:

Publicado borrador proyecto nuevo ENS

Publicado el borrador del proyecto del nuevo ENS

A finales junio del presente año, se publicó el borrador del proyecto del real decreto por el que se regula el Esquema Nacional de Seguridad (ENS), que sustituirá al RD 3/2010 que es el eje alrededor del cual se vertebra  la seguridad en los entornos y sistemas de información de las administraciones públicas.

Este borrador incorpora la evolución tecnológica que se ha producido desde el  2015, fecha de la última actualización del ENS, en especial en relación a los riesgos y controles de los servicios en nube.

La futura norma va a suponer un cambio y una adecuación a la tecnología existente,  siempre en aras de la protección de la información, no sólo de las administraciones públicas, sino también de las empresas del sector privado que prestan servicios a dichas administraciones públicas, siempre con la finalidad de minimizar los riesgos derivados de  la pérdida de confidencialidad, integridad, autenticidad y trazabilidad de la información, así como para garantizar en todo momento la disponibilidad de los servicios públicos.

¿Cuáles son las principales novedades del borrador?

Como principales novedades podemos destacar las indicadas a continuación:

  • Obligatoriedad de cumplimiento de ciertas instrucciones técnicas de seguridad que publicarán mediante Resolución de la Secretaría de Estado Digitalización e Inteligencia Artificial, aún pendientes, destacando entre ellas la que regule el Esquema de Certificación de Responsables de Seguridad,  en la que se especifican las condiciones y requisitos exigidos a dicha figura.
  • Diferenciación de 4 roles en el sistema de gestión de seguridad de la información:
    • Responsable dela información
    • Responsable del servicio
    • Responsable de la seguridad
    • Responsable del sistema
  • Segregación de las figuras del responsable de seguridad  y del responsable del sistema. Deberán ser dos figuras diferenciadas, salvo en excepciones que deberñan en todo momento estar justificadas.
  • Aparición de la figura del POC para servicios externalizados en las Administraciones Públicas. El POC (Punto o Persona de Contacto) de Seguridad de la información será el responsable de seguridad de la organización contratada, o formará parte del área o tendrá contacto directo con la misma. La existencia del POC no elimina la responsabilidad final de la entidad del sector público destinataria de los servicios, que seguirá siendo la última responsable de la seguridad.
  • Determinación de la categoría del sistema por el responsable de seguridad.
  • Formalización y firma del SOA por el Responsable de Seguridad, garantizándose de esta forma que se aprueba por personal cualificado.
  • Implantación y adecuación al ENS exigible a los terceros del sector privado que presten servicios o soluciones a administraciones públicas para el ejercicio de las competencias y potestades administrativas, reiterando la exigencia ya recogida en la Disposición Adicional Primera de la LOPDGDD.
  • Gestión de incidentes de seguridad
    • El CCN-CERT coordinará la respuesta a incidentes de seguridad. Las AAPP notificarán al CCN-CERT los incidentes que tengan un impacto significativo y el CCN será el coordinador nacional de respuesta técnica a los equipos CSIRT determinando si el sistema es seguro para interconectar de nuevo.
    • El sector privado que preste servicios al sector público comunicará incidentes al INCIBE-CERT, tal y como ya estaba previsto en la actualidad.
  • Obligatoriedad de utilizar una metodología para el Análisis de Riesgos  reconocida internacionalmente.
  • Supervisión por parte de la organización al personal para verificar que cumplen con las normas y procedimientos, así como sus deberes y obligaciones en materia de seguridad de la información.
  • Cualificación e instrucción del personal que participe en materia de seguridad en todas las fases del ciclo de vida. Se podrá exigir también dicha cualificación cuando se externalicen servicios, no obstante, cada organización podrá determinar la formación, capacidades y experiencia exigibles para cada puesto de trabajo.
  • Obligatoriedad de la continuidad de las operaciones en todos los niveles de seguridad (existencia de copias y planes para garantizar la continuidad de las operaciones)
  • Adecuación en materia de protección de datos a las exigencias establecidas en de LOPDGDD y RGPD.
  • Posibilidad del responsable del sistema de suspender temporalmente el tratamiento de informaciones, prestación de servicios o la total operación del sistema tras la auditoría, en sistemas de nivel alto, hasta la subsanación o mitigación de aquellos hallazgos que puedan ser graves.

¿Qué modificaciones o cambios se recogen en el Anexo II de medidas de seguridad?

Con respecto a las novedades introducidas en relación a las medidas de seguridad del Anexo II destacamos las siguientes:

a) Se incorporan refuerzos para los controles, que aportarán, entre otra novedades, documentos específicos.

b) Para todos los controles del Anexo II se han definido más requisitos, de manera que aclaran la interpretación de los controles existentes.

