El 5 de maig de 2022 va entrar en vigor el Reial Decret 311/2022, pel qual es regula l’Esquema Nacional de Seguretat (d’ara endavant, “ENS 2022”), actualitzant, així, la versió anterior de l’any 2010 que es va aprovar a través del Reial decret 3/2010, de 8 de gener, ja derogat. Aquesta actualització neix amb l’objectiu de poder fer front a les noves tendències i necessitats en ciberseguretat, que han patit canvis molt importants en els darrers anys.

Per aconseguir-ho, l’ENS 2022 imposa una sèrie d’obligacions i mesures de protecció de compliment obligat centrades en la prevenció, detecció i resposta a ciberincidents, assegurant, així, que els serveis públics operin sota unes condicions de seguretat necessàries per salvaguardar la informació i drets dels ciutadans.

L’ENS 2022 és aplicable a totes les entitats del sector públic i a les entitats del sector privat, que prestin serveis o proveeixin solucions tecnològiques a l’Administració Pública. En conseqüència, qualsevol empresa privada que presti serveis a una entitat pública, com ara la creació o gestió del lloc web, instal·lació de programes informàtics, hosting d’informació o ús de dispositius electrònics, estarà subjecta a l’aplicació de l’ENS 2022.

En aquest sentit, és important destacar que els plecs de prescripcions administratives o tècniques dels contractes que subscriguin les entitats públiques han de contemplar tots els requisits necessaris per assegurar la conformitat amb l’ENS dels sistemes d’informació en què es basen els serveis prestats pels contractistes, cautela que s’ha d’estendre a la cadena de subministrament dels contractistes, en la mesura que sigui necessari i d’acord amb els resultats de l’anàlisi de riscos corresponent.

Amb l’objectiu de facilitar una transició ordenada a tots els subjectes obligats de l’anterior versió al nou ENS 2022, es va concedir un període de transició de 24 mesos que finalitza el proper 5 de maig de 2024, data a partir de la qual els subjectes obligats han d’haver obtingut o actualitzat (en cas d’estar adaptats a la normativa del 2010), la declaració o la certificació de conformitat amb l’ENS 2022.

Per adaptar-se a l’ENS 2022 serà imprescindible realitzar prèviament un Pla d’Adequació que inclogui una anàlisi detallada de diversos aspectes, com les mesures de seguretat implementades i ja existents a l’organització; els serveis oferts, i si es duen a terme tractaments de dades personals (en aquest cas, es requeriran obligacions addicionals exigides per la normativa de protecció de dades).

En base a aquesta avaluació, els sistemes d’informació es classificaran en categories “Bàsica”, “Mitjana” o “Alta”, cadascuna de les quals tindrà requisits i obligacions específiques (les categories “Mitjana” i “Alta” comportaran l’adopció de mesures de seguretat de reforç i obligacions de control més estrictes).

L’ENS 2022 imposa un total de setanta-tres (73) mesures o controls de seguretat, les quals es divideixen en tres (3) grups que, sense ànim de fer una anàlisi exhaustiva, es classifiquen de la manera següent:

1. Marc organitzatiu, (mesures relacionades amb l’organització global de la seguretat). En aquest marc es defineixen les funcions, les responsabilitats i els canals de coordinació de cada organització per poder fer front a la gestió d’activitats diàries i la resolució sistemàtica d’incidents:

  • Política de seguretat de la informació o PSI: document d’alt nivell accessible i comprensible per a tots els membres de l’organització, on es mostri el compromís amb la seguretat i es defineixin els diferents rols de l’entitat.
  • Normativa de seguretat: Conjunt de documents on s’estableix la forma d’actuar en circumstàncies per a les quals no hi ha un procediment específic.
  • Procediments de seguretat: Documents que descriguin pas a pas com fer una certa activitat.
  • Procés dautorització: Definició duna sèrie delements que permetin ladmissió i el control dun element aliè de lorganització.

2. Marc operacional (mesures a prendre per protegir l’operació del sistema com a conjunt integral de components per a una finalitat), com ara:

  • Planificació: Necessitat de fer anàlisis de riscos i un plantejament integral de l’arquitectura de seguretat.
  • Control daccés: Identificació, segregació de funcions i mecanismes dautenticació.
  • Explotació: Inventari dactius, manteniment, actualitzacions de seguretat i gestió dincidents.
  • Recursos externs: Contractació i acords de nivell de servei i protecció de la cadena de subministrament.
  • Serveis al núvol: Protecció dels serveis al núvol (cloud).
  • Continuïtat del servei: Anàlisi dimpacte, pla de continuïtat i proves periòdiques.
  • Monitorització del sistema: Detecció d’intrusió i vigilància continuada.

3. Mesures de protecció (mesures destinades a protegir actius concrets de lorganització). Algunes d’aquestes mesures són les següents:

  • Protecció de les instal·lacions i infraestructures: Protecció davant d’incendis, inundacions, registre d’entrada i sortida d’equipament.
  • Gestió del personal: conscienciació i formació.
  • Protecció dels equips: protecció de dispositius portàtils i altres dispositius connectats a la xarxa.
  • Protecció de les comunicacions: protecció de la confidencialitat, la integritat i l’autenticitat.
  • Protecció dels suports dinformació: criptografia, custòdia i transport.
  • Protecció de les aplicacions informàtiques: desenvolupament de les aplicacions.
  • Protecció de la informació: dades personals, signatura electrònica i còpies de seguretat.
  • Protecció dels serveis: protecció del correu electrònic i navegació web.

Finalment, és important destacar que, malgrat haver obtingut la declaració o certificació de conformitat a l’ENS 2022, la normativa exigeix una vigilància constant i la reavaluació periòdica. En base a aquests dos principis essencials, s’exigeix una autoavaluació o una auditoria de certificació formal almenys cada dos (2) anys per garantir-ne el compliment. A més, en els sistemes classificats com a “Media” i “Alta”, es requerirà una auditoria interna de compliment per abordar desviacions que s’hagin detectat i promoure una millora contínua.