El 5 de mayo de 2022 entró en vigor el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (en adelante, “ENS 2022”), actualizando, de esta forma, la versión anterior del año 2010 que se aprobó a través del Real Decreto 3/2010, de 8 de enero, ya derogado. Dicha actualización nace con el objetivo de poder hacer frente a las nuevas tendencias y necesidades en ciberseguridad, las cuales han sufrido cambios muy importantes en los últimos años.

Para conseguirlo, el ENS 2022 impone una serie de obligaciones y medidas de protección de obligado cumplimiento centradas en la prevención, detección y respuesta a ciberincidentes, asegurando, de esta forma, que los servicios públicos operen bajo unas condiciones de seguridad necesarias para salvaguardar la información y derechos de los ciudadanos.

El ENS 2022 resulta de aplicación a todas las entidades del sector público y, además, a las entidades del sector privado que presten servicios o provean soluciones tecnológicas a la Administración Pública. En consecuencia, cualquier empresa privada que preste servicios a una entidad pública, tales como la creación o gestión de su sitio web, instalación de programas informáticos, hosting de información o uso de dispositivos electrónicos, estará sujeta a la aplicación del ENS 2022.

En este sentido, es importante destacar que los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades públicas deben contemplar todos los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se basen los servicios prestados por los contratistas, cautela que debe extenderse a la cadena de suministro de los contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.

Con el objetivo de facilitar una transición ordenada a todos los sujetos obligados de la anterior versión al nuevo ENS 2022, se concedió un periodo de transición de 24 meses que finaliza el próximo 5 de mayo de 2024, fecha a partir de la cual los sujetos obligados deben haber obtenido o actualizado (en caso de estar adaptados a la normativa del 2010), su declaración o certificación de conformidad al ENS 2022.

Para adaptarse al ENS 2022 será imprescindible realizar previamente un “Plan de Adecuación” que incluya un análisis detallado de diversos aspectos, como las medidas de seguridad implementadas y ya existentes en la organización; los servicios ofrecidos, y si se llevan a cabo tratamientos de datos personales (en cuyo caso, se requerirán obligaciones adicionales exigidas por la normativa de protección de datos).

En base a esta evaluación, los sistemas de información se clasificarán en categorías “Básica”, “Media” o “Alta”, cada una de las cuales tendrá requisitos y obligaciones específicas (las categorías “Media” y “Alta” conllevarán la adopción de medidas de seguridad de refuerzo y obligaciones de control más estrictas).

El ENS 2022 impone un total de setenta y tres (73) medidas o controles de seguridad, las cuales se dividen en tres (3) grupos que, sin ánimo de hacer un análisis exhaustivo, se clasifican de la siguiente manera:

1. Marco organizativo, (medidas relacionadas con la organización global de la seguridad). En este marco se definen las funciones, responsabilidades y canales de coordinación de cada organización para poder hacer frente a la gestión de actividades diarias y la resolución sistemática de incidentes:

  • Política de Seguridad de la Información o PSI: Documento de alto nivel accesible y comprensible para todos los miembros de la organización, donde se muestre el compromiso con la seguridad y se definan los diferentes roles de la entidad.
  • Normativa de seguridad: Conjunto de documentos en los que se establece la forma de actuar en circunstancias para las cuales no existe un procedimiento específico.
  • Procedimientos de seguridad: Documentos que describan paso a paso como realizar una cierta actividad.
  • Proceso de autorización: Definición de una serie de elementos que permitan la admisión y el control de un elemento ajeno de la organización.

2. Marco operacional (medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin), tales como:

  • Planificación: Necesidad de llevar a cabo análisis de riesgos y un planteamiento integral de la arquitectura de seguridad.
    Control de acceso: Identificación, segregación de funciones y mecanismos de autenticación.
  • Explotación: Inventario de activos, mantenimiento, actualizaciones de seguridad y gestión de incidentes.
  • Recursos externos: Contratación y acuerdos de nivel de servicio y protección de la cadena de suministro.
  • Servicios en la nube: Protección de los servicios en la nube (cloud).
  • Continuidad del servicio: Análisis de impacto, plan de continuidad y pruebas periódicas.
  • Monitorización del sistema: Detección de intrusión y vigilancia continuada.

3. Medidas de protección (medidas destinadas a proteger activos concretos de la organización). Algunas de estas medidas son las siguientes:

  • Protección de las instalaciones e infraestructuras: Protección frente a incendios, inundaciones, registro de entrada y salida de equipamiento.
  • Gestión del personal: concienciación y formación.
  • Protección de los equipos: protección de dispositivos portátiles y otros dispositivos conectados a la red.
  • Protección de las comunicaciones: protección de la confidencialidad, integridad y de la autenticidad.
  • Protección de los soportes de información: criptografía, custodia y transporte.
  • Protección de las aplicaciones informáticas: desarrollo de aplicaciones.
  • Protección de la información: datos personales, firma electrónica y copias de seguridad.
  • Protección de los servicios: protección del correo electrónico y navegación web.

Finalmente, es importante destacar que, a pesar de haber obtenido la declaración o certificación de conformidad en el ENS 2022, la normativa exige una vigilancia constante y la reevaluación periódica. En base a estos dos principios esenciales, se exige una autoevaluación o auditoría de certificación formal al menos cada dos (2) años para garantizar el cumplimiento. Además, en los sistemas clasificados como “Media” y “Alta”, se requerirá una auditoría interna de cumplimiento para abordar desviaciones que se hayan detectado y promover una mejora contínua.