FAQ
L'objectiu d'aquesta secció és proporcionar a les organitzacions de l'àmbit d'aplicació del Reial decret 311/2022,de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat, pertanyin tant al sector públic com al privat, un mecanisme per a resoldre de manera ràpida i eficaç aquells dubtes que sorgeixen habitualment entorn del compliment, l'adequació i la certificació dels sistemes d'informació de què es tracti a les disposicions del citat cos legal.
Per tant, els textos continguts en la present secció no han de considerar-se normes imperatives ni, de cap manera, normes pertanyents a l'ordenament jurídic relatiu a l'Esquema Nacional de Seguretat.
Des del 5 de maig de 2022, en virtut de l'assenyalat pel RD 311/2022, de 3 de maig, el Reial decret 3/2010, de 8 de gener, ha quedat derogat. No obstant això, per a facilitar una transició ordenada i la necessària adequació de les Entitats de Certificació al nou marc normatiu, tal com ha comunicat el CCN, els sistemes d'informació preexistents a l'entrada en vigor del RD 311/2022 podran, fins al 5 de maig de 2024, continuar utilitzant el procediment de certificació contra l'RD 3/2010, de 8 de gener, sabent que la data màxima de validesa dels certificats així emesos no podrà superar el 5.5.2024. Per part seva, la certificació contra l'RD 311/2022, de 3 de maig, podrà escometre's des de l'1 de desembre de 2022 i les certificacions tindran la validesa habitual de dos anys naturals.

El ENS, sobre la base de l'establiment i desenvolupament d'uns principis bàsics i uns requisits mínims, proporciona a les organitzacions que disposin dels seus sistemes d'informació conformes a les seves disposicions i gestionats en l'exercici de les seves competències, una protecció adequada dels serveis prestats i de la informació tractada per aquests, a fi d'assegurar l'accés, la confidencialitat, la integritat, la traçabilitat, l'autenticitat, la disponibilitat i la conservació de les dades, la informació i els serveis recolzats directament o indirectament en mitjans electrònics.
Tant per a les organitzacions del sector públic com per a les pertanyents al sector privat que els aporten solucions o els presten serveis competencials, el que es disposa en el *ENS permet satisfer els principis d'actuació i els requisits de seguretat de les Administracions Públiques que els permetin aconseguir els seus objectius.
Per als ciutadans, destinataris últims del servei públic, suposa la garantia que les entitats públiques amb les quals es relacionen reuneixen les condicions de seguretat necessàries per a salvaguardar la seva informació i els seus drets.L'Esquema Nacional de Seguretat, tal com està recollit en el seu art. 2, resulta d'aplicació a les entitats del sector públic, a les entitats del sector privat que els prestin serveis competencials i, en general, a la cadena de subministrament d'aquestes últimes, en la mesura que una anàlisi de riscos previ així ho determini.
A més, cal recordar que les mesures del *ENS són així mateix d'aplicació per a aquelles entitats que determina la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades i garanties dels drets digitals, quan es realitzin tractaments de dades personals.
Finalment, el *ENS també és aplicable als sistemes que tracten informació classificada, podent resultar necessari adoptar mesures complementàries de seguretat, específiques per a aquests sistemes que així mateix estan subjectes a la Llei 9/1968, de 5 d'abril, de Secrets Oficials (*LSO), i les derivades dels compromisos internacionals contrets per Espanya, o conseqüència de la seva pertinença a organismes o fòrums internacionals.L'Esquema Nacional de seguretat està regulat específicament per la següent normativa:
- Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat.
- Resolució de 27 de març de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la Instrucció Tècnica de Seguretat d'Auditoria de la Seguretat dels Sistemes d'Informació.
- Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció de Seguretat de conformitat amb l'Esquema Nacional de Seguretat.
- Resolució de 7 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat d'Informe de l'Estat de la Seguretat.
- Resolució de 13 d'abril de 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat.
Les Guies CCN-STIC, classificades en diverses Sèries, comprenen un conjunt de documents, instruccions, guies i bones pràctiques recomanades, desenvolupades pel Centre Criptológico Nacional a fi de proporcionar a les organitzacions eines adequades per a millorar el grau de ciberseguretat dels seus sistemes d'informació. Més concretament, la Sèrie CCN-STIC 800 comprèn un conjunt de guies per a afavorir la implementació del ENS i com a ajuda per a un millor compliment de les seves disposicions.
En la solució INES/AMPARO del CCN, s'inclouen plantilles de pràcticament tots els documents rellevants que poden arribar a requerir-se per a elaborar el Pla d'Adequació del ENS i la seva implantació pràctica, especialment orientats a la capa de gestió de la seguretat de la informació aplicada sobre el/els sistema(s) d'informació.
Si la seva organització es troba comprès en l'àmbit d'aplicació del ENS, ha de complir amb el que s'estableix en el Reial decret 311/2022. Per a això, ha de començar el procés d'adequació al ENS i, com a primer pas, haurà d'escometre l'aprovació de la Política de Seguretat de la Informació (PSI) de l'organització, assignant els rols que determina el ENS.
µCeENS és una metodologia innovadora que es beneficia de les novetats del RD 311/2022, de 3 de maig, per a facilitar l'obtenció de la Certificació de Conformitat en l'Esquema Nacional de Seguretat (ENS) sobre la base d'un Perfil de Compliment Específic (PCE).
Amb aquesta metodologia es proporciona l'acompanyament i l'assistència necessària per a aconseguir la Certificació de Conformitat amb el ENS des de la fase prèvia a l'adequació, fins al cap de la seva obtenció, tot això automatitzat en les eines de Governança de la Ciberseguretat (INES-AMPARO).
El Pla d'Adequació és un conjunt ordenat d'accions tendents a satisfer l'exigit pel ENS. Aquest Pla haurà de contemplar les següents fases:
- Preparar i aprovar la Política de Seguretat de la Informació (PSI) i la Normativa Interna de Seguretat, incloent-hi la definició de rols i l'assignació de responsabilitats a aquests. Si es tracta de sistemes que manegen informació classificada, així mateix s'atendrà criteris addicionals d'organització de la seguretat.
- Analitzar i categoritzar els sistemes d'informació, atesa la valoració de la informació manejada, tenint en compte si inclou dades de caràcter personal, i la valoració dels serveis prestats.
