El Real Decreto 3/2010, de 8 de enero, que lo regula, establece la obligación de evaluar periódicamente el estado de la seguridad de los sistemas por parte de las Administraciones Públicas. Así, su artículo 35 señala: "El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas". Asimismo, el ENS dispone la necesidad de establecer un sistema de medición de la seguridad del sistema estableciendo un conjunto de indicadores que mida el desempeño real del sistema en materia de seguridad.
CCN-CERT (13-10-2014)