Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Fecha de publicación: 04/05/2022
• El Real Decreto 311/2022, de 3 de mayo, asigna al Centro Criptológico Nacional el papel de coordinador público a nivel estatal de la respuesta técnica de los equipos de respuesta a incidentes, a través del CCN-CERT; el desarrollo de programas de sensibilización, concienciación y formación dirigidos al personal de las entidades del sector público y la divulgación de buenas prácticas y avisos de ciberseguridad.
• Entre las novedades del nuevo ENS se encuentra la incorporación de la figura del perfil de cumplimiento, el establecimiento de un protocolo de actuación ante ciberincidentes y un nuevo sistema de codificación de los requisitos de las medidas de seguridad.
El Boletín Oficial del Estado, BOE, ha publicado hoy el Real Decreto 311/2002 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Este RD actualiza el ENS y se enmarca en el paquete de actuaciones urgentes, adoptado el 25 de mayo de 2021, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.
El Esquema Nacional de Seguridad vigente hasta la fecha data de 2010, una etapa con un contexto normativo, social y tecnológico que ha sufrido una evolución radical. El ahora aprobado establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos (7), requisitos mínimos (15), medidas de seguridad y mecanismos de conformidad y monitorización para la Administración Pública, así como para los proveedores tecnológicos del sector privado que colaboran con la Administración.
El nuevo RD, en su artículo 33, asigna al Centro Criptológico Nacional (CCN) el papel de coordinador público a nivel estatal de la respuesta técnica de los equipos de respuesta a incidentes, a través del CCN-CERT. Se establece que “las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información”. Será el CCN el que “ejercerá la coordinación nacional de la respuesta técnica de los CSIRT” y el que determine “el riesgo de reconexión del sistema o sistemas afectados, indicando los procedimientos a seguir y las salvaguardas a implementar con objeto de reducir el impacto para, en la medida de lo posible, evitar que vuelvan a darse las circunstancias que lo propiciaron”.
Novedades del ENS
Entre las novedades del nuevo ENS se encuentra la incorporación de la figura del perfil de cumplimiento, cuyo objetivo es alcanzar una adaptación al Esquema más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible.
Del mismo modo, se incluye el establecimiento de un protocolo de actuación ante ciberincidentes, donde se establecen las condiciones de notificación al CCN-CERT, y un nuevo sistema de codificación de los requisitos de las medidas de seguridad, cuyo objeto es facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.
Más información
Atentamente,
Equipo CCN-CERT