- Preparar la Declaració d'Aplicabilitat Inicial de les mesures de l'Annex II del ENS atenent, si escau, a determinat Perfil de Compliment al qual pugui adscriure's el/els sistema(s) d'informació.
- Desenvolupar una Anàlisi de Riscos, a fi de verificar que les mesures de seguretat derivades de la Declaració d'Aplicabilitat Inicial són adequades i suficients.
- Obtenir la Declaració d'Aplicabilitat definitiva.
- Iniciar les accions tendents a la implantació de la resta de les mesures exigides per al nivell de seguretat i la categoria de seguretat definides.
La Política de Seguretat de la Informació (PSI) és un document d'alt nivell que mostra el compromís d'una organització amb la seguretat de la informació i determina el conjunt de directrius que regeixen la forma en què una organització gestiona i protegeix la informació que tracta i els serveis que presta. Aquest document ha d'estar accessible per tots els membres de l'organització i redactat de manera senzilla, precisa i comprensible.
En tractar-se d'un document d'alt nivell en l'organització convé que sigui breu, deixant els detalls tècnics per a altres documents normatius que la desenvolupin. Com es tracta d'un document públic no ha de posar de manifest vulnerabilitats que puguin ser explotades per actors maliciosos.
La política de seguretat, en aplicació del principi de diferenciació de responsabilitats a què es refereix l'article 11 del ENS, haurà de ser coneguda per totes les persones que formin part de l'organització i definir de manera inequívoca als rols responsables de vetllar pel seu compliment. Una pràctica addicional comuna consisteix en el fet que es trobi accessible des de la pàgina Web, portal o seu electrònica de l'organització i, per a determinats organismes públics, publicar-la en el Butlletí Oficial de l'Estat (BOE), Butlletí de la Comunitat Autònoma, o Butlletí Oficial de la Província (BOP), segons correspongui.
Aquesta norma serà aprovada per la Direcció General de l'organització (òrgan superior de què es tracti, en el Sector Públic), i es plasmarà en un document escrit, en el qual, de manera clara, es precisi, almenys, el següent:
- Els objectius o missió de l'organització.
- El marc legal i regulador en el qual es desenvoluparan les activitats.
- Els rols o funcions de seguretat, definint per a cadascun, els deures i responsabilitats del càrrec, així com el procediment per a la seva designació i renovació.
- L'estructura del comitè o els comitès per a la gestió i coordinació de la seguretat, detallant el seu àmbit de responsabilitat, els membres i la relació amb altres elements de l'organització.
Les directrius per a l'estructuració de la documentació de seguretat del sistema, la seva gestió i accés.
El rols del ENS són els assumits per les persones responsables de vetllar pel seu compliment, sobre la base de la diferenciació de responsabilitats que assenyala l'article 11 del ENS i considerant que la responsabilitat de la seguretat dels sistemes d'informació ha d'estar diferenciada de la responsabilitat sobre la seva explotació.
Concretament, es diferenciarà el responsable de la informació, el responsable del servei, el responsable de la seguretat i el responsable del sistema, principalment.
Com s'ha indicat respecte a la Política de Seguretat de la Informació (PSI) de l'organització, aquesta detallarà les atribucions de cada responsable i els mecanismes de coordinació i resolució de conflictes.
A manera de resum:
- El responsable del servei determinarà els requisits dels serveis prestats
- El responsable de la informació determinarà els requisits de la informació tractada. Els rols del responsable de la informació i el responsable del servei poden concórrer en la mateixa persona física que actuï en la seva representació.
- El responsable de la seguretat determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis, supervisarà la implantació de les mesures necessàries per a garantir que se satisfan els requisits, i reportarà sobre aquestes qüestions al Comitè de Seguretat de la Informació.
- El responsable del sistema, per si o a través de recursos propis o contractats, s'encarregarà de desenvolupar la forma concreta d'implementar la seguretat en el sistema i de la supervisió de l'operació diària d'aquest, podent delegar en administradors o operadors sota la seva responsabilitat.
El responsable de la seguretat serà diferent del responsable del sistema, no havent d'existir dependència jeràrquica entre tots dos. Si a causa de la grandària i manca de recursos de l'organització no és possible, hauran d'aplicar-se les mesures compensatòries convenients per a garantir la diferenciació de responsabilitats i absència de conflicte d'interès.
Així mateix, el ENS preveu la figura de l'Administrador de Seguretat (ASEG) com a recurs per a aquelles organitzacions en les quals el Responsable de Seguretat (RSEG) no tingui tots els coneixements tècnics necessaris i pugui secundar-se en ell. En aquest cas, el RSEG tindrà un acompliment més estratègic mentre que el ASEG el tindrà més operatiu. Un exemple seria una EE.LL. que nomenés el Secretari de l'Ajuntament com RSEG, el qual haurà de secundar-se en un ASEG intern, o extern contractat en modalitat de prestació de serveis.
De cara a instrumentalitzar l'organització de la seguretat d'una entitat, es poden crear comitès, que s'articularan i funcionaran com a òrgans col·legiats d'acord amb la normativa administrativa.
El Comitè de Seguretat de la Informació, es responsabilitza d'alinear les activitats de l'organització en matèria de seguretat de la informació.
La seva composició inclourà com a mínim a tots els rols del ENS (responsable del servei, responsable de la informació, responsable de la seguretat i responsable del sistema). És una bona pràctica incloure al Delegat de Protecció de Dades (DPD), pel fet que la disposició addicional primera de la LOPD-GDD determina que, en el sector públic i privat vinculat, les mesures de seguretat del ENS s'empraran per a protegir la informació de naturalesa personal, per la qual cosa el DPD té interessos comuns respecte al ENS.
En aquelles organitzacions en què existeixi un Comitè de Seguretat Corporativa, la responsabilitat de la qual sigui alinear totes les activitats de l'organització en matèria de seguretat, com és la seguretat patrimonial, la seguretat física, etc., el Comitè de Seguretat de la Informació podria arribar a incloure's en ell.
Així mateix, en grans organitzacions pot ser útil desglossar en dues el Comitè de Seguretat de la Informació: Un Comitè més orientat a la Direcció de la Seguretat, amb potestat d'adoptar qualsevol decisió en l'àmbit de les seves competències i un altre Comitè Tècnic, més orientat al dia a dia de la seguretat i el seu seguiment continuat. Aquesta distribució permet en el seu conjunt un acompliment més pròxim a l'organització.
