El pasado mes de mayo se publicó el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (ENS) que tiene como objetivos (i) reforzar la protección de los servicios y de los datos, como activo esencial para la Administración Digital frente a atacantes y/o amenazas y (ii) adecuarse al marco normativo actual tras la entrada en vigor de normas tan relevantes como el Reglamento General de Protección de Datos o la Directiva NIS.
Algunas de las novedades que trae consigo esta nueva versión del ENS son las siguientes:
- Nuevo principio de “vigilancia continua”: Conlleva una evaluación permanente del estado de la seguridad de los activos, para detectar vulnerabilidades e identificar deficiencias de configuración. Su objetivo es detectar y responder las actividades o comportamientos anómalos.
- Perfiles de Cumplimiento Específicos: adaptar el Esquena Nacional de Seguridad racionalizando los recursos requeridos sin menoscabo de la protección exigible como consecuencia de un análisis de riesgos.
- Análisis de Riesgos: el delegado de protección de datos ha de asesorar al responsable o el encargado del tratamiento en el análisis de riesgos (art. 24, RGPD) y en la evaluación de impacto (art. 35, RGPD) desde el inicio del tratamiento.
- Protección de la cadena de suministro: la empresa privada que preste sus servicios a las administraciones públicas ha de designar un Punto o Persona de Contacto (POC).
- Notificación de incidentes de seguridad: Las administraciones públicas han de notificar al CCN-CERT. Y las empresas privadas sujetas al ENS ha de acudir al INCIBE-CERT.
- Formación y sensibilización: El CCN y el INAP desarrollarán programas de sensibilización y formación dirigidos al personal de las entidades del sector público.
Respecto a las medidas de seguridad, también ha habido algunos cambios significativos. Se añaden los siguientes:
- Servicios en la nube [op.nub.1]
- Interconexión de sistemas [op.ext.4]
- Protección de la cadena de suministro [op.ext.3]
- Medios alternativos [op.cont.4]
- Vigilancia [op.mon.3]
- Otros dispositivos conectados a la red [mp.eq.4]
Además, se han codificado los requisitos de medidas y se han organizado de la siguiente forma:
- Requisitos base.
- Posibles refuerzos de seguridad (R), alineados con el nivel de seguridad perseguido, que se suman (+) a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro.
Y por último y no menos importante, en cuanto al plazo de adecuación al nuevo ENS, se establece un periodo de caducidad de 24 meses desde la entrada en vigor de este RD, por lo tanto, a partir del 05.05.2024 dejarán de tener la condición de acreditados los certificados emitidos frente al RD 3/2010.
Conoce esto y mucho más en nuestro Máster de Compliance y Protección de datos.