Esquema Nacional de Seguridad

Somos una empresa especializada en sistemas de control de accesos, presencia laboral
y desarrollos de seguridad a medida.

Volver a nuestras soluciones

Informe sobre el Esquema Nacional de Seguridad (ENS) – RD 311/2022

Introducción

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, establece los principios y requisitos necesarios para garantizar la protección de la información en el sector público y en aquellas entidades privadas que colaboran con la Administración Pública. Este marco normativo busca fortalecer la confianza en los servicios electrónicos y garantizar la seguridad de los sistemas de información frente a amenazas y riesgos.

Principales Novedades del RD 311/2022

Adaptación a las nuevas amenazas: El RD 311/2022 actualiza el ENS para hacer frente a los riesgos emergentes, como ciberataques avanzados y nuevas vulnerabilidades tecnológicas.
Clasificación de sistemas: Introduce un enfoque más detallado para clasificar los sistemas de información según su nivel de seguridad: bajo, medio o alto, basado en el impacto potencial de los incidentes en la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Fortalecimiento de la gobernanza: Refuerza la necesidad de contar con una estructura organizativa clara para gestionar la seguridad, asignando responsabilidades específicas y promoviendo la figura del Responsable de Seguridad.
Medidas de seguridad actualizadas: Se amplían y actualizan las medidas de seguridad a implementar, agrupadas en tres bloques: organizativas, operativas y de protección. Estas medidas están alineadas con estándares internacionales como ISO/IEC 27001.
Evaluación continua: Se establece la obligatoriedad de realizar auditorías periódicas, análisis de riesgos y planes de mejora continua para garantizar la efectividad de las medidas de seguridad.
Integración con el marco europeo: El ENS se alinea con normativas y directrices europeas, como la Directiva NIS2, para asegurar una cooperación efectiva entre Estados miembros en materia de ciberseguridad.

Aspectos significativos

Artículo 2. Ámbito de aplicación. 1.
- El presente real decreto es de aplicación a todo el sector público, en los términos en que este se define por el artículo 2 de la Ley 40/2015, de 1 de octubre, y de acuerdo con lo previsto en el artículo 156.2 de la misma.
Artículo 11. Diferenciación de responsabilidades.
- 1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
- 2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.
- 3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
Artículo 12. Política de seguridad y requisitos mínimos de seguridad.
- 6. La política de seguridad se establecerá de acuerdo con los principios básicos señalados en el capítulo II y se desarrollará aplicando los siguientes requisitos mínimos:
  - a) Organización e implantación del proceso de seguridad.
  - b) Análisis y gestión de los riesgos.
  - c) Gestión de personal.
  - d) Profesionalidad.
  - e) Autorización y control de los accesos.
  - f) Protección de las instalaciones.
  - g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
  - h) Mínimo privilegio.
  - i) Integridad y actualización del sistema.
  - j) Protección de la información almacenada y en tránsito.
  - k) Prevención ante otros sistemas de información interconectados.
  - l) Registro de la actividad y detección de código dañino.
  - m) Incidentes de seguridad.
  - n) Continuidad de la actividad.
  - ñ) Mejora continua del proceso de seguridad

Artículo 19. Adquisición de productos de seguridad y contratación de servicios de seguridad.
- 1. En la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en los sistemas de información del ámbito de aplicación de este real decreto, se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
- 2. El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información del Centro Criptológico Nacional (en adelante, CCN), constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, teniendo en cuenta los criterios y metodologías de evaluación nacionales e internacionales reconocidas por este organismo y en función del uso previsto del producto o servicio concreto dentro de sus competencias, determinará los siguientes aspectos:
  - a) Los requisitos funcionales de seguridad y de aseguramiento de la certificación.
  - b) Otras certificaciones de seguridad adicionales que se requieran normativamente.
  - c) Excepcionalmente, el criterio a seguir en los casos en que no existan productos o servicios certificados.
Artículo 17. Autorización y control de los accesos.
- El acceso controlado a los sistemas de información comprendidos en el ámbito de aplicación de este real decreto deberá estar limitado a los usuarios, procesos, dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.
Artículo 22. Protección de información almacenada y en tránsito.
- 1. En la organización e implantación de la seguridad se prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.
- 2. Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación de este real decreto, cuando ello sea exigible.
- 3. Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica a la que se refiere este real decreto, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.

Objetivos del ENS

El ENS tiene como objetivos principales:

Proteger la información manejada por las administraciones públicas y sus proveedores.
Garantizar la prestación de servicios públicos electrónicos seguros y confiables.
Fomentar la adopción de buenas prácticas en ciberseguridad.
Facilitar la coordinación y cooperación en materia de seguridad entre diferentes entidades.

Beneficios de Implementar el ENS

Mayor confianza: Incrementa la confianza de los ciudadanos y empresas en los servicios electrónicos públicos.
Reducción de riesgos: Minimiza el impacto de posibles ciberataques y fallos en los sistemas.
Cumplimiento normativo: Asegura el cumplimiento de las exigencias legales en materia de seguridad.
Mejora continua: Fomenta una cultura de mejora continua en la gestión de la seguridad.

Conclusión

El RD 311/2022 representa un paso adelante en la evolución del Esquema Nacional de Seguridad, adaptándose a un entorno digital cada vez más complejo y amenazante. La implementación efectiva de este marco normativo es clave para garantizar la protección de la información y la continuidad de los servicios públicos electrónicos. Tanto las administraciones públicas como sus colaboradores privados deben comprometerse con el cumplimiento del ENS, asegurando así un entorno digital más seguro y confiable.