El ENS no preveu sancions per incompliment. No obstant això, com succeeix amb la resta de la legislació d'aplicació a les Administracions Públiques, la inexistència (o inaplicabilitat, en el seu cas) d'un règim sancionador no obsta perquè persisteixi la denominada Responsabilitat Patrimonial de les Administracions Públiques, en virtut de la qual el ciutadà ha de ser rescabalat dels danys patrimonials que sofreixi a conseqüència de danys ocasionats per acció o omissió de les Administracions Públiques, sabent que, en tot cas, el mal al·legat, haurà de ser efectiu, avaluable econòmicament i individualitzat en relació amb una persona o grup de persones.
La responsabilitat de les Administracions Públiques, en el nostre ordenament jurídic, té la seva base no sols en el principi genèric de la tutela efectiva que en l'exercici dels drets i interessos legítims ve reconegut en l'art. 24, CE sinó també, en l'art. 106.2, CE en disposar que els particulars, en els termes establerts per la Llei, tindran dret a ser indemnitzats per tota lesió que sofreixin en qualssevol dels seus béns i drets, excepte els casos de força major, sempre que sigui conseqüència del funcionament dels serveis públics.
Les Administracions Públiques indemnitzaran als particulars per l'aplicació d'actes legislatius de naturalesa no expropiatòria de dret i que aquests no tinguin el deure jurídic de suportar, quan així s'estableixin en els propis actes legislatius i en els termes que especifiquin aquests actes.
No obstant l'anterior, el comportament inadequat de l'Administració pot haver-se de també a una negligència o falta de la deguda diligència per part dels empleats públics, raó per la qual, però al marge de l'avantdita Responsabilitat Patrimonial de les Administracions Públiques, el funcionari incomplidor podria ser sotmès a les sancions disciplinàries a les quals pertoqués, circumstància que es dona no sols en el cas del Responsable de la Seguretat, sinó en qualsevol altre lloc o càrrec públic.
En l'actualitat, el ENS no estableix cap requisit per a ser nomenat Responsable de Seguretat (RSEG) més enllà de la deguda competència per a l'acompliment de les funcions com a tal.
No obstant això, indicar que en el marc del Fòrum Nacional de Ciberseguretat (FNCS) s'ha definit l'Esquema Nacional de Responsables de Ciberseguretat, que si bé ja es pot consultar en la pàgina web del FNCS, encara no ha estat promulgat oficialment. Quan això ocorri, l'Entitat Nacional d'Acreditació (ENAC) supervisarà la instrumentalització d'aquest esquema de certificació de persones que, igual que ocorre amb la certificació de DPD, serà voluntari.
Les categories dels sistemes d'informació en el ENS i com determinar-la està definit en l'Annex I del Reial decret 311/2022. En ell s'indica que la categoria d'un sistema es basa en la valoració de l'impacte que tindria sobre l'organització un incident que afectés la seguretat de la informació tractada o dels serveis prestats per a:
a) Aconseguir els seus objectius.b) Protegir els actius al seu càrrec.
c) Garantir la conformitat amb l'ordenament jurídic.
L'anàlisi de riscos de seguretat és un procés sistemàtic per a estimar la magnitud dels riscos al fet que estan exposats els sistemes d'informació d'una organització.
El nivell d'exigència en la gestió de riscos orientada a la seguretat dependrà de la categoria del sistema, bastant per a categoria BÀSICA una anàlisi informal.
Com a sistemàtica generalitzada, en una primera fase denominada d'identificació, es determinen els actius més rellevants del sistema i, per a cadascun d'ells, les amenaces possibles. Seguidament, en una segona fase denominada d'anàlisi, s'obté el valor del risc per a cada binomi (actiu – amenaça) en funció de la probabilitat estimada que es materialitzi l'amenaça i de l'impacte o degradació de l'actiu cas que finalment així ocorri. A continuació, comparant cada valor de risc obtingut amb l'anomenat llindar o apetit de risc definit en l'organització, s'avaluaran aquells riscos considerats inacceptables, que hauran de tractar-se per a, si és possible, reduir-se a valors per sota del llindar.
Existeixen diverses maneres de tractar els riscos avaluats com a inacceptables: evitant les circumstàncies que ho provoquen, reduint les possibilitats que ocorrin, delimitant les seves conseqüències, transferint-ho o compartint-ho amb una altra organització, o fins i tot, acceptant que pugui ocórrer i preveient recursos per a actuar quan sigui necessari.
Per a seguiment de les accions de tractament o mitigació, se sol establir un Pla de Tractament de Riscos (PTR) que conté l'estat de cada acció, el responsable, la data prevista d'inici i final, els recursos necessaris, etc.
En algunes organitzacions, el PTR s'inclou, en tot o en part, en l'anomenat Pla Director de Seguretat que, implantat i operat, haurà de satisfer el nivell de risc que accepta la Direcció de l'organització.
El ENS no imposa cap metodologia concreta per a l'anàlisi i gestió dels riscos més enllà de la necessitat d'utilitzar una metodologia reconeguda, la funcionalitat i els resultats de la qual puguin ser contrastables.
La metodologia MAGERIT està molt evolucionada i estesa en el sector públic, havent-hi altres metodologies i normes genèriques, com pot ser l'ISO 31000:2018 sobre directrius per a la gestió del risc, que no es contradiuen, sinó que més aviat es complementen.
En l'àmbit del ENS, és el document en el qual es formalitza la relació de mesures de seguretat recollides en l'Annex II del Reial decret 311/2022, que resulten d'aplicació al sistema d'informació de què es tracti, conforme a la seva categoria. Ha d'estar aprovada mitjançant la seva subscripció per part del responsable de la seguretat (RSEG) o, en el seu cas, per una acta del Comitè de Seguretat del qual forma part el RSEG.
Addicionalment, tal com s'assenyala en l'article 28.2 del ENS, les mesures de seguretat taxades en funció de la categoria del sistema, concretades mitjançant requisits basi i reforços obligatoris, podran ser complementats amb reforços obligatoris per a una categoria superior o amb reforços opcionals, si així es requereix per a tractar riscos concrets avaluats com a inacceptables en l'organització. Així mateix, es podran incloure mesures de seguretat establertes únicament per a categories superiors. En aquest cas es reflectiran així mateix en la Declaració d'Aplicabilitat.
