Claves del nuevo Esquema Nacional de Seguridad

Esta semana, el Consejo de Ministros ha aprobado el Real Decreto que regula el Esquema Nacional de Seguridad (ENS), de aplicación para el sector público y sus proveedores tecnológicos, que establece la política de seguridad en la utilización de medios electrónicos.

El nuevo texto, cuya aprobación se lleva a cabo en un contexto de ciberamenazas complejo y tras hacerse público este lunes la infección de los móviles del Presidente del Gobierno, Pedro Sánchez, y de la Ministra de Defensa, Margarita Robles por el spyware Pegasus, se adecúa al nuevo marco normativo y al contexto estratégico existente para garantizar la seguridad en la Administración Digital; ajusta los requisitos a necesidades, colectivos de entidades y ámbitos tecnológicos para una aplicación más eficaz y eficiente; y actualiza los principios básicos y las medidas de seguridad para facilitar una mejor respuesta a las nuevas tendencias y necesidades de ciberseguridad. 

Es decir, se persigue garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación, reduciendo vulnerabilidades y promoviendo la vigilancia continua, estableciendo a su vez mecanismos de respuesta y medidas de seguridad óptimas, dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales, que ha cambiado radicalmente desde que entró en vigor su anterior versión en 2010.

Entre las nuevas medidas de seguridad, por ejemplo, se han incluido las relativas a servicios en la nube, interconexión de sistemas, protección de la cadena de suministro, medios alternativos, vigilancia y otros dispositivos conectados a la red. 

El Centro Criptológico Nacional (CCN), del Centro Nacional de Inteligencia (CNI) adscrito al Ministerio de Defensa, articulará la respuesta a los incidentes de seguridad de entidades del sector público. Por su parte, las entidades del sector privado que presten servicios a las entidades públicas notificarán la respuesta a incidentes de seguridad al Instituto Nacional de Ciberseguridad de España (INCIBE).

Para el desarrollo del Real Decreto, la Secretaría de Estado de Digitalización e Inteligencia Artificial, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento, que tendrán en cuenta las normas armonizadas europeas aplicables.

Informe sobre el estado de seguridad en el sector público
Además, el Real Decreto recoge que la Comisión Sectorial de Administración Electrónica, órgano técnico para la cooperación del Estado con las comunidades autónomas y entidades locales en materia de administración digital, recopilará la información de las principales variables de la ciberseguridad. Los resultados del informe serán utilizados por las autoridades competentes que impulsarán las medidas oportunas que faciliten la mejora continua del estado de la seguridad