El Esquema Nacional de Seguridad, en adelante ENS, es un Real Decreto (RD 311/2022, del 3 de mayo) que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos, y está constituido por principios básicos y requisitos mínimos que garanticen la seguridad de la información tratada.

El ENS es un esquema inspirado en la familia de estándares ISO 27000 y, más concretamente, en la ISO 27001, por lo que su estructura y aplicación responde al modelo de Ciclo PDCA (Plan, Do, Check, Act), considerando análisis de riesgos e implantación de medidas/controles.

Como principios básicos del ENS se consagran los siguientes:

• Seguridad como proceso integral.
• Gestión de la seguridad basada en los riesgos.
• Prevención, detección, respuesta y conservación.
• Existencia de líneas de defensa.
• Vigilancia continua.
• Reevaluación periódica.
• Diferenciación de responsabilidades.

En las mismas líneas, también se definen los requisitos mínimos, tales como:

• Organización e implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de accesos.
• Protección de las instalaciones.
• Adquisición de productos de seguridad y contratación de servicios de seguridad.
• Mínimo privilegio.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito.
• Prevención ante otros sistemas de información interconectados.
• Registro de la actividad y detección de código dañino.
• Incidentes de seguridad.
• Continuidad de la actividad.
• Mejora continua del proceso de seguridad.

Para dar cumplimiento a lo anterior, las entidades comprendidas en su ámbito de aplicación adoptarán las medidas y refuerzos de seguridad correspondientes indicados en el anexo II (BOE-A-2022-7191 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.), teniendo en cuenta los activos, la categoría del sistema según lo previsto en el artículo 40 y el anexo I, y las decisiones que se adopten para gestionar los riesgos identificados.

El ENS debe apreciarse desde unas determinadas propiedades llamadas dimensiones de seguridad, tales como disponibilidad, integridad, trazabilidad, autenticidad y confidencialidad.

Cada dimensión de seguridad se adscribirá a uno de los siguientes niveles:

• Bajo: perjuicio limitado sobre la organización
• Medio: perjuicio grave sobre las funciones de la organización
• Alto: perjuicio muy grave sobre las funciones de la organización

A partir de estos niveles, el ENS define tres categorías de seguridad:

• Alta: si alguna de sus dimensiones de seguridad alcanza el nivel alto
• Media: si alguna de sus dimensiones de seguridad alcanza el nivel medio o ninguna alcanza un nivel superior
• Básica: si alguna de sus dimensiones de seguridad alcanza un nivel bajo y ninguna alcanza un nivel superior

Tras este análisis, se aplican las medidas de seguridad, las cuales se encuentran divididas en tres grupos:

• Marco organizativo: medidas relacionadas con la organización global de la seguridad (política de seguridad, normativa de seguridad, procedimientos de seguridad y proceso de autorización).
• Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin (planificación, control de acceso, explotación, recursos externos, servicios en la nube, continuidad del servicio y monitorización del sistema).
• Marco de protección: medidas para proteger activos concretos según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas (protección de las instalaciones e infraestructuras, gestión de personal, protección de los equipos, de las comunicaciones, de los soportes de información, de las aplicaciones informáticas, de la información y de los servicios).

¿Qué es el Reglamento General de Protección de Datos?

Este Reglamento presenta un alcance general, es preceptivo en todos sus elementos y es de aplicación directa en cada uno de los Estados miembros que integran la Unión Europea. Asimismo, también es de aplicación fuera de este territorio cuando el responsable de tratamiento tenga su establecimiento en alguno de los Estados miembros, que se traten datos de personas residentes en el mencionado territorio o que sea aplicable por las reglas de Derecho internacional público.

Tiene como objeto la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de los mismos.

Entre las principales características de este Reglamento, subrayamos las siguientes: 

• Consentimiento: debe ser explícito y claro. No se permite el consentimiento tácito o por omisión.  
• Derechos de los sujetos: acceso, rectificación, olvido, portabilidad de datos, limitación del tratamiento y oposición.
• Proactividad de las organizaciones.
• Transparencia y notificación.
• Transferencias internacionales de datos: existen normas estrictas para la transferencia de datos personales fuera del Espacio Económico Europeo para asegurar que el nivel de protección de datos no se vea comprometido.  

Convergencia entre ENS y RGPD

La integración entre el Reglamento General de Protección de Datos (RGPD) y el Esquema Nacional de Seguridad (ENS) es un tema relevante para todas las organizaciones, pero en especial, para las entidades del sector público.  

El ENS y el RGPD son dos normativas que impactan en la seguridad y el tratamiento de datos en el ámbito digital. El ENS establece medidas de seguridad para los sistemas de información utilizados por las entidades del sector público, siendo una de estas medidas la protección de datos personales, regulada en el RGPD.

Desde 2018, las entidades del sector público deben integrar la adaptación al ENS con el cumplimiento de las normas de protección de datos, incluyendo el RGPD y la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Esto significa que deben considerar tanto las medidas de seguridad del ENS como las disposiciones específicas del RGPD.

De esta manera, la integración del ENS como parte del RGPD implica cumplir con los requisitos de seguridad exigidos por el mismo. Algunos aspectos clave incluyen: 

• Política de seguridad: Las organizaciones deben preparar y aprobar una política de seguridad que defina roles y responsabilidades. 
• Categorización de sistemas: Es importante categorizar los sistemas según la valoración de la información manejada y los servicios prestados. 

• Demostración de la conformidad (principio de proactividad): Las entidades del sector público deben demostrar que cumplen tanto con el ENS como con el RGPD. Esto implica llevar a cabo análisis de riesgos, evaluaciones de impacto sobre protección de datos y cumplir con las medidas técnicas y organizativas. 
• Evaluación de riesgos: ambos enfatizan la importancia de la gestión de riesgos, aunque el ENS ofrece una metodología específica adaptada al contexto de la administración pública.
• Cumplimiento y auditoría: tanto el RGPD como el ENS requieren que las organizaciones demuestren cumplimiento a través de auditorías y revisiones periódicas.

En resumen, aunque el RGPD y el ENS tienen enfoques diferentes (uno es más amplio y se aplica a todos los sectores, mientras que el otro se centra en las entidades públicas), comparten principios y objetivos relacionados con la seguridad de la información y la protección de datos. Es por ello que, el desarrollo de un modelo de evaluación combinado RGPD-ENS, reporta importantes beneficios tales como conseguir una mayor eficiencia de los recursos utilizados para alcanzar la conformidad legal e Impulsar el cumplimiento normativo. 

En Ciberso somos expertos en ambas normativas, por lo que si está interesado en obtener dicha certificación estaremos encantados de ayudar a conseguirla.