Al contrari, determinades mesures de seguretat establertes per a la categoria del sistema, podran obviar-se si s'evidencia que no tenen aplicació en el sistema d'informació, com és el cas, per exemple, dels segells de temps per a categoria ALTA, que no s'utilitzen en totes les organitzacions. Haurà de justificar-se en la Declaració d'Aplicabilitat.
Així mateix, les mesures de seguretat referenciades en l'annex II del ENS podran ser reemplaçades per altres compensatòries, sempre que es justifiqui documentalment que protegeixen, igual o millor, del risc sobre els actius. Es faran constar en la Declaració d'Aplicabilitat, vinculant l'estudi elaborat segons es determina en la guia CCN-STIC 819 sobre mesures compensatòries.
Finalment, es podran establir mesures complementàries de vigilància, durant un limitat període temporal necessari a vegades per a implementar completament una mesura de seguretat. Aquestes mesures complementàries aconsegueixen compensar la situació provisional de la mesura. Han de reflectir-se també en la Declaració d'Aplicabilitat.
Un Perfil de Compliment Específic (PCE) és un conjunt de mesures de seguretat, compreses o no en el Reial decret 311/2022 que, a conseqüència de la preceptiva anàlisi de riscos, resultin d'aplicació a una entitat o sector d'activitat concreta i per a una determinada categoria de seguretat.
Els PCE han de ser aprovats pel Centre Criptológico Nacional, permetent aconseguir una adaptació del ENS més eficaç i eficient, racionalitzant els recursos requerits sense menyscapte de la protecció perseguida i exigible.
Quan la implementació d'un PCE requereixi configuracions de seguretat específiques, en funció de les diferents tecnologies, es publicarà juntament amb les corresponents Guies STIC de Configuració.
El procediment per a obtenir la conformitat amb l'Esquema Nacional de Seguretat està regulat en l'article 38 del ENS, així com en la resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat (ITS) de conformitat amb l'Esquema Nacional de Seguretat. Aquesta ITS es troba en procés de revisió per a adequar-la al Reial decret 311/2022.
Com a resum, existeixen dues vies diferenciades:
- La Certificació de Conformitat, vàlida per a totes les categories del sistema (BÀSICA, MITJANA i ALTA).
- La Declaració de Conformitat, únicament vàlida per a sistemes de categoria BÀSICA.
Quant a la diferència de requisits de compliment entre un sistema de categoria BÀSICA i un de categoria MITJANA o ALTA, la major part d'ells són de tipus tècnic o de gestió, sent comunes a tots els referits a l'organització de la seguretat.
Si es decideix escometre l'adequació dels sistemes d'informació al ENS d'una forma gradual, l'opció d'abordar primer la conformitat amb la categoria BÀSICA per a després continuar evolucionant fins a complir amb els requisits de la categoria MITJANA o ALTA és una bona opció, sempre que s'acordi en el Comitè de Seguretat, i així s'estableixi en una acta, com un full de ruta i no com una fi.
Seria un error pensar que en aconseguir la conformitat amb els requisits de la categoria BÀSICA ja s'està complint amb el requerit pel ENS, perquè aquests requisits venen determinats per la categoria del sistema, i a l'ésser aquesta superior a la categoria de la conformitat aconseguida, no s'estaria complint amb tots els requisits exigits.
La Declaració de la Conformitat amb l'Esquema Nacional de Seguretat és solament aplicable als sistemes d'informació de categoria BÀSICA, i s'obtindrà després d'una autoavaluació que, amb caràcter ordinari, verifiqui el compliment dels requeriments contemplats en l'Esquema, almenys cada dos anys. Aquesta autoavaluació atendrà el que es disposa sobre auditoria en l'article 34 i en l'annex III del Reial decret 311/2022, podent ser desenvolupada pel mateix personal que administra el sistema d'informació o en qui aquest delegui.
La Certificació de Conformitat amb l'Esquema Nacional de Seguretat és aplicable als sistemes d'informació de qualsevol categoria (BÀSICA, MITJANA i ALTA), i es realitzarà mitjançant un procediment d'auditoria formal que, amb caràcter ordinari, verifiqui el compliment dels requeriments contemplats en l'Esquema, almenys cada dos anys. Aquesta auditoria es realitzarà segons el que es disposa en l'article 34 i en l'annex III del Reial decret 311/2022 i serà materialitzada per part d'entitats de certificació (EC) acreditades per ENAC, o en procés d'estar-ho, o per òrgans d'auditoria tècnica (OAT) dirigits a determinades organitzacions del sector públic.
La Declaració de Conformitat i la Certificació de Conformitat són preceptives per als sistemes d'informació de les entitats de l'àmbit d'aplicació del ENS, ja siguin públiques o privades, havent d'evidenciar-se mitjançant la publicació del corresponent distintiu oficial de conformitat, per a la categoria del sistema, en la pàgina web, portal o seu electrònica de l'organització. Aquest segell haurà de portar vinculat el certificat o la declaració de conformitat obtinguts.
Addicionalment, les Certificacions de Conformitat es publicaran en la pàgina web del CCN tant per al sector públic certificat com per a empreses certificades del sector privat.
De conformitat amb l'assenyalat en l'article 2.3 del Reial decret 311/2022, els plecs de prescripcions administratives o tècniques dels contractes que celebrin les entitats del sector públic, incloses en l'àmbit d'aplicació del ENS, contemplaran tots aquells requisits necessaris per a assegurar la conformitat amb el ENS dels sistemes d'informació en els quals se sustentin els serveis prestats pels contractistes, com ara la presentació de les corresponents Declaracions o Certificacions de Conformitat amb el ENS.
Aquesta cautela s'estendrà també a la cadena de subministrament d'aquests contractistes, en la mesura que sigui necessari i d'acord amb els resultats de la corresponent anàlisi de riscos.
Així mateix, la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, actualment en procés d'actualització al Reial decret 311/2022, quan els operadors del sector privat prestin serveis o proveeixin solucions a les entitats públiques, als quals resulti exigible el compliment de l'Esquema Nacional de Seguretat, hauran d'estar en condicions d'exhibir la corresponent Declaració de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categoria BÀSICA, o la Certificació de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categories BÀSICA, MITJANA o ALTA, utilitzant els mateixos procediments que els exigits en aquesta Instrucció Tècnica de Seguretat per a les entitats públiques.
