Esquema Nacional de Seguridad

En el ámbito de la administración electrónica en España, el Esquema Nacional de Seguridad (ENS) es una normativa que tiene por objetivo establecer la política de seguridad en la utilización de medios electrónicos relacionados con la administración pública, y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Historia

El Esquema Nacional de Seguridad fue establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicio Públicos^[1]​ y regulado por el Real Decreto 3/2010, de 8 de enero.^[2]​ Posteriormente fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.^[3]​

El 5 de mayo de 2022 entró en vigor una nueva versión del ENS.^[4]​ Los sistemas ya existentes tienen 24 meses para adaptarse a los cambios.

Ámbito de aplicación

El ámbito de aplicación del Esquema Nacional de Seguridad comprende todo el sector público, los sistemas de información de entidades del sector privado cuando presten servicios a entidades del sector público y los sistemas que traten información clasificada.^[4]​^[5]​

Elementos del Esquema Nacional de Seguridad

Los elementos principales del ENS, tal como queda legislado en 2022, son los siguientes:

• Las disposiciones generales, objeto, ámbito de aplicación, sistemas de información que traten datos personales y definiciones (artículos 1 a 4).
• Los principios básicos a considerar en las decisiones en materia de seguridad (artículos 5 a 11).
• Los requisitos mínimos que permitan una protección adecuada de la información (artículos 12 a 27).
• El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (artículos 28, 40, 41, Anexo I y Anexo II).
• El uso de productos certificados y el papel del organismo de certificación OC-CCN (artículo 19 y Anexo II).
• El uso de infraestructuras y servicios comunes (artículo 29).
• Los perfiles de cumplimiento específicos (artículo 30).
• La auditoría de seguridad que verifique el cumplimiento del ENS (artículo 31 y Anexo III).
• El informe del estado de la seguridad (artículo 32).
• La respuesta ante incidentes de seguridad (artículos 33 y 34).
• La conformidad con el ENS (artículos 35 a 38).
• La actualización permanente (artículo 39).
• La categorización de los sistemas de información (artículos 40 y 41).
• La formación (disposición adicional primera).
• Las instrucciones técnicas de seguridad (disposición adicional segunda).
• Las guías de seguridad (disposición adicional segunda).
• Respeto del principio de «no causar un perjuicio significativo» al medioambiente (disposición adicional tercera).
• Adecuación de sistemas (disposición transitoria única).^[4]​

Categorización de los sistemas

Se definen cinco dimensiones de seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad (identificadas por sus correspondientes iniciales).

A cada una de las dimensiones de seguridad se le asigna un nivel de seguridad (bajo, medio o alto) acorde a la severidad del perjuicio ocasionado en caso de incidente de seguridad. Si una dimensión de seguridad no se ve afectada, no se le asigna ningún nivel.

Finalmente, el sistema de información es categorizado de acuerdo al nivel más alto alcanzado por sus dimensiones de seguridad. Así, un sistema de información es de categoría:

• alta si alguna de sus dimensiones de seguridad alcanza el nivel alto;
• media si alguna de sus dimensiones de seguridad alcanza el nivel medio, y ninguna alcanza un nivel superior;
• básica si alguna de sus dimensiones de seguridad alcanza el nivel bajo, y ninguna alcanza un nivel superior.^[4]​^[5]​

Véase también

• Instituto Nacional de Ciberseguridad (Incibe)
• ISO/IEC 27001
• Centro Criptológico Nacional (CCN)
• Secretaría General de Administración Digital
• Organización para la Cooperación y el Desarrollo Económico (OCDE)
• Magerit (metodología)
• Entidad Nacional de Acreditación (ENAC)
• Información clasificada

Referencias

1. «Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos». Boletín Oficial del Estado (150): 27150-27166. 23 de junio de 2007. ISSN 0212-033X. BOE-A-2007-12352. 
2. «Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica». Boletín Oficial del Estado (25): 8089-8138. 29 de enero de 2010. ISSN 0212-033X. BOE-A-2010-1330. 
3. «Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica». Boletín Oficial del Estado (264): 104246-104267. 4 de noviembre de 2015. ISSN 0212-033X. BOE-A-2015-11881. 
4. «Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad». Boletín Oficial del Estado (106): 61715-61804. 4 de mayo de 2022. ISSN 0212-033X. BOE-A-2022-7191. 
5. «Esquema Nacional de Seguridad - ENS». Portal Administración Electrónica. Consultado el 8 de noviembre de 2022. 

Enlaces externos

• Principales cambios Real Decreto 311/2022 "ENS 2022".