La protección de datos es una materia que está en constante evolución, ya que las medidas que aplicamos hoy podrían no ser tan útiles mañana. De ahí que la legislación relacionada con este tema también se actualice, como así ha ocurrido con el Esquema Nacional de Seguridad (ENS), cuya nueva versión puedes encontrar en el BOE de 4 de mayo de 2022.
El Real Decreto 311/2022, de 3 de mayo, que regula el ENS, viene a sustituir a la anterior normativa, la cual databa del año 2010. Una actualización que se ha considerado necesaria para adaptar este esquema a una nueva realidad en las que las ciberamenazas se han multiplicado a todos los niveles.
¿Qué es el Esquema Nacional de Seguridad?
Bancos, empresas de telecomunicaciones, autónomos… Todos aquellos que gestionan datos deben hacer un adecuado tratamiento de los mismos y, además, asegurarse de que estos quedan bien protegidos. A salvo de las “garras” de los ciberdelincuentes. Obligaciones que, como bien sabes, se extienden a las Administraciones Públicas.
El ENS es una normativa que se aplica en todo el Sector Público. Concretamente, establece los principios básicos y los requisitos mínimos en materia de seguridad, incluyendo también medidas de protección, así como mecanismos de conformidad y de monitorización.
Lo que busca la actualización legislativa de la que te estamos hablando es adaptar los protocolos a la situación actual, mejorando la resiliencia de los sistemas y garantizando un tratamiento de la información más seguro por parte de la Administración.
Los objetivos del nuevo ENS
Se puede hablar de tres grandes objetivos que han inspirado la redacción de esta nueva norma. El primero de ellos es conseguir que el Esquema Nacional de Seguridad se adapte a la estrategia que se viene aplicando en el seno de la Administración Digital. Para ello, se han armonizado y simplificado las directrices de la norma.
El segundo objetivo es garantizar un mejor ajuste del Esquema a la realidad de ciertos colectivos o sistemas. De este modo, se introduce un mayor grado de flexibilidad a la hora de ajustar los requisitos para cumplir con el ENS.
El tercer objetivo es reforzar la ciberseguridad y, para ello, se ha hecho una revisión de los principios y requisitos mínimos. También de las medidas de seguridad que deben adoptar todas las entidades que estén bajo el paraguas de aplicación del ENS.
Principales novedades de la nueva regulación del Esquema Nacional de Seguridad
La actualización del ENS ha traído, fundamentalmente, dos grandes cambios:
Establecimiento de un protocolo de actuación ante ciberdelincuentes
La idea es articular un sistema de respuesta ante las brechas de seguridad. Para ello, las entidades del sector público deben notificar al CCN-CERT (Centro Criptológico Nacional) los incidentes que tengan un impacto significativo en los sistemas de información. También cuando el ataque se produzca en entidades privadas que presten servicios a entidades públicas.
En todo caso, el CCN determinará el riesgo que existe e indicará el procedimiento a seguir en cada caso concreto.
Nuevo sistema de codificación de las medidas de seguridad
Lo que se busca es facilitar la implantación y auditoría de los sistemas de seguridad de información, para lo que se han codificado y organizado los requisitos. Primero se establecen los requisitos base y luego los posibles refuerzos de seguridad, los cuales pueden ser unos u otros en función de las necesidades.
En resumen, los ciberataques se han multiplicado y sofisticado en los últimos tiempos, y la Administración Pública no puede ser ajena a ello, ya que está en el punto de mira de los ciberdelincuentes. Para evitarlo, el nuevo Esquema Nacional de Seguridad (ENS) pretende ser una herramienta más para lograr que los datos de los ciudadanos estén protegidos todo lo que sea posible. Si quieres conocer más sobre estas novedades te invitamos a nuestro webinar