Per tant, és responsabilitat de les entitats públiques contractants notificar als operadors del sector privat que participin en la provisió de solucions tecnològiques o la prestació de serveis, l'obligació que tals solucions o serveis siguin conformes amb el que es disposa en l'Esquema Nacional de Seguretat i posseeixin les corresponents Declaracions o Certificacions de Conformitat, segons l'assenyalat en la present Instrucció Tècnica de Seguretat.
Com a garantia del compliment de l'anterior, les entitats públiques usuàries de solucions o serveis proveïts o prestats per organitzacions del sector privat que exhibeixin una Declaració o Certificació de Conformitat amb l'Esquema Nacional de Seguretat podran sol·licitar en tot moment a tals organitzacions els Informes d'Autoavaluació o Auditoria corresponents, a fi de verificar l'adequació i idoneïtat de les avantdites manifestacions.
En l'actualitat, el CCN manté en la seva pàgina web una llista dels operadors privats els sistemes d'informació dels quals han obtingut la Certificació de Conformitat amb el ENS.
A l'hora de contractar un servei externalitzat, s'haurà de notificar als prestadors que desitgin participar en la provisió de solucions tecnològiques o la prestació de serveis, l'obligació que tals solucions o serveis siguin conformes amb el que es disposa en l'Esquema Nacional de Seguretat i posseeixin les corresponents Declaracions o Certificacions de Conformitat, segons l'assenyalat en l'article 2.3 del ENS i en la Instrucció Tècnica de Seguretat. Un possible exemple d'inclusió en un plec, seria:
“L'article 2 del vigent Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat, disposa que els plecs de prescripcions administratives o tècniques dels contractes que celebrin les entitats del sector públic incloses en l'àmbit d'aplicació del reial decret del ENS contemplaran tots aquells requisits necessaris per a assegurar la conformitat amb el mateix dels sistemes d'informació en els quals se sustentin els serveis prestats pels contractistes, com ara la presentació de les corresponents Declaracions o Certificacions de Conformitat amb el ENS. Aquesta cautela s'estendrà també a la cadena de subministrament d'aquests contractistes, en la mesura que sigui necessari i d'acord amb els resultats de la corresponent anàlisi de riscos”.
En conseqüència, l'ENTITAT CONTRACTANT, considera necessari que els proveïdors que vagin a concórrer a la licitació hauran d'estar en condicions d'exhibir la corresponent Certificació de Conformitat amb l'Esquema Nacional de Seguretat, acceptant-se en el seu lloc, no obstant això, una Declaració de Conformitat amb el ENS, únicament quan s'hagi declarat categoria BÀSICA del sistema per al qual concorren.
Així doncs, sobre la base de l'anterior, i a l'anàlisi dels riscos als quals estan exposats els subministraments i serveis objecte de la licitació, l'ENTITAT CONTRACTANT estableix com a necessari que l'ENTITAT LICITADORA haurà d'estar en condicions d'exhibir la corresponent Declaració o Certificació de Conformitat amb l'Esquema Nacional de Seguretat, per a la categoria de seguretat [indicar la CATEGORIA], o superior, dels sistemes que intervinguin en la prestació dels serveis indicats, així com mantenir la conformitat en vigor durant la vigència del contracte. Aquesta declaració, o certificat, de conformitat amb el ENS s'entén que ha d'abastar en el seu abast, com a mínim, l'àmbit objecte de la contractació.
En el cas que l'adjudicatari no pogués mantenir la conformitat amb el ENS durant la vigència del contracte -per pèrdua, retirada o suspensió de la Certificació de Conformitat o impossibilitat de mantenir la Declaració de Conformitat-, haurà de comunicar aquesta circumstància, de manera immediata i sense dilació indeguda, a l'ENTITAT CONTRACTANT, qui considerarà l'impacte d'aquesta circumstància en la prestació objecte del contracte”.
En virtut del principi de proporcionalitat i per a facilitar la conformitat amb l'Esquema Nacional de Seguretat a les entitats locals, es podran implementar perfils de compliment específics que comprendran aquell conjunt de mesures de seguretat que, portant causa de la preceptiva anàlisi de riscos, resultin d'aplicació per a una concreta categoria de seguretat.
Un Perfil de Compliment Específic (PCE) és un conjunt de mesures de seguretat, compreses o no en el Reial decret 311/2022 que, a conseqüència de la preceptiva anàlisi de riscos, resultin d'aplicació a una entitat o sector d'activitat concreta i per a una determinada categoria de seguretat.
En el cas concret de l'Entitats Locals de menys de 20.000 habitants, podran fer ús, si ho consideren oportú, del Perfil de Compliment Específic per a entitats locals de grandària petita i mitjana.
El CCN ha publicat una guia per a cadascun dels PCE autoritzats, com pot ser el perfil de compliment específic per a universitats, estant alguna d'aquestes guies en procés d'harmonització amb el Reial decret 311/2022.
Una Diputació o Cabildo que presti serveis a entitats locals dins del seu àmbit de competència està obligada al fet que els sistemes d'informació que suporten tals serveis siguin conformes i estiguin certificats amb el que es disposa en l'Esquema Nacional de Seguretat.
Les Entitats Locals usuàries d'aquests serveis, com a titulars de la prestació dels serveis, són responsables de determinar la categoria de seguretat requerida per a aquests sistemes, de conformitat amb el ENS i de sol·licitar a la Diputació o Cabildo corresponent la Declaració o Certificació de Conformitat amb el ENS d'aquests sistemes.
No obstant això, existeix el Marc de Certificació Específic amb el ENS (MCE-ENS) per a EE.LL., consistent en un procés de certificació conjunta del ENS d'un conjunt d'ajuntaments dependents d'un Òrgan superior, com és una Diputació Provincial o Foral, un Cabildo o un Consell Insular, entre altres.
Dit MCE-ENS es considera la millor solució per a obtenir la conformitat amb el ENS de les EE.LL. que, pels seus recursos, no puguin accedir individualment.
L'Esquema Nacional de Seguretat és una norma legal que pretén garantir la seguretat dels sistemes d'informació de les entitats del seu àmbit d'aplicació, la informació tractada i els serveis prestats, mentre que el Reglament de Protecció de Dades Personals persegueix la protecció dels drets dels titulars de les dades personals, singularment el seu dret a la protecció de dades.
