Desde su implantación como Real Decreto, la tecnología ha evolucionado y existen diferentes aspectos que nos estaban regulados debidamente en el Real Decreto 3/2010, ya que su origen fue una adaptación y, posteriormente, con la versión de 2015 seguía habiendo aspectos que no habían sido introducidos.
Por suerte, el pasado 04/05 de 2022, nuestro Esquema Nacional de Seguridad era actualizado. Tras casi 12 años, el nuevo RD llega cargado de novedades, como la aplicabilidad a las empresas del sector privado que, de acuerdo con la normativa aplicable y en virtud de la relación contractual que mantengan, presen servicios o soluciones a las entidades públicas.
Pero esta no es la única novedad que nos trae esta nueva versión.
¿Cuáles son las principales novedades en el ENS?
1. La primera de todas es la alineación del ENS con el marco normativo y el contexto estratégico existente, con el objetivo de garantizar la seguridad en la Administración Digital. Para ello, se han actualizado las referencias del marco legal vigente, simplificando y armonizando el contenido del ENS y sus mandatos.
2. En segundo lugar, se introduce la capacidad de ajustar los requisitos del ENS para que sea posible la adaptación a la realidad vigente de ciertos colectivos y tipos de sistemas. De este modo, se tienen en cuenta la semejanza de riesgos a los que se exponen sus sistemas de información.
3. Finalmente, la tercera novedad, es el reforzamiento de la protección frente a las últimas tendencias en ciberseguridad. Un cambio más que necesario teniendo en cuenta la rápida evolución de la tecnología y, sobre todo, las ciberamenazas.
Esta revisión se ha llevado a cabo sobre los principios básicos, requisitos mínimos y todas las medidas de seguridad que vienen recogidas en el ENS y a las que deben adaptarse todas las empresas sujetas a este reglamento.
¿Qué otras novedades incluyen y cómo afecta exactamente a las empresas contratistas de servicios públicos?
1. Se detalla el ámbito de aplicación de la normativa, mencionando expresamente los sistemas de información clasificada; y las entidades privadas cuando presten servicios a las Administraciones Públicas para el ejercicio de sus competencias y potestades.
2. Se incorpora el principio de vigilancia continua. El objetivo es la detección de actividades o comportamientos anómalos, así como su oportuna respuesta.
3. Se deberá designar un Responsable del Sistema, diferenciando las funciones del Responsable de la información, del servicio y de la seguridad. En el artículo 13 se recogen las funciones de cada uno de los responsables.
4. Se amplía el contenido mínimo que deberá contener la Política de seguridad, incluyendo los riesgos que derivan del tratamiento de los datos personales.
5. Aparece la figura del POC (Persona de Contacto). Será el responsable de la seguridad de la organización contratada.
6. Se elimina el Capítulo IV relativo a comunicaciones electrónicas.
7. Se promoverá la implementación de perfiles de cumplimiento. Se trata de un conjunto de medidas de seguridad permitirán una adaptación al ENS más eficaz y eficiente.
8. Se regula y profundiza en las obligaciones en relación con la notificación de incidentes de seguridad; así como los modos de actuación a llevar a cabo por parte del CCN-CERT. Del mismo modo, se recoge la obligación por parte de las organizaciones privadas de notificar cualquier incidente al INCIBE-CERT.
9. Se determina la obligatoriedad de reevaluar anualmente la categoría del sistema.
¿Cuánto tiempo tienen las empresas para adaptarse a esta nueva versión del ENS?
Los sistemas afectados deberán adecuarse a los nuevos cambios propuestos en el RD en un plazo de veinticuatro meses contados a partir de su entrada en vigor.
¿Te interesa este tema o te preocupa tu ciberseguridad? Síguenos en redes SCASSI Ciberseguridad para estar al día de todas nuestras novedades y consúltanos. ¡Estamos aquí para ayudarte!
