ENS 2022. ¿Cómo te afecta?
ENS 2022. Todo lo que necesitas saber.
El pasado 3 de mayo de 2022 se publicó en el Boletín Oficial del Estado, el Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad (ENS), y que viene a derogar al Real Decreto 3/2010 y su posterior actualización en el año 2015.
Esta nueva norma viene a actualizar, matizar e implementar la normativa anterior, que si bien es de obligado cumplimiento e implantación desde hace varios años, todavía sigue siendo ignorada por muchas entidades.
No nos podemos olvidar de que vivimos en un mundo donde la tecnología evoluciona a pasos agigantados, sufriendo una transformación constante. Es por ello necesario adaptar los requerimientos y las medidas de seguridad a los tiempos y necesidades actuales.
Desde la primera versión del ENS en 2010, la sociedad y la forma en la que los ciudadanos se relacionan con la administración ha ido evolucionando y el acceso electrónico de los ciudadanos a los Servicios Públicos obligó a las administraciones públicas a hacer uso de los medios electrónicos. Todo ello supone grandes ventajas para los ciudadanos pero también entraña diversos riesgos como el incremento en el número de vulnerabilidades, ataques y ciberamenazas.
De este modo, era necesario reforzar las capacidades de defensa frente a las ciberamenazas del sector público y de las entidades privadas que colaboren con este en la prestación de servicios o en el suministro de tecnología, propiciando así la aparición de esta nueva versión del ENS.
¿Estás obligado a cumplir el ENS?
Tal y como dispone el artículo 2 del RD 311/2022, el ENS es de aplicación y de obligado cumplimiento para todo el sector público. Esto comprende a las administraciones del Estado, Comunidades Autónomas, Administraciones Locales y entidades de derecho público. Dichas administraciones están obligadas a su cumplimiento y a la adaptación de sus sistemas de información.
Asimismo, también será de aplicación a los sistemas que tratan información clasificada, a las entidades del sector público cuando lleven a cabo el despliegue de redes 5G, y a las entidades del sector privado “cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por éstas de sus competencias y potestades administrativas.”
Por ende, si tu empresa mantiene relaciones contractuales con una administración pública también está obligada a cumplir con el ENS.
¿Cuáles son las novedades y cambios más importantes del ENS?
A continuación podrás encontrar un resumen de las principales novedades que nos trae esta nueva versión del Esquema Nacional de Seguridad:
- Una de las primeras novedades que nos encontramos es la incorporación del “perfil de cumplimiento específico”. Lo que se pretende con esto es que la adecuación y el cumplimiento con el nuevo esquema se pueda alcanzar de una forma más eficaz y eficiente, racionalizando los recursos sin menoscabar la protección perseguida y exigible.
Este perfil de cumplimiento nos va a permitir que el ENS se adapte a cada organización, destacando la personalización y capacidad de adaptación a las necesidades específicas, sobre todo pensando en compañías de menor tamaño y con recursos más limitados.
- En segundo lugar, el nuevo ENS establece un protocolo de actuación ante ciberincidentes enfocado en dos objetivos principales: por un lado, articular la respuesta a incidentes y, por otro lado, establecer las condiciones de notificación de incidentes de ciberseguridad. En este sentido, se establece la obligación de notificar al CCN-CERT (Centro Criptológico Nacional – Computer Emergency Response Team) los incidentes de seguridad de la siguiente manera:
- Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información.
- Las entidades del sector privado que presten servicios a entidades públicas deberán notificar al INCIBE-CERT los incidentes que les afecten, el cual lo pondrá en conocimiento del CCN-CERT.
- En tercer lugar, otra de las novedades del ENS es la incorporación de un nuevo sistema de codificación de los requisitos de las medidas de seguridad. En este sentido, el objetivo principal es facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.
Se han codificado los requisitos de medidas y se han organizado de la siguiente forma: requisitos base preexistentes y posibles refuerzos de seguridad, siendo algunos refuerzos de carácter opcional. La declaración de aplicabilidad va a cobrar ahora más importancia.
- En el ámbito de los principios, requisitos y medidas, el ENS ha añadido el principio básico de vigilancia continua, cuya función es la evaluación permanente del estado de la seguridad de los activos, para detectar posibles vulnerabilidades e identificar deficiencias de configuración.
A grandes rasgos, los requisitos mínimos se mantienen prácticamente en su totalidad, destacando algún ajuste como el cambio de terminología de “seguridad por defecto” a “mínimo privilegio”.
Por otro lado, para lograr el cumplimiento de los principios básicos y requisitos mínimos, se aplican las medidas de seguridad que se recogen en el Anexo II del ENS y que se dividen en tres grupos: marco organizativo [org], marco operacional [op] y medidas de protección [mp].
Con la actualización del ENS, en el marco organizativo no ha habido modificaciones. Ahora bien, en el marco operacional y de medidas de protección se han reforzado aquellas medidas que tienen un mayor impacto en la configuración de seguridad, la detección de intrusiones, la protección de la cadena de suministros, etc.
En este sentido, se ha establecido el Punto o Persona de Contacto (POC), que es una medida encaminada a designar a una persona responsable ante la gestión de incidentes para saber a quién recurrir.
De la misma manera, se han incorporado nuevas medidas como las relativas a la protección de los servicios en la nube, la interconexión y la relativa a otros dispositivos interconectados que responden a los cambios actuales y a la proyección de los tiempos venideros.
- Finalmente, y no por ello menos importante, el nuevo ENS encomienda al CCN y al Instituto Nacional de Administración Pública el desarrollo de programas de sensibilización, concienciación y formación, dirigidos al personal de las entidades del sector público.
El CCN-CERT (Centro Criptológico Nacional) ha publicado en su página web diversas infografías sobre el nuevo ENS que se pueden consultar fácilmente y que resultan de gran interés.
¿Qué plazo hay para adaptarse?
Si bien es cierto que el ENS ya es aplicable a los nuevos sistemas de información, su Disposición Transitoria Única establece un plazo de 24 meses para que los sistemas preexistentes a su entrada en vigor alcancen su plena adecuación. En definitiva, el nuevo Esquema Nacional de Seguridad debe estar implementado antes del 5 de mayo de 2024 por lo que te recomendamos poner en marcha la actualización a este nuevo ENS lo antes posible. Si todavía tienes alguna duda, desde Seifti podemos ayudarte a entender mejor estos cambios y su adecuación a la nueva versión de la norma.
No Comments