No obstant això, des d'un punt de vista pràctic, totes dues normes persegueixen dotar als sistemes de la seguretat de la suficient per a aconseguir els seus objectius. Per això, no sols no són incompatibles, sinó que són complementaris i el compliment d'una d'elles facilita el compliment de l'altra. Així ho assenyala la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals que, en la seva disposició addicional primera, obliga a determinats responsables a aplicar als tractaments de dades personals les mesures de seguretat que corresponguin de les previstes en l'Esquema Nacional de Seguretat, així com impulsar un grau d'implementació de mesures equivalents en les empreses o fundacions vinculades als mateixos subjectes al Dret privat.
Aquest informe està regulat per la Instrucció Tècnica de Seguretat d'Informe de l'Estat de la Seguretat, aprovada per resolució de 7 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques. Aquesta norma estableix les condicions relatives a la recopilació i comunicació de dades que permeti conèixer les principals variables de la seguretat de la informació dels sistemes compresos en l'àmbit d'aplicació de l'Esquema Nacional de Seguretat, i confeccionar un perfil general de l'estat de la ciberseguretat en les Administracions Públiques.
Per a complir amb l'obligació anterior, el CCN ha desenvolupat el projecte INES (Informe Nacional de l'Estat de Seguretat), facilitant la labor de tots els organismes. A través d'aquest projecte, es permet la recollida d'informació organitzada, delegada i supervisada.
No. Es distingeixen dues possibilitats segons la categoria del sistema:
- Els sistemes d'informació de categoria BÀSICA, cada dos anys han de realitzar una autoavaluació o una auditoria formal de certificació per a verificar que continuen complint amb els requisits exigits en funció de la seva categoria.
- Els sistemes d'informació de categoria MITJANA , i especialment els d'ALTA, en requerir un sistema de gestió de la seguretat de la informació que es basa en un cicle de millora i supervisió contínua de la seguretat d'aquests, segons disposa la mesura de l'annex II del ENS sobre arquitectura de seguretat, han d'evidenciar que a més de les auditories formals de certificació realitzades cada dos anys per part d'una entitat de certificació, o un OAT, duguin a terme cada any una auditoria interna de compliment orientada a la millora sobre la base del seguiment de les desviacions trobades.
De conformitat amb l'assenyalat en l'article 2 del vigent Reial decret 311/2022, de 3 de maig, i en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, de desenvolupament del Reial decret 311/2022 (ENS), quan els operadors del sector privat prestin serveis o proveeixin solucions a les entitats públiques, als quals resulti exigible el compliment de l'Esquema Nacional de Seguretat, hauran d'estar en condicions d'exhibir la corresponent Declaració de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categoria BÀSICA, o la Certificació de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categories MITJANA o ALTA, i opcionalment els de BÀSICA, utilitzant els mateixos procediments que els exigits en aquesta Instrucció Tècnica de Seguretat per a les entitats públiques.
La conformitat amb el ENS d'aquells sistemes d'informació que sustentin solucions o prestin serveis competencials a les entitats del Sector Públic és un imperatiu legal.
Efectivament, de conformitat amb l'assenyalat en l'article 2 del vigent Reial decret 311/2022, de 3 de maig, i en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, de desenvolupament del (ENS), quan els operadors del sector privat prestin serveis o proveeixin solucions a les entitats públiques, als quals resulti exigible el compliment de l'Esquema Nacional de Seguretat, hauran d'estar en condicions d'exhibir la corresponent Declaració de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categoria BÀSICA, o la Certificació de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categories MITJANA o ALTA, i opcionalment els de BÀSICA, utilitzant els mateixos procediments que els exigits en aquesta Instrucció Tècnica de Seguretat per a les entitats públiques.
Per tant, complint amb l'exposat anteriorment, s'estarà en disposició de participar en licitacions de serveis amb les Administracions Públiques en els quals s'exigeixi el compliment amb el ENS i l'evidència de tal conformitat.
De conformitat amb l'assenyalat en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, de desenvolupament del Reial decret 311/2022 (ENS), les Entitats de Certificació (EC) dels sistemes hauran d'estar acreditades per l'Entitat Nacional d'Acreditació (ENAC) per a la certificació de sistemes de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat conforme a la norma UNE-EN ISO/IEC 17065:2012 Avaluació de la conformitat. Requisits per a organismes que certifiquen productes, processos i serveis.
Així mateix, els Òrgans d'Auditoria Tècnica del ENS (OAT), podran certificar sistemes d'informació respecte al ENS en el seu àmbit de competències.
La Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, especifica com el seu àmbit d'aplicació, exclusivament, els sistemes d'informació de les entitats de l'àmbit d'aplicació del ENS, quan tals sistemes desenvolupin competències estatutàries de l'entitat pública de què es tracti.
No obstant això, els serveis suportats pels sistemes d'informació certificats es beneficiaran de tal certificació, puix que la seva enumeració haurà d'aparèixer en les Certificacions de Conformitat amb el ENS, per a general coneixement.
La Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, prescriu que, la conformitat amb el ENS d'un sistema de categoria BÀSICA s'exhibirà amb la corresponent Declaració de Conformitat, fent ús del seu Distintiu de Conformitat específic. Anàlogament, en el cas de sistemes de categoria MITJANA o ALTA, la Certificació de Conformitat amb el ENS s'exhibirà mitjançant el seu Distintiu de Conformitat específic. En tots dos casos, seran documents electrònics, en format no editable i posseiran l'aspecte que es mostra en els annexos III i IV d'aquesta Instrucció Tècnica.
Per a publicar la Declaració de Conformitat o Certificació de Conformitat amb l'Esquema Nacional de Seguretat, bastarà amb l'exhibició en la seu electrònica de l'entitat pública titular o usuària del sistema d'informació en qüestió, del Distintiu corresponent, que inclourà un enllaç al document de Declaració de Conformitat o Certificació de Conformitat, segons correspongui, que també romandrà accessible a través d'aquesta seu electrònica.
De conformitat amb l'assenyalat en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, les entitats certificadores dels sistemes hauran d'estar acreditades per l'Entitat Nacional d'Acreditació (ENAC) per a la certificació de sistemes de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat conforme a la norma UNE-EN ISO/IEC 17065:2012 Avaluació de la conformitat. Requisits per a organismes que certifiquen productes, processos i serveis, per la qual cosa haurà de sotmetre's al procediment d'acreditació previst per ENAC per a aquest Esquema.
