¡Comparte en redes sociales!

Novedades del nuevo esquema nacional de seguridad

El pasado mes de mayo se publicó el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad (ENS) que tiene como objetivos (i) reforzar la protección de los servicios y de los datos, como activo esencial para la Administración Digital frente a atacantes y/o amenazas y (ii) adecuarse al marco normativo actual tras la entrada en vigor de normas tan relevantes como el Reglamento General de Protección de Datos o la Directiva NIS.

Algunas de las novedades que trae consigo esta nueva versión del ENS son las siguientes:

  1. Nuevo principio de “vigilancia continua”: Conlleva una evaluación permanente del estado de la seguridad de los activos, para detectar vulnerabilidades e identificar deficiencias de configuración. Su objetivo es detectar y responder las actividades o comportamientos anómalos.
  2. Perfiles de Cumplimiento Específicos: adaptar el Esquena Nacional de Seguridad racionalizando los recursos requeridos sin menoscabo de la protección exigible como consecuencia de un análisis de riesgos.
  3. Análisis de Riesgos: el delegado de protección de datos ha de asesorar al responsable o el encargado del tratamiento en el análisis de riesgos (art. 24, RGPD) y en la evaluación de impacto (art. 35, RGPD) desde el inicio del tratamiento.
  4. Protección de la cadena de suministro: la empresa privada que preste sus servicios a las administraciones públicas ha de designar un Punto o Persona de Contacto (POC).
  5. Notificación de incidentes de seguridad: Las administraciones públicas han de notificar al CCN-CERT. Y las empresas privadas sujetas al ENS ha de acudir al INCIBE-CERT.
  6. Formación y sensibilización: El CCN y el INAP desarrollarán programas de sensibilización y formación dirigidos al personal de las entidades del sector público.

Respecto a las medidas de seguridad, también ha habido algunos cambios significativos. Se añaden los siguientes:

  • Servicios en la nube [op.nub.1]
  • Interconexión de sistemas [op.ext.4]
  • Protección de la cadena de suministro [op.ext.3]
  • Medios alternativos [op.cont.4]
  • Vigilancia [op.mon.3]
  • Otros dispositivos conectados a la red [mp.eq.4]

Además, se han codificado los requisitos de medidas y se han organizado de la siguiente forma:

  • Requisitos base.
  • Posibles refuerzos de seguridad (R), alineados con el nivel de seguridad perseguido, que se suman (+) a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro.

Y por último y no menos importante, en cuanto al plazo de adecuación al nuevo ENS, se establece un periodo de caducidad de 24 meses desde la entrada en vigor de este RD, por lo tanto, a partir del 05.05.2024 dejarán de tener la condición de acreditados los certificados emitidos frente al RD 3/2010.

Conoce esto y mucho más en nuestro Máster de Compliance y Protección de datos.

Óscar J Labella

IT Lawyer | Governance, Risk & Compliance | Privacy

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Blog Master Dpo

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.