Incorporamos una tabla con las principales modificaciones, cambios o novedades en el Anexo:

Control Observaciones
op.pl.5 La aplicabilidad ahora es para sistemas medios
op.acc.1 Para sistemas medios, hay requisitos adicionales respecto de los básicos
op.acc.2 Para sistemas categorizados como altos incluyendo requisitos adicionales respecto de los medios/básicos
op.acc.3 Para sistemas categorizados como Altos incluyendo requisitos adicionales respecto de los medios/básicos
op.acc.5 y op.acc.6 Nuevo control. Se renombran el op.acc.5 y op.acc.6 como autenticación de usuarios internos y externos. Desaparece la referencia a acceso local y remoto.
op.exp.2 Para sistemas medios, hay requisitos adicionales respecto de los básicos
op.exp.3 Requisitos para sistemas básicos, así como adicionales para nivel medio y adicionales para nivel alto.
op.exp.4 Requisitos adicionales para sistemas de nivel medio y adicionales para nivel alto respectivamente.
op.exp.5 Incorpora requisitos adicionales para sistemas de nivel alto
op.exp.6 Incorpora requisitos adicionales para sistemas de nivel medio y adicionales para nivel alto respectivamente.
op.exp.7 Incorpora requisitos para sistemas básicos
op.exp.8 Actualización. se fusiona el anterior op.exp.10 con el control. Se disponen de requisitos adicionales según sube el nivel del sistema
op.exp.9 Aplica con independencia de la categoría del sistema
op.ext.2 Aplica a partir de sistemas de nivel medio
op.ext.3 Aplica solo a sistemas altos
op.ext.4 Nuevo control. Aplica a partir de sistemas medios y con requisitos adicionales a sistemas altos
op.ext.9 Desaparece el control y se unifican todos los medios alternativos en el control de continuidad op.cont.4
op. nub Nuevo grupo de control
op.nub.1. Para servicios en la nube. Aplicará desde nivel básico y con requisitos adicionales para nivel medio y otros requisitos adicionales para nivel alto
op.cont.4 Nuevo control. Alineación de todos los controles que se referían a medios alternativos) Aplica solo a sistemas de nivel alto
op.mon.1 Aplica desde nivel básico y con requisitos adicionales para nivel medio y nivel alto
op.mon.2 Actualización del control para sistemas de nivel alto, aplicarán los mismos requisitos que para nivel medio
op.mon.3 Nuevo control. Aplica desde nivel básico y con requisitos adicionales para nivel medio y nivel alto
mp.if.9 Desaparece, alineándose todos los medios alternativos en el control de continuidad op.cont.4
mp.per.2 Incluye requisitos adicionales para sistemas de nivel medio y alto
mp.per.9 Desaparece el control  y se alinean todos los medios alternativos en el control de continuidad op.cont.4
mp.eq.3 Nuevos requisitos para sistemas de nivel medio y adicionales para nivel alto.
mp.eq.4 Nuevo control. Aplica desde nivel básico y requisitos adicionales para nivel medio
mp.eq.9 Desaparece el control  y se alinean todos los medios alternativos en el control de continuidad op.cont.4
mp.com.1 Aplica desde nivel básico para todos los sistemas, sin requisitos adicionales en función del nivel
mp.com.2 Aplica desde nivel básico y con requisitos adicionales para nivel medio y para nivel alto
mp.com.4 Actualización del control, cambia el nombre y aplica para sistemas de nivel medio, con requisitos adicionales para nivel alto
mp.com.9 Desaparece el control  y se alinean todos los medios alternativos en el control de continuidad op.cont.4
mp.si.5 Aplica a todos los sistemas sin requisitos adicionales
mp.sw.2 Se eliminan los requisitos adicionales del nivel alto, se mantienen los mismos que en el nivel medio.
mp.info.1 Se aplican requisitos adicionales para sistemas de nivel medio
mp.info.2 Aplica tanto para nivel medio como para alto sin requisitos adicionales en este nivel
mp.info.3 Desaparece este control
mp.info.9 Se aplican a todos los niveles y con requisitos adicionales en el nivel alto
mp.s.3 Se incorpora este nuevo control que  aplica desde nivel básico y con requisitos adicionales para nivel alto
mp.s.9 Desaparece el control y se alinean todos los medios alternativos en el control de continuidad op.cont.4

¿Qué plazo tienen las organizaciones para adecuarse al nuevo ENS?

Para determinar el plazo hay que diferenciar dos supuestos, si los sistemas tienen implantado o el ENS en el momento de entrada en vigor del nuevo real decreto.

a) Sistemas de organizaciones que tengan implantado el ENS con carácter previo a la entrada en vigor del nuevo real decreto: Contarán con un plazo de 24 meses a contar desde el momento la entrada en vigor del nuevo real decreto entre en vigor.

b) Sistemas que no tengan implantado el ENS a la entrada en vigor del nuevo real decreto: Les resultarán de aplicación inmediata las previsiones establecidas en el nuevo ENS.  Los nuevos sistemas que se configuren desde la entrada en vigor deberán adaptarse a las previsiones del nuevo real decreto desde el momento de su entrada en vigor.

¿Qué puede hacer si tiene dudas o necesita información adicional?

Para cualquier información adicional o duda puede ponerse en contacto con nosotros, en el formulario de contacto o en nuestros correos.

Comparte esta noticia, Elige tu red social!