Carlos B Fernández. El BOE del 4 de mayo ha publicado el Real Decreto 311/2022, de 3 de mayo (LA LEY 9076/2022), por el se regula el Esquema Nacional de Seguridad. A continuación reseñamos el contenido más relevante de esta norma, que entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado»
Esta norma se orienta a actualizar el Esquema Nacional de Seguridad (ENS) regulado por el Real Decreto 3/2010, de 8 de enero (LA LEY 630/2010), a una nueva realidad en la que la alta dependencia de nuestra sociedad de las tecnologías de la información y de las comunicaciones y la gran interconexión de los sistemas de información, hacen que la seguridad en el ciberespacio se ha convertido en una prioridad estratégica.
Y es que, como señala la Exposición de Motivos del RD 311/2022 (LA LEY 9076/2022), “Desde 2010 se han producido notables cambios en España y en la Unión Europea, incluidos la progresiva transformación digital de nuestra sociedad, el nuevo escenario de la ciberseguridad y el avance de las tecnologías de aplicación”.
En este contexto, “se ha evidenciado que los sistemas de información están expuestos de forma cada vez más intensa a la materialización de amenazas del ciberespacio, advirtiéndose un notable incremento de los ciberataques, tanto en volumen y frecuencia como en sofisticación, con agentes y actores con mayores capacidades técnicas y operativas”.
Esta evolución de las amenazas, junto con “los nuevos vectores de ataque, el desarrollo de modernos mecanismos de respuesta y la necesidad de mantener la conformidad y el alineamiento con las regulaciones europeas y nacionales de aplicación”, exigen adaptar las medidas de seguridad a esta nueva realidad.
Objetivo de la norma
En concreto, la exposición de motivos del RD 31/2022 explica que su finalidad es actualizar el ENS para cumplir tres grandes objetivos:
1. Alinear el ENS con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital conforme a la Estrategia Nacional de Ciberseguridad 2019 y el Plan Nacional de Ciberseguridad.
2. Introducir la capacidad de ajustar los requisitos del ENS, para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza que presentan una multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información y sus servicios.
3. Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad.
Estructura y contenido del RD 311/2022 (LA LEY 9076/2022)
El real decreto se estructura en cuarenta y un artículos distribuidos en siete capítulos, tres disposiciones adicionales, una disposición transitoria, una disposición derogatoria, tres disposiciones finales y cuatro anexos.
Capítulo I - Disposiciones generales (arts. 1 a 4)
Regula el objeto de la norma, su ámbito de aplicación, la referencia a los sistemas de información que traten datos personales y las definiciones aplicables.
El objeto de la norma, como se ha anticipado, es “regular el Esquema Nacional de Seguridad, establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), de Régimen Jurídico del Sector Público”.
Su ámbito de aplicación es “todo el sector público”, en los términos previstos en el artículo 2 de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), y a los que se añaden los sistemas que tratan información clasificada, sin perjuicio de la normativa que resulte de aplicación, pudiendo resultar necesario complementar las medidas de seguridad de este real decreto con otras específicas para tales sistemas, derivadas de los compromisos internacionales contraídos por España o su pertenencia a organismos o foros internacionales en la materia.
Asimismo los requisitos del ENS serán de aplicación a los sistemas de información de las entidades del sector privado, cuando de acuerdo con la normativa aplicable y en virtud de una relación contractual presten servicios a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.
Por ello, los operadores del sector privado que prestan servicios a las entidades del sector público, han de garantizar el mismo nivel de seguridad que se aplica a los sistemas y a la información en el ámbito del sector público, todo ello de conformidad, además, con los especiales requerimientos establecidos tanto en la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), como en la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021).
Por otra parte, a la instalación, despliegue y explotación de redes 5G o la prestación de servicios 5G, además de las previsiones de este real decreto será de aplicación lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo (LA LEY 5834/2022) y, en particular, lo dispuesto en su artículo 17 relativo a la gestión de seguridad por las administraciones públicas, así como su normativa de desarrollo.
En cuanto a los sistemas de información que traten datos personales, el RD 311/2022 (LA LEY 9076/2022) remite a lo dispuesto en el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), o, en su caso, la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, el resto de normativa de aplicación, así como los criterios que se establezcan por la Agencia Española de Protección de Datos o en su ámbito competencial, por las autoridades autonómicas de protección de datos, sin perjuicio de los requisitos establecidos en el presente real decreto.
