Logo de la Universitat de València Logo Servei d'informàtica [SIUV] Logo del portal

Actualitzat l'Esquema Nacional de Seguretat en l'àmbit del sector públic

  • Julio Marti Vento
  • 5 de maig de 2022
Image de la noticia

El Boletín Oficial del Estado, BOE, va publicar ahir el Reial decret 311/2002 de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat. Aquest RD actualitza l'ENS i s'emmarca en el paquet d'actuacions urgents, adoptat el 25 de maig de 2021, per a reforçar les capacitats de defensa enfront de les ciberamenazas sobre el sector públic i les entitats col·laboradores que subministren tecnologies i serveis a aquest.

L'Esquema Nacional de Seguretat vigent fins avui data de 2010 (modificat per Reial decret 951/2015), una etapa amb un context normatiu, social i tecnològic que ha patit una evolució radical. L'ara aprovat estableix la política de seguretat per a la protecció adequada de la informació tractada i els serveis prestats a través d'un plantejament comú de principis bàsics (7), requisits mínims (15), mesures de seguretat i mecanismes de conformitat i monitoratge per a l'Administració Pública, així com per als proveïdors tecnològics del sector privat que col·laboren amb l'Administració.

El nou RD, en el seu article 33, assigna al Centre Criptológico Nacional (CCN) el paper de coordinador públic a nivell estatal de la resposta tècnica dels equips de resposta a incidents, a través del CCN-CERT. S'estableix que “les entitats del sector públic notificaran al CCN aquells incidents que tinguen un impacte significatiu en la seguretat dels seus sistemes d'informació”. Serà el CCN el que “exercirà la coordinació nacional de la resposta tècnica dels CSIRT” i el que determine “el risc de reconexión del sistema o sistemes afectats, indicant els procediments a seguir i les salvaguardes a implementar a fi de reduir l'impacte per a, en la mesura que siga possible, evitar que tornen a donar-se les circumstàncies que el van propiciar”.

Novetats de l'ENS

Entre les novetats del nou ENS es troba la incorporació de la figura del perfil de compliment, l'objectiu del qual és aconseguir una adaptació a l'Esquema més eficaç i eficient, racionalitzant els recursos requerits sense menyscapte de la protecció perseguida i exigible. Per al cas de les Universitats Públiques, s'ha desenvolupat un "Perfil de Compliment Específic per a Universitats": https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/6449-ccn-stic-881a-perfil-cumplimiento-especifico-universidades.html

De la mateixa manera, s'inclou l'establiment d'un protocol d'actuació davant ciberincidentes, on s'estableixen les condicions de notificació al CCN-CERT, i un nou sistema de codificació dels requisits de les mesures de seguretat, l'objecte de la qual és facilitar de manera proporcionada la seguretat dels sistemes d'informació, la seua implantació i la seua auditoria.