De conformitat amb l'assenyalat en l'article 2 del vigent Reial decret 311/2022, de 3 de maig, i en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, de desenvolupament del Reial decret 311/2022 (ENS), quan els operadors del sector privat prestin serveis o proveeixin solucions a les entitats públiques, als quals resulti exigible el compliment de l'Esquema Nacional de Seguretat, hauran d'estar en condicions d'exhibir la corresponent Declaració de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categoria BÀSICA, o la Certificació de Conformitat amb l'Esquema Nacional de Seguretat, quan es tracti de sistemes de categories MITJANA o ALTA, i de manera opcional per als de BÀSICA, utilitzant els mateixos procediments que els exigits en aquesta Instrucció Tècnica de Seguretat per a les entitats públiques.
Amb independència que els prestadors privats hagin d'exhibir la corresponent Certificació de Conformitat amb el ENS en relació amb els sistemes d'informació que vagin a ser utilitzats en l'execució del contracte, no creiem que estigui de més recordar en els Plecs l'obligació dels licitadors d'acomodar la ubicació dels servidors dels serveis objecte de licitació al que es disposa en el Reial decret llei 14/2019 i d'incloure, addicionalment a l'avantdita Certificació de Conformitat amb el ENS, les previsions que es recullen en l'article 5.5 d'aquest Reial decret llei, pel qual es modifica la Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic, i en el qual s'indica que els tractaments de categories especials de dades, (a més de requerir el consentiment de l'usuari, per mor del que es disposa en el RGPD), exigeixen que aquest tractament es faci dins de territori espanyol, per la qual cosa, cas d'usar-se un prestador del servei extern que tracti tals dades biomètriques amb el propòsit d'identificació, els sistemes utilitzats hauran d'estar situats a Espanya.
És preceptiu que els sistemes d'informació de qualsevol entitat, ja sigui espanyola, o no, posseeixin la Certificació de Conformitat amb el ENS, després d'haver superat la corresponent Auditoria de Certificació. De fet, com es pot observar en la llista d'empreses amb Certificació de Conformitat exposades en la pàgina web del CCN, hi ha diverses que no són espanyoles i els sistemes d'informació de les quals no estan situats a Espanya.
El procediment per a aconseguir la Certificació de Conformitat amb el ENS es pot trobar en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat (BOE, Núm. 265. Dimecres 2 de novembre de 2016 Sec. III. Pàg. 76365).
També es pot trobar més informació en la "Guia CCN-STIC 809 Conformitat amb el ENS i Distintius de Compliment”.
L'exigència de l'ús d'un doble factor d'autenticació en sistemes de categoria MITJANA pot implementar-se de diferents maneres, com la utilització de tokens externs, certificats digitals o l'ús de contrasenyes d'un sol ús (OTP) remeses via SMS o mitjançant una aplicació en el mòbil de l'usuari.
No obstant això, l'anàlisi de riscos que preceptivament exigeix el ENS, determinarà la rigorositat de l'aplicació del doble factor i la possibilitat d'utilitzar, en el seu cas, una mesura compensatòria adequada (segons l'indicat en la Guia CCN-STIC 819) que, contemplant el risc, pugui compensar adequada i justificadament la no aplicació del doble factor. A més, com assenyala l'article 27 del ENS, haurà de justificar documentalment que aquestes mesures protegeixen igual o millor el risc sobre els actius i se satisfan els principis bàsics i els requisits mínims previstos en els capítols II i III del ENS.
L'adequada aplicació de la mesura compensatòria serà objecte d'examen en l'auditoria periòdica o de certificació del sistema.
Finalment, cal recordar que en la mesura [op.acc.6] sobre mecanismes d'autenticació per a usuaris de l'organització del Reial decret 311/2022, el reforç R1 admet un únic factor basat en contrasenya com a mecanisme d'autenticació quan l'accés es realitza des de zones controlades i sense travessar zones no controlades.
S'utilitzarà el Catàleg de Productes i Serveis de Seguretat de les Tecnologies de la Informació i Comunicació (CPSTIC) del CCN, publicat sota la guia CCN-STIC 105, per a seleccionar els productes o serveis subministrats per un tercer que formin part de l'arquitectura de seguretat del sistema i aquells que es referenciïn expressament en les mesures del ENS.
En cas que no existeixin productes o serveis en el CPSTIC que implementin les funcionalitats requerides, s'utilitzaran productes certificats d'acord amb el descrit en l'article 19 del ENS. Una possibilitat és Common Criteria o una altra certificació de producte reconeguda internacionalment.
Una possibilitat existent, si acaba de realitzar-se una important inversió tecnològica en productes de fabricants prestigiosos, és aplicar diverses mesures complementàries de vigilància fins a la reposició programada; per exemple, augmentar el monitoratge dels productes actuals i estar atents als avisos de vulnerabilitats (CVE) del fabricador i del CERT de referència, aplicant immediatament els pegats i actualitzacions necessàries, entre altres mesures.
El Catàleg de Productes de Seguretat de les Tecnologies de la Informació i Comunicació (CPSTIC), recull els Productes Aprovats per al maneig d'informació classificada i els Productes Qualificats per al maneig d'informació sensible, de manera que pugui servir de referència a les organitzacions obligades pel ENS.
Aquest Catàleg s'ha publicat en la Guia CCN-STIC 105 Catàleg de Productes de Seguretat de les Tecnologies de la Informació i Comunicació.
Com assenyala l'article 38 del ENS, els sistemes d'informació han de ser objecte d'una auditoria regular ordinària, almenys cada dos anys, que verifiqui el compliment dels requeriments del ENS.
A més, amb caràcter extraordinari, haurà de realitzar-se aquesta auditoria sempre que es produeixin modificacions substancials en el sistema d'informació, que puguin repercutir en les mesures de seguretat requerides. La realització d'aquesta auditoria extraordinària, si és completa, determinarà la data de còmput per al càlcul dels dos anys, establerts per a la realització de la següent auditoria regular ordinària, indicats en el paràgraf anterior. Si no és completa, en haver-se circumscrit en unes quantes mesures concretes a les quals únicament hagin afectat les modificacions produïdes en el sistema, no es veurà alterada la data per al càlcul dels dos anys en què haurà de renovar-se la certificació.