En estos supuestos, el responsable o el encargado del tratamiento, asesorado por el delegado de protección de datos, realizarán un análisis de riesgos conforme al artículo 24 del RGPD (LA LEY 6637/2016) y, en los supuestos de su artículo 35, una evaluación de impacto en la protección de datos.
Capítulo II – Principios básicos (arts. 5 a 11)
Regula los principios básicos que deben regir el ENS y que enumera en su artículo 5:
a) La seguridad como proceso integral
La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural
b) Una gestión de la seguridad basada en los riesgos
El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.
c) Prevención, detección, respuesta y conservación
La seguridad del sistema debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.
d) Existencia de líneas de defensa
El sistema de información ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas sea comprometida, permita: a) Desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, y b) Minimizar el impacto final sobre el mismo.
e) Vigilancia continua
Que permita la detección de actividades o comportamientos anómalos y su oportuna respuesta.
f) Reevaluación periódica
Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
g) Diferenciación de responsabilidades
Se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
Capítulo III - Política de Seguridad y requisitos mínimos para permitir una protección adecuada de la información y los servicios (arts. 12 a 27)
El art. 12 define la política de seguridad de la información como “el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta”.
La política de seguridad se establecerá de acuerdo con los principios básicos señalados en el capítulo II y se desarrollará aplicando los siguientes requisitos mínimos:
- Organización e implantación del proceso de seguridad (art. 13)
La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización.
- Análisis y gestión de los riesgos (art. 14)
Cada organización que desarrolle e implante sistemas para el tratamiento de la información o la prestación de servicios realizará su propia gestión de riesgos, consistente en un proceso de identificación, análisis, evaluación y tratamiento de los mismos;
- Gestión de personal (art. 15)
El personal, propio o ajeno, relacionado con los sistemas de información sujetos a lo dispuesto en este real decreto, deberá ser formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad.
- Profesionalidad (art. 16)
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
- Autorización y control de los accesos (art. 17)
El acceso controlado a los sistemas de información comprendidos en el ámbito de aplicación de este real decreto deberá estar limitado a los usuarios, procesos, dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.
- Protección de las instalaciones (art. 18)
Los sistemas de información y su infraestructura de comunicaciones asociada deberán permanecer en áreas controladas y disponer de los mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos,
- Adquisición de productos de seguridad y contratación de servicios de seguridad (art. 19)
En la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en los sistemas de información del ámbito de aplicación de este real decreto, se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
- Mínimo privilegio (art. 20)
Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño
- Integridad y actualización del sistema (art. 21)
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa
- Protección de la información almacenada y en tránsito (art. 22)
En la organización e implantación de la seguridad se prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección
- Prevención ante otros sistemas de información interconectados (art. 23)
Se protegerá el perímetro del sistema de información, especialmente, si se conecta a redes públicas, tal y como se definen en la Ley 9/2014, General de Telecomunicaciones (LA LEY 7179/2014), reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
- Registro de la actividad y detección de código dañino (art. 24)
Se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
- Incidentes de seguridad (art. 25)
La entidad titular de los sistemas de información del ámbito de este real decreto dispondrá de procedimientos de gestión de incidentes de seguridad de acuerdo con lo previsto en el artículo 33, la Instrucción Técnica de Seguridad correspondiente y, en caso de tratarse de un operador de servicios esenciales o de un proveedor de servicios digitales, de acuerdo con lo previsto en el anexo del Real Decreto 43/2021, de 26 de enero (LA LEY 1077/2021), por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre (LA LEY 14378/2018), de seguridad de las redes y sistemas de información.
Asimismo, se dispondrá de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.
- Continuidad de la actividad (art. 26)
Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.
- Mejora continua del proceso de seguridad (art. 27)
A continuación, el artículo 28 regula el cumplimiento de los requisitos mínimos, remitiendo a las medidas recogidas en el anexo II, conforme a una serie de consideraciones al efecto. No obstante, tales medidas de seguridad podrán ser reemplazadas por otras compensatorias, siempre y cuando se justifique documentalmente que la protección que aportan es, al menos, equivalente, y satisfacen los principios básicos y requisitos mínimos indicados previamente.
En el artículo 29 se hace un llamamiento a la utilización de infraestructuras y servicios comunes de las administraciones públicas en aras de lograr una mayor eficiencia y retroalimentación de las sinergias de cada colectivo.
Por último, el artículo 30 establece la posibilidad de implementar perfiles de cumplimiento específicos (que comprenderán aquel conjunto de medidas de seguridad que, trayendo causa del preceptivo análisis de riesgos, resulten idóneas para una concreta categoría de seguridad), así como esquemas de acreditación de entidades de implementación de configuraciones seguras.
