|
Fecha de publicación: 09/05/2023
- El principal objetivo del ENS, desde su primer desarrollo en 2010, ha sido mejorar la ciberseguridad del sector público español.
- Toda la información de este Esquema puede encontrarse en el portal del ENS, recientemente actualizado.
El 4 de mayo de 2022, hace un año, el Boletín Oficial del Estado publicaba el Real Decreto 311/2022 por el que se regulaba el Esquema Nacional de Seguridad, ENS. Este RD venía a actualizar por segunda vez el ENS (desarrollado en 2010) y se enmarcaba en el paquete de actuaciones urgentes, adoptado el 25 de mayo de 2021, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.
La actualización del ENS, que ha subido el nivel de seguridad requerido dada la madurez alcanzada en el sector público, se hacía necesaria, tal y como establece su preámbulo, para cumplir tres grandes objetivos: alinear el texto con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital; introducir la capacidad de ajustar los requisitos del ENS, para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas; y, por último, facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad.
El RD de 2022, en su artículo 33, asigna al Centro Criptológico Nacional (CCN) el papel de coordinador a nivel estatal de la respuesta técnica de los equipos de respuesta a incidentes, a través del CCN-CERT. Establece que "las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información". Es el CCN el que "ejercerá la coordinación nacional de la respuesta técnica de los CSIRT" y el que determine "el riesgo de reconexión del sistema o sistemas afectados, indicando los procedimientos a seguir y las salvaguardas a implementar con objeto de reducir el impacto para, en la medida de lo posible, evitar que vuelvan a darse las circunstancias que lo propiciaron".
Novedades del ENS
Entre las novedades del nuevo ENS se encuentra la incorporación de la figura del perfil de cumplimiento para entidades o sectores concretos, cuyo objetivo es alcanzar una adaptación al Esquema más eficaz y eficiente.
Del mismo modo, se incluye el establecimiento de un protocolo de actuación ante ciberincidentes, donde se establecen las condiciones de notificación al CCN-CERT, y un nuevo sistema de codificación de los requisitos de las medidas de seguridad, cuyo objeto es facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría, al tiempo que se adecúan las medidas de seguridad a la realidad de las amenazas y los riesgos.
Nuevo portal web
En febrero de este 2023, el CCN actualizó el portal dedicado al Esquema Nacional de Seguridad, con una interfaz mucho más accesible y estructurado en torno a cuatro bloques temáticos: la gobernanza de la ciberseguridad, la certificación, el marco normativo y la formación.
El apartado dedicado a la gobernanza detalla aspectos relativos a la gestión de la ciberseguridad a través de las herramientas INES, AMPARO y MARGA. Por otra parte, la certificación permite consultar la relación de entidades privadas y públicas cuyos sistemas han sido certificados en el ENS.
En tercer lugar, el apartado dedicado al marco normativo engloba todas las disposiciones y normativa (marco legal, instrucciones técnicas de seguridad, Abstracts, guías STIC, etc) aplicada al ENS. Finalmente, el usuario encontrará en el apartado dedicado a la formación los cursos disponibles de la plataforma ÁNGELES, orientados al conocimiento y formación en el Esquema Nacional de Seguridad.
Atentamente,
Equipo CCN-CERT
|
