El Consejo de Ministros ha aprobado, a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, un Real Decreto que actualiza el Esquema Nacional de Seguridad (ENS), enmarcado en el paquete de actuaciones urgentes, adoptado el pasado 25 de mayo, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.

La actualización de este documento estaba contemplada en el Plan Nacional de Ciberseguridad, dotado con 1.000 millones de euros, una de las normativas necesarias para aplicar también el Real Decreto de Ciberseguridad 5G, convalidado por el Congreso de los Diputados el 28 de abril y parte de las reformas pactadas con la Comisión Europea.

El nuevo Esquema Nacional de Seguridad, que ha experimentado una evolución continua desde su primer desarrollo en 2010, establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización, para la administración pública, así como los proveedores tecnológicos del sector privado que colaboran con la administración.

Novedades

• Adecuación del ENS al nuevo marco normativo y al contexto estratégico existente para garantizar la seguridad en la Administración Digital.
• El ajuste de los requisitos a necesidades, colectivos de entidades y ámbitos tecnológicos para una aplicación más eficaz y eficiente.
• Actualización de los principios básicos y las medidas de seguridad para facilitar una mejor respuesta a las nuevas tendencias y necesidades de ciberseguridad.

El nuevo texto persigue garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación, reduciendo vulnerabilidades y promoviendo la vigilancia continua, estableciendo a su vez mecanismos de respuesta y medidas de seguridad óptimas, dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales.

Como nuevas medidas de nuevas medidas de seguridad, se han incluido las relativas a servicios en la nube, interconexión de sistemas, protección de la cadena de suministro, medios alternativos, vigilancia y otros dispositivos conectados a la red.

Objetivos

• Alinear el ENS con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital en beneficio de la ciberseguridad y de los derechos de la ciudadanía, así como actualizar las referencias al marco legal vigente conforme a la Estrategia Nacional de Ciberseguridad y el Plan Nacional de Ciberseguridad.
• Introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza que presentan una multiplicidad de entidades o servicios en cuanto a los riesgos en el ENS del concepto de «perfil de cumplimiento específico» que, aprobado por el Centro Criptológico Nacional, permita alcanzar una adaptación del ENS más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible.
• Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad.
• Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Informe del estado de la seguridad

El Real Decreto recoge que la Comisión Sectorial de Administración Electrónica, órgano técnico presidido por el Secretario General de Administración Digital del Ministerio para la cooperación del Estado con las comunidades autónomas y entidades locales en materia de administración digital, recopilará la información de las principales variables de la ciberseguridad.

Los resultados del informe serán utilizados por las autoridades competentes que impulsarán las medidas oportunas que faciliten la mejora continua del estado de la seguridad.

El Centro Criptológico Nacional (CCN), del Centro Nacional de Inteligencia (CNI) adscrito al Ministerio de Defensa, articulará la respuesta a los incidentes de seguridad de entidades del sector público.

Respecto a las entidades del sector privado, notificarán la respuesta que han realizado ante incidentes de seguridad al Instituto Nacional de Ciberseguridad de España (INCIBE).

Por otra parte, la Secretaría de Estado de Digitalización e Inteligencia Artificial, será la encarga de aprobar las instrucciones técnicas de seguridad de obligado cumplimiento.

La aprobación de este Real Decreto se vincula con la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025, uno de los instrumentos principales para el cumplimiento del Plan de Recuperación, Transformación y Resiliencia y su Componente 11 denominado «Modernización de las Administraciones Públicas», así como para el desarrollo de las inversiones y reformas previstas en la agenda España Digital 2025.

El Plan de Digitalización contempla expresamente, entre sus reformas, la actualización del Esquema Nacional de Seguridad con el fin de hacer evolucionar la política de seguridad de todas las entidades del sector público español, considerando las regulaciones de la Unión Europea dirigidas a incrementar el nivel de ciberseguridad de los sistemas de información.

Así, complementa esta reforma la constitución del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), previsto en la Medida 9 del Plan de Digitalización de las Administraciones Públicas 2021 – 2025​, servicio que servirá de referencia para las demás administraciones públicas y contribuirá a mejorar su capacidad de respuesta ante eventuales ataques.