Capítulo IV - Seguridad de sistemas: auditoría, informe e incidentes de seguridad (arts. 31 a 34)
Según el art. 31, los sistemas de información comprendidos en el ámbito de aplicación de este real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, de acuerdo con los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables a este tipo de actividades. que verifique el cumplimiento de los requerimientos del ENS.
Por su parte, el artículo 32, relativo al informe del estado de la seguridad, precisa que este deberá permitir elaborar un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información, que se plasmará en el informe correspondiente. En esta tarea se destaca el papel de la Comisión Sectorial de Administración Electrónica, así como del CCN y los órganos colegiados competentes en el ámbito de la administración digital en la Administración General del Estado.
La prevención, detección y respuesta a incidentes de seguridad se regula en los artículos 33 y 34, precisando que la respuesta a los incidentes de seguridad se articulará en torno a la estructura denominada CCN-CERT (por su acrónimo en inglés de Computer Emergency Response Team), separando, por un lado, los aspectos relativos a la capacidad de respuesta y, por otro, los relativo a la prestación de los servicios de respuesta a incidentes de seguridad, tanto a las entidades del Sector Público como a las organizaciones del sector privado que les presten servicios.
Capítulo V – Normas de conformidad (arts 35 a 38)
Las normas de conformidad, que se concretan en cuatro:
- Administración Digital (Art. 35)
- Ciclo de vida de servicios y sistemas (art. 36)
- Mecanismos de control (art. 37) y
- Procedimientos de determinación de la conformidad con el ENS (art. 38).
Capítulo VI - Actualización del Esquema Nacional de Seguridad (art. 39)
Establece la obligación de actualización permanente, de acuerdo con el marco jurídico vigente en cada momento, la evolución de la tecnología y los estándares en materia de seguridad y sistemas, así como de las ya mencionadas nuevas amenazas y vectores de ataque.
Capítulo VII - Categorización de los sistemas de información (arts. 40 y 41).
El artículo 40 precisa que las categorías de seguridad se determinarán en función de la valoración del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, siguiendo para ello el procedimiento descrito en el anexo I; y el artículo 41 detalla las facultades al respecto (que corresponderá al responsable o responsables de la información o servicios afectados).
Disposiciones adicionales
Tres disposiciones adicionales regulan, por una parte, los programas de sensibilización, concienciación y formación, dirigidos al personal de las entidades del sector público que desarrollarán el CCN y el Instituto Nacional de Administración Pública.
En segundo lugar se regulan las instrucciones técnicas de seguridad, de obligado cumplimiento y las guías de seguridad de las tecnologías de la información y la comunicación (guías CCN-STIC).
Por último, la tercera disposición adicional establece el cumplimiento del llamado principio de «no causar un perjuicio significativo» al medioambiente (principio DNSH, por sus siglas en inglés, Do No Significant Harm) y las condiciones del etiquetado climático y digital.
Disposición transitoria
La disposición transitoria única fija un plazo de veinticuatro meses para que los sistemas de información del ámbito de aplicación de este real decreto, preexistentes a su entrada en vigor, alcancen su plena adecuación al ENS.
Disposición derogatoria
Se suprime el Real Decreto 3/2010, de 8 de enero (LA LEY 630/2010), así como cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este real decreto.
Disposiciones finales
La norma cuenta con tres disposiciones finales.
La primera de ellas enumera los títulos competenciales.
La segunda habilita a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital para dictar las disposiciones necesarias para la su aplicación y desarrollo, sin perjuicio de las competencias de las comunidades autónomas para el desarrollo y ejecución de la legislación básica del Estado.
La disposición final tercera ordena la entrada en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Anexos
El real decreto se complementa con cuatro anexos:
- El anexo I regula las categorías de seguridad de los sistemas de información, detallando la secuencia de actuaciones para determinar la categoría de seguridad de un sistema;
- El anexo II detalla las medidas de seguridad;
En particular, este anexo detalla las medidas de seguridad estructuradas en tres grupos:
a) el marco organizativo, constituido por el conjunto de medidas relacionadas con la organización global de la seguridad;
b) el marco operacional, formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin, y
c) las medidas de protección, que se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
- El anexo III se ocupa del objeto, niveles e interpretación de la Auditoría de la seguridad y,
- El anexo IV incluye el glosario de términos y definiciones.