D'altra banda, com assenyala la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, la Certificació de la Conformitat amb el ENS dels sistemes d'informació amb categories MITJANA o ALTA es realitzarà mitjançant un procediment d'auditoria formal que, amb caràcter ordinari, verifiqui el compliment dels requeriments contemplats en l'Esquema, almenys cada dos anys. Aquesta auditoria es realitzarà segons el que es disposa en l'article 38 i en l'annex III del Reial decret 311/2022.
Aquesta mateixa Instrucció Tècnica de Seguretat assenyala que la Certificació de Conformitat amb el ENS es basarà en el resultat de l'avantdita auditoria, disposant d'una validesa efectiva de dos anys, sempre que, per l'assenyalat, no sigui necessari escometre una auditoria extraordinària amb anterioritat.
Per tot el que s'ha dit, la “Data de renovació de la certificació de conformitat” que aparegui en la Certificació de Conformitat mai podrà superar els dos anys naturals des de la “Data de certificació de conformitat inicial” (que ha d'entendre's com la data en la qual l'Entitat de Certificació o, en el seu cas, l'Òrgan d'Auditoria Tècnica (OAT), decideixen atorgar aquesta Certificació), podent ser menor si les circumstàncies així ho exigeixen.
Per tot això, l'auditoria s'haurà de planificar convenientment de manera que la decisió de certificació subsegüent es pugui prendre dins del període de validesa de la certificació precedent.
Si una entitat disposa d'una Certificació de Conformitat amb el ENS de categoria Mitjana en vigor per a algun dels seus sistemes, i, amb posterioritat, l'Entitat de Certificació realitza una auditoria extraordinària d'increment de categoria en la qual només ha auditat les mesures que difereixen per a la categoria Alta, la Certificació de Conformitat de categoria Alta no pot anar més enllà de la data d'expiració expressada en el Certificat de Conformitat preexistent de categoria Mitjana. En altres paraules, una auditoria extraordinària (si no és extraordinària, ha de ser completa) no altera la data de vigència de la certificació de la qual es parteix, ja sigui per a incrementar l'abast, incrementar la categoria, o adequar la certificació a determinats canvis concrets en el sistema d'informació.
No obstant això, si s'hagués realitzat una auditoria completa (auditant, per tant, totes les mesures) la Certificació de Conformitat amb el ENS podria tenir la vigència habitual de dues (2) anys.
El Reial decret 311/2022, determina en el seu Annex III (Auditories de seguretat), que es comprovarà haver realitzat una anàlisi de riscos amb revisió i aprovació anual.
Això no és obstacle perquè, quan el sistema sofreixi modificacions que puguin afectar la seguretat d'aquest, s'hagi de realitzar una anàlisi de riscos extraordinari que permeti identificar variacions en els nivells de risc derivades de l'esmentada modificació.
Si el seu sistema d'informació ha estat categoritzat com de categoria Bàsica i ha superat satisfactòriament la preceptiva Autoavaluació, pot acte expedir-se la corresponent Declaració de Conformitat amb el ENS, sempre respectant el que es disposa en la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, actualment en procés d'actualització amb el Reial decret 311/2022.
En cas que no existeixin productes o serveis en el CPSTIC que implementin les funcionalitats requerides, s'utilitzaran productes certificats d'acord amb el descrit en l'article 19 del ENS. Una possibilitat és Common Criteria o una altra certificació de producte reconeguda internacionalment.
Una possible alternativa ‘temporal’, mentre no existeixin productes d'aquesta naturalesa en el catàleg, és adquirir productes de fabricants prestigiosos i aplicar en l'endemig diverses mesures complementàries de vigilància; per exemple, augmentar el monitoratge dels mateixos i estar atents als avisos de vulnerabilitats (CVE) del fabricador i del CERT de referència, aplicant immediatament els pegats i actualitzacions necessàries, entre altres mesures, avaluant en qualsevol cas el risc resultant.
Una altra opció és proporcionar l'accés remot utilitzant una infraestructura de virtualització d'escriptoris, com Citrix Cloud, Enterprise Application Access de Akamai o similar, que permet accedir als seus escriptoris afegint una capa de seguretat amb la qual implementar un doble factor d'autenticació sense exposar directament els seus equips a internet, i alhora, mantenir una traçabilitat de les accions dels usuaris. A més, és recomanable la instal·lació d'una protecció de endpoint del tipus EDR.
En tot cas, s'han d'evitar solucions que exposin els equips directament a internet, però, de no ser possible una altra solució, s'han d'implementar mesures de seguretat addicionals com a doble factor d'autenticació o limitar i controlar l'adreçament IP des del qual es connectin els usuaris.
Per a resoldre dubtes s'ha publicat el "Abstract - Mesures de seguretat per a accés remot". En ell es recullen solucions que permeten implementar, de manera àgil, accés remot als recursos d'una Organització minimitzant l'impacte en els recursos IT i optimitzant el temps per a la seva posada en producció. A més, també està disponible el document “CCN-CERT BP/18 Recomanacions de seguretat per a situacions de teletreball i reforç en vigilància (març 2020)”.
En qualsevol cas, si es desitja realitzar alguna consulta addicional relativa a la qualificació de productes dins del ENS, es pot contactar directament amb el grup encarregat de publicar el Catàleg de Productes de Seguretat TIC (CPSTIC) en el correu cpstic.ccn@cni.es.
En aquests moments no existeix una formació reglada per al ENS. No obstant això, en l'apartat de capacitació de l'Entorn de Validació ENS (EVENS) es pot trobar la formació que el CCN proporciona.
Per a qüestions més específiques, es pot remetre consulta al correu electrònic formacion.ccn@cni.es.
Com disposa la Llei orgànica 4/1981, d'1 de juny, dels estats d'alarma, excepció i lloc, serà la pròpia norma que ho declari la que assenyali el seu abast i límits. Quan tal abast impedeixi el normal desenvolupament de les activitats de certificació, el Centre Criptológico Nacional, en l'exercici de les seves competències, publicarà una nota informativa i/o remetrà a les Entitats de Certificació del ENS una comunicació assenyalant les actuacions i mesures que podran adoptar-se davant tal eventualitat, i que podran consistir en la suspensió dels terminis de caducitat i prescripció de les Certificacions de Conformitat amb el ENS concedides, en tant persisteixi l'estat d'alarma declarat.