Esