El Gobierno actualiza el Esquema Nacional de Seguridad para la Administración en pleno escándalo por Pegasus: estas son las claves

En medio de la polémica generada en torno al espionaje a dirigentes independentistas y miembros del Gobierno a través del programa informático Pegasus, el Consejo de Ministros ha aprobado el real decreto por el que se regula el Esquema Nacional de Seguridad (ENS), actualizando el de 2010.

A través de este documento queda establecida la política de seguridad para la protección de la información. Entre las novedades que introduce se encuentran algunas como el objetivo de adecuar el ENS para garantizar la seguridad en la administración digital, la actualización de las medidas para mejorar las necesidades de ciberseguridad o nuevas medidas relativas a servicios en la nube. Novedades que, según los expertos, serán de aplicación también para las empresas que contraten con la Administración Pública.

Se trata de una medida enmarcada en el paquete de actuaciones urgentes para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo aprobado en mayo de 2021.

A quién se aplica. A todo el sector público y a los sistemas de información de las entidades del sector privado que presten servicios a este. Por otra parte, a los sistemas que tratan información clasificada –sin perjuicio de la aplicación de la Ley de Secretos Oficiales– y cuando las entidades del sector público lleven a cabo la instalación, despliegue y explotación de redes 5G.

Por qué es importante. La Administración Pública, cada vez más digitalizada, requiere de nuevos protocolos que se actualicen periódicamente para proteger la seguridad de sus sistemas informáticos y los datos que manejan. Además, actualiza la normativa a este respecto, vigente desde 2010.

¿Qué es el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad establece las condiciones necesarias de seguridad en el uso de medios electrónicos para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, con el fin de permitir el ejercicio de derechos y el cumplimiento de deberes de los ciudadanos a través de ellos.

Normativa anterior. Fue establecido por primera vez en 2017 en la Ley de acceso electrónico de los ciudadanos a los Servicios Públicos. Hasta ahora, estaba regulado mediante un real decreto de 2010, que fue modificado en 2015 para actualizarlo a los nuevos requisitos surgidos de la evolución de la tecnología y las ciberamenazas, así como al contexto regulatorio internacional y europeo.

Puntos clave del Esquema Nacional de Seguridad 

La actualización del Esquema Nacional de Seguridad trata de cumplir, fundamentalmente, tres objetivos:

• Adecuación al contexto estratégico. El fin principal es delimitar “con claridad” el ámbito de aplicación del ENS, eliminar los aspectos que puedan considerarse excesivos y añadir los necesarios conforme a la Estrategia Nacional de Ciberseguridad y el Plan Nacional de Ciberseguridad.
• Adaptación a determinados colectivos y sistemas. Con ello, busca cubrir la multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información.
• Mejorar la respuesta. El tercer objetivo pasa por perfeccionar la reacción ante las nuevas tendencias en ciberseguridad, reducir las vulnerabilidades y promover la vigilancia continua.

Además, este real decreto regulador del Esquema Nacional de Seguridad se enmarca en la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025, uno de los instrumentos principales para el cumplimiento del Plan de Recuperación, Transformación y Resiliencia y su componente 11, relativo a la modernización de las Administraciones Públicas.

¿Qué novedades presenta?

Entre los cambios que introduce el nuevo Esquema Nacional de Seguridad se encuentran varias novedades. Samuel Parra, abogado especializado en ciberseguridad y socio en ÉGIDA, explica a Newtral.es que una de las más relevantes tiene que ver con su ámbito de aplicación, es decir, quién tiene que cumplir con él.

“Con la redacción dada en el nuevo Esquema Nacional de Seguridad no solo va a tener que cumplir con los requisitos de seguridad la Administración Pública, sino también las empresas privadas cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas”, señala.

Añade, además, que los pliegos de los contratos públicos deberán contemplar todos los requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información de los contratistas.

Por otra parte, Parra destaca que se han introducido nuevos ámbitos de seguridad y entornos en los que desplegar estas medidas como los servicios en la nube o la protección de la cadena de suministro, vigilancia y dispositivos conectados a la red.

“Se han agregado algunos riesgos que hasta ahora no se contemplaban como la captación de información a través de las emisiones electromagnéticas. Desde hace años existe tecnología capaz de interpretar el contenido de un monitor por las emisiones que produce, de forma que con las herramientas adecuadas sería posible ‘ver’ el contenido de un monitor a través de una pared”, explica.

También sostiene la importancia de las obligaciones específicas que se han introducido en materia de protección de datos cuando un sistema de información trate datos personales, lo que obligará a que se realice un análisis de riesgos de conformidad con la normativa de protección de datos.

¿Cuáles son sus principios básicos?

El punto de partida del Esquema Nacional de Seguridad es garantizar que una organización pueda desarrollar sus funciones utilizando sistemas de información. Por ello, tal y como establece el real decreto, este se articula en torno a los siguientes principios básicos:

• Seguridad como proceso integral. Es decir, constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información.
• Gestión de riesgos. Este principio busca mantener el control del entorno y minimizar los riesgos.
• Prevención, detección, respuesta y conservación, con el fin de que las amenazas no lleguen a materializarse o que, en el caso de hacerlo, no afecten gravemente.
• Líneas de defensa. El sistema de información debe contar con múltiples capas de seguridad para su protección. 
• Vigilancia continua. Es el único principio básico que se ha introducido en esta nueva normativa respecto a la de 2010. Con ello, se pretende detectar actividades anómalas y anticiparse a los posibles riesgos.
• Reevaluación periódica. Esto es, llevar a cabo una evaluación permanente de las vulnerabilidades del sistema.
• Diferenciación de responsabilidades. En los sistemas de información se diferenciarán el responsable de la información, el del servicio, el de la seguridad y el del sistema.

La Comisión Sectorial de Administración Electrónica, encargada del informe del estado de la seguridad

Otro de los puntos recogidos en este real decreto respecto al Esquema Nacional de Seguridad hace referencia a la auditoría de la seguridad, el informe del estado de la misma y la respuesta a incidentes. En concreto, establece que la Comisión Sectorial de Administración Electrónica –órgano técnico para la cooperación del Estado con las comunidades autónomas y entidades locales en materia de administración digital– recopilará la información de las principales variables de la ciberseguridad.

El resultado será un informe, cuyos resultados serán utilizados por las autoridades competentes para impulsar las medidas oportunas. Por su parte, el Centro Criptológico Nacional (CCN), del Centro Nacional de Inteligencia (CNI) será el organismo encargado de dar respuesta a los incidentes de seguridad de entidades del sector público.

Sin embargo, de acuerdo con lo establecido en la normativa reguladora del Esquema Nacional de Seguridad, en el caso de las entidades del sector privado que presten servicios a las entidades públicas, notificarán la respuesta a incidentes de seguridad al Instituto Nacional de Ciberseguridad de España (INCIBE).