En la era digital, la seguridad de la información es uno de los mayores retos para empresas e instituciones. La creciente dependencia de la tecnología ha expuesto a las organizaciones a múltiples riesgos cibernéticos. En respuesta a esta situación, en España se ha desarrollado el Esquema Nacional de Seguridad (ENS), un marco normativo que establece las directrices para proteger la información en el sector público y en proveedores que colaboran con la administración.

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El ENS es un conjunto de principios y requisitos establecidos por el Gobierno de España, a través del Real Decreto 311/2022, de 3 de mayo, que tiene como objetivo garantizar la protección adecuada de la información manejada por las administraciones públicas y entidades privadas que interactúan con ellas. Está basado en un enfoque de gestión de riesgos y tiene como objetivo salvaguardar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los sistemas y datos.

Es decir, el ENS, en el ámbito de la administración electrónica, marca la política de seguridad a seguir en la utilización de medios electrónicos relacionados con la administración pública, con el fin de lograr una protección adecuada de los sistemas de información y garantizar la confianza de los usuarios y de las organizaciones en relación al uso de dichos medios electrónicos.

Sujetos obligados

El artículo 2 del Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad, establece que todo el sector público, incluidas las administraciones públicas, las corporaciones de derecho público, así como las entidades privadas que prestan servicios al sector público, deben adecuar su actividad a dicha normativa.

Esto es necesario para garantizar:

  1. Cumplimiento normativo: cualquier empresa que trabaje con entidades públicas o maneje datos de estas, debe cumplir con el ENS. No adaptarse puede conllevar sanciones, pérdida de contratos y una reducción en la confianza de los clientes y socios.
  2. Protección de la información: implementar el ENS protege los datos de las administraciones públicas, además de brindar los datos de la empresa. Con la creciente sofisticación de los ciberataques, la seguridad ya no es opcional.
  3. Confianza y reputación: adoptar el ENS mejora la reputación de la empresa frente a clientes y socios comerciales. Demuestra un compromiso claro con la seguridad y el cumplimiento de estándares, lo que genera confianza.
  4. Reducción de riesgos: la adopción de este esquema ayuda a mitigar riesgos de ciberseguridad que podrían causar daños financieros, pérdidas de información y vulneraciones legales.

¿Cómo deben adaptarse las entidades privadas al ENS?

La adaptación al ENS implica una serie de pasos que aseguran la correcta implementación de las medidas de seguridad exigidas por este marco normativo. A continuación, se detallan los pasos clave:

  1. Evaluación inicial de cumplimiento: auditoría de seguridad que determine el estado inicial de los sistemas de información en comparación con los requisitos del ENS. Esto incluye la identificación de brechas y riesgos potenciales.
  2. Clasificación de los sistemas:  categorización de los sistemas en uno de los tres niveles de seguridad.
  3. Plan de adecuación: una vez realizada la evaluación inicial, la empresa debe desarrollar un plan de adecuación que incluya la implementación de las medidas de seguridad exigidas para cada nivel de clasificación. Estas medidas incluyen tanto controles técnicos (como el cifrado de datos y el control de accesos) como procedimientos organizativos (como políticas de seguridad y formación de personal).
  4. Implantación del sistema de gestión de seguridad: el ENS no se limita a la implementación de controles aislados, sino que requiere de la creación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en un enfoque continuo de mejora y gestión de riesgos. Esto incluye la designación de un Responsable de Seguridad y la implementación de procesos para la gestión de incidentes de seguridad.
  5. Auditoría y certificación: para cumplir plenamente con el ENS, es necesario someterse a auditorías regulares que verifiquen el cumplimiento de las medidas adoptadas. Las entidades deben obtener la certificación que demuestre su adaptación al ENS, lo que puede ser crucial para seguir operando con el sector público.

Por último, es importante destacar que el artículo 38 del Esquema Nacional de Seguridad (ENS) exige que los responsables de los sistemas de información afectados publiquen las declaraciones y certificaciones conforme al ENS en sus portales o sedes electrónicas. Esta obligación aplica al Sector Público, a sistemas de información clasificada y a entidades privadas que presten servicios para funciones administrativas.