificación normativa, en cuanto que todos los proveedores de software y soluciones tecnológicas o de comunicación de las Administraciones Públicas, deberán garantizar que sus tecnologías cumplen íntegramente con los requisitos dispuesto por el Esquema Nacional de Seguridad.
Desde ECIJA, quedamos a su disposición para cualquier cuestión al respecto en la que podamos ayudarles.
Puede acceder a la nota en formato PDF en siguiente enlace (aqui)