Esquema Nacional
de Seguridad 2022

Certifícate en ENS RD 311/2022 y garantiza una protección adecuada de la información tratada y los servicios prestados por las Administraciones Públicas

  • Somos consultores expertos en Seguridad de la Información.
  • Certificación ENS según el RD 311/2022

Introducción Esquema Nacional de Seguridad

La primera versión del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica se reguló en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional.  Varios años después, se ha visto la necesidad de actualizarlo según el paquete de actuaciones urgentes acordado por el Gobierno, definido en el Real Decreto 311/2022, el cual se basa en dos puntos clave:

  • Ciberseguridad, se busca reforzar de manera inmediata las capacidades de defensa frente a las ciberamenazas.
  • Confianza, crear las condiciones necesarias de confianza en el uso de los medios electrónicos.

Objetivo del Esquema Nacional de Seguridad

El ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de los sistemas de información.

El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

Hay 4 principales novedades en el ENS RD 311/2022:

¿A quién aplica el ENS?

El Nuevo Esquema Nacional de Seguridad RD 311/2022 aplica a:

  • Empresas certificadas en el Esquema Nacional de Seguridad según el RD 3/2010.
  • A todo el sector público (artículo 2 de la Ley 40/2015, de 1 de octubre, y de acuerdo con lo previsto en el artículo 156.2 de la misma). Cuando las entidades del sector público lleven a cabo la instalación, despliegue y explotación de redes 5G o la prestación de servicios 5G.
  • Entidades del sector privado que presten servicios a las entidades públicas, incluidos los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público.

Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas.

Conoce las empresas certificadas en el Esquema Nacional de Seguridad.

Plazos para cumplir el ENS

A partir del 05.05.2024 dejarán de tener la condición de acreditados los certificados emitidos frente al RD 3/2010.

Las entidades públicas y privadas que presten servicios o provean soluciones a las públicas disponen de 24 meses (hasta el 05.05.2024) para la certificación de conformidad de los sistemas de información con el ENS RD 311/2022.

Beneficios de la Certificación ENS

  • Garantía de productos certificados y de calidad.
  • Cumplimiento con los requisitos legales para las AA.PP.
  • Logra mayor confianza entre los usuarios en el uso de medios electrónicos.
  • Establecimiento de un lenguaje común de peligrosidad.
  • Utilización de guías e instrumentos para la Seguridad de la Información.

¿Qué tipo de servicios
están afectados?

Se encuentran afectados por el Esquema Nacional de Seguridad según el RD 311/2022 los sistemas de información utilizados para la prestación de los servicios públicos.

Certificacion ENS

¿Quieres obtener el certificado ENS?
Nosotros te ayudamos al cumplimiento ENS

¿El ENS también afecta a
los proveedores?

El RD 311/2022 también se aplica a los sistemas de información de las entidades del sector privado, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.

Nueva ISO 27001:2022

¿Son equivalentes el Esquema Nacional de Seguridad
y la norma ISO 27001?

  • Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, el ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad.

  • Es por lo anterior, que las empresas certificadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS.
  • Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
  • No obstante, para lograr la certificación en el Esquema Nacional de
    Seguridad es necesario cumplir y demostrar el cumplimiento del 100% de los requisitos del nivel en el cual la entidad necesita certificarse

¿Son necesarias las auditorías externas
en Esquema Nacional de Seguridad?

  • En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, ENS impone la necesidad de pasar una auditoría bienal, realizada por personal cualificado, independiente del servicio/sistema que esté auditando.
  • Además se aclara que las personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría.
  • Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.

Certificado
ENS

Las condiciones para la conformidad con el ENS Esquema Nacional de Seguridad se establecen en la guía Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento.

Según esta guía se establece:

Se definirá mediante una auditoria de conformidad.

NOTA: Para los sistemas de categoría Básica bastaría con publicar una declaración de conformidad en el sitio web similar.

Las Entidades de Certificación deberán estar acreditados por ENAC “para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios, para la certificación de sistemas del ámbito de aplicación del ENS.”

Se puede plantar la cuestión si los proveedores de la Administración pública deben certificarse de forma independiente según los requisitos del ENS.

Como respuesta podemos decir que el camino a seguir por las empresas es optar por la Certificación Independiente ya que aunque existe dentro de la guía de certificación, la posibilidad de realizar una auditoria conjunta de los sistemas de la Administración y sus proveedores también queda expresado que «los proveedores deben ser capaces de” estar en condiciones de exhibir los distintivos de conformidad».

En INGERTEC tenemos amplia experiencia en implantación de sistemas de Seguridad de la información y cumplimiento de requisitos del ENS y cuenta con la confianza de todas las entidades de Certificación acreditadas por ENAC para el ENS.

Artículos
relacionados

Pide tu PRESUPUESTO

Completa el formulario y te contactaremos lo más pronto posible