El día 15 de este mes, se ha elevado a comentarios públicos el Proyecto de Real Decreto (PRD) por el que se regula el Esquema Nacional de Seguridad, actualizando su anterior versión.

La necesidad de actualizar el Esquema Nacional de Seguridad se suscita atendiendo a tres grandes cuestiones:

ALINEAMIENTO

Alinear el ENS con el marco legal y el contexto estratégico a la fecha para facilitar la seguridad en la administración digital. Se trata de reflejar con claridad el ámbito de aplicación del ENS alineándolo con el contexto estratégico establecido en la Estrategia Nacional de Ciberseguridad 2019 y con lo aprendido estos años de desarrollo e implantación del ENS, mejorando diversos aspectos del cuerpo que requieren modificación para simplificar, precisar o armonizar, eliminar aspectos excesivos, o añadir aquellos que se identifican como necesarios.

En esta cuestión es muy relevante ver como el alcance (tanto el subjetivo -quién-, como el objetivo -sobre qué-) se amplían notablemente respecto a la anterior ley; en realidad consolida en su texto la ampliación que ya se le había dado en la Ley 40/2015, con la importante salvedad de la referencia al sector privado que el ENS hace, en referencia a la prestación de servicios de competencia pública  y que es de nuevo cuño.

PERFILES DE CUMPLIMIENTO ESPECIFICO

Mediante  la definición de  los mismos el legislador persigue la capacidad de ajustar los requisitos del ENS para adaptarse a la realidad de ciertos colectivos o tipos de sistemas,  atendiendo a la semejanza que presentan una multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información y servicios, que aconseja la inclusión en el ENS del concepto de “perfil de cumplimiento específico” que, aprobados por el Centro Criptológico Nacional (CCN), permitan alcanzar una  adaptación al ENS más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible.

MEJORA DE LA RESPUESTA

Se persigue actualizar el ENS para facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua, mediante la revisión, a la luz del estado del arte, de los principios básicos, los requisitos mínimos y las medidas de seguridad. Así, se han producido pequeños cambios en las medidas (controles) de seguridad, produciéndose una recategorización de algunos de ellos, la desaparición de alguno que se ha quedado obsoleto y de la aparición de la protección de los servicios en la nube. El número de controles es prácticamente el mismo; uno menos 74 en lugar de 75.

Otros cambios en la búsqueda de este objetivo , de mejora de la respuesta, no son menores; citemos por ejemplo:

• Un mayor papel, si cabe, del CCN en la gestión de los incidentes. Así en el artículo 33, Capacidad de respuesta a incidentes de seguridad de la información, se estipula que el CCN-CERT determinará técnicamente el riesgo de reconexión de un sistema y elaborará un informe de superficie de exposición del CCN-CERT que servirá como soporte para la toma de decisión de reconexión.

• Una mayor concreción de las obligaciones de las organizaciones del sector privado que presten servicios a las entidades pública. En algún caso ya estaban presentes como instrucciones de secretaría de estado, mientras que otras son de nuevo cuño. En relación con este último caso, citaremos tanto la necesidad de establecer por parte del adjudicatario para el servicio adjudicado un punto de contacto de seguridad de interlocución con la entidad pública que le ha contratado dicho servicio, como la obligación de notificar al INCIBE-CERT los incidentes que afecten a organismos públicos de los que formen parte como cadena de suministro.

El Punto de contacto de seguridad de los prestadores de servicios, seguro que extenderá la necesidad de la práctica de la seguridad en aquellas empresas de la cadena de suministro que aún no disponen de un CISO o incluso que carecen de cualquier tipo de personal capacitado en este campo.

• Una obligación práctica para que el ENS se implemente realmente, a través de las contrataciones del estado. Así, en la Disposición adicional tercera, Conformidad con el Esquema Nacional de Seguridad de los servicios prestados por terceros pertenecientes al sector privado, se fija que los Pliegos de Prescripciones Administrativas y/o Técnicas que regulen los procedimientos de contratación que publiquen las entidades del ámbito de aplicación del RD, contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por terceros.

Si deseas enviarnos tus comentarios sobre el Proyecto de Real Decreto Ley, puedes hacérnoslas llegar a coordinacion@ismsforum.es