Esquema Nacional de Seguridad


El Esquema Nacional de Seguridad, de aplicación a todo el Sector Público, así como a los proveedores que colaboran con la Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias. Desde su primer desarrollo en 2010 está en constante evolución con modificaciones notables en 2015 y su última actualización en 2022 (Real Decreto 311/2022).

La adecuación al Esquema Nacional de Seguridad, que permite obtener la Declaración/Certificación de Conformidad, es un proceso ordenado que incluye diversas fases incluidas en el Proceso de adecuación.


¿Para qué sirve el Esquema Nacional de Seguridad?
El ENS, en base al establecimiento y desarrollo de unos principios básicos y unos requisitos mínimos, proporciona a las organizaciones que dispongan de sus sistemas de información conformes a sus disposiciones y gestionados en el ejercicio de sus competencias, una protección adecuada de los servicios prestados y de la información tratada por éstos, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios apoyados directa o indirectamente en medios electrónicos.

Tanto para las organizaciones del sector público como para las pertenecientes al sector privado que les aportan soluciones o les prestan servicios competenciales, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.

Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.


¿Cuál es el ámbito de aplicación del ENS?

El Esquema Nacional de Seguridad, tal y como está recogido en su art. 2, resulta de aplicación a las entidades del sector público, a las entidades del sector privado que les presten servicios competenciales y, en general, a la cadena de suministro de estas últimas, en la medida que un análisis de riesgos previo así lo determine.

Además, hay que recordar que las medidas del ENS son asimismo de aplicación para aquellas entidades que determina la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantías de los derechos digitales, cuando se realicen tratamientos de datos personales.

Por último, el ENS también es de aplicación a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas que asimismo están sujetos a la Ley 9/1968, de 5 de abril, de Secretos Oficiales (LSO), y las derivadas de los compromisos internacionales contraídos por España, o consecuencia de su pertenencia a organismos o foros internacionales.


 ¿Cuál es la normativa que regula el ENS?
El Esquema Nacional de seguridad está regulado específicamente por la siguiente normativa:

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional de Seguridad.
Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
La relación de otra normativa relacionada con la ciberseguridad en España puede consultarse en el Código de Derecho de la Ciberseguridad editado por el BOE.


¿Qué son las Guías CCN-STIC?
Las Series CCN-STIC, clasificadas en varias Series, comprenden un conjunto de documentos, instrucciones, guías y buenas prácticas recomendadas, desarrolladas por el Centro Criptológico Nacional al objeto de proporcionar a las organizaciones herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la Serie CCN-STIC 800 comprende un conjunto de guías para favorecer la implementación del ENS y como ayuda para un mejor cumplimiento de sus disposiciones.

En la solución INES/AMPARO del CCN, se incluyen plantillas de prácticamente todos los documentos relevantes que pueden llegar a requerirse para elaborar el Plan de Adecuación del ENS y su implantación práctica, especialmente orientados a la capa de gestión de la seguridad de la información aplicada sobre el/los sistema(s) de información.






             



AENOR PDF Document             IQNet PDF Document