El Consejo de Ministros ha aprobado, a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, un Real Decreto que actualiza el Esquema Nacional de Seguridad (ENS), y se enmarca en el paquete de actuaciones urgentes, adoptado el 25 de mayo, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo.

El Esquema Nacional de Seguridad vigente hasta la fecha data de 2010, una etapa con un contexto normativo, social y tecnológico que ha sufrido una evolución radical.

El ENS establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización, para la administración pública, así como los proveedores tecnológicos del sector privado que colaboran con la administración.

Entre las novedades que introduce el Real Decreto figuran:

• la adecuación del ENS al nuevo marco normativo y al contexto estratégico existente para garantizar la seguridad en la Administración Digital;
• el ajuste de los requisitos a necesidades, colectivos de entidades y ámbitos tecnológicos para una aplicación más eficaz y eficiente;
• la actualización de los principios básicos y las medidas de seguridad para facilitar una mejor respuesta a las nuevas tendencias y necesidades de ciberseguridad.

Con el nuevo texto normativo se persigue garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación, reduciendo vulnerabilidades y promoviendo la vigilancia continua, estableciendo a su vez mecanismos de respuesta y medidas de seguridad óptimas, dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales.

Entre las nuevas medidas de seguridad, por ejemplo, se han incluido las relativas a servicios en la nube, interconexión de sistemas, protección de la cadena de suministro, medios alternativos, vigilancia y otros dispositivos conectados a la red.

Informe del estado de la seguridad

El Real Decreto recoge que la Comisión Sectorial de Administración Electrónica, órgano técnico para la cooperación del Estado con las comunidades autónomas y entidades locales en materia de administración digital, recopilará la información de las principales variables de la ciberseguridad.

Los resultados del informe serán utilizados por las autoridades competentes que impulsarán las medidas oportunas que faciliten la mejora continua del estado de la seguridad.

El Centro Criptológico Nacional (CCN), del Centro Nacional de Inteligencia (CNI) adscrito al Ministerio de Defensa, articulará la respuesta a los incidentes de seguridad de entidades del sector público. Por su parte, las entidades del sector privado que presten servicios a las entidades públicas notificarán la respuesta a incidentes de seguridad al Instituto Nacional de Ciberseguridad de España (INCIBE).

Para el desarrollo del Real Decreto, la Secretaría de Estado de Digitalización e Inteligencia Artificial, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento, que tendrán en cuenta las normas armonizadas europeas aplicables.

La aprobación de este Real Decreto se incardina también en la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025, uno de los instrumentos principales para el cumplimiento del Plan de Recuperación, Transformación y Resiliencia y su Componente 11 denominado “Modernización de las Administraciones Públicas”, así como para el desarrollo de las inversiones y reformas previstas en la agenda España Digital.

El Plan de Digitalización contempla expresamente, entre sus reformas, la actualización del ENS con el fin de hacer evolucionar la política de seguridad de todas las entidades del sector público español, tomando en cuenta las regulaciones de la Unión Europea dirigidas a incrementar el nivel de ciberseguridad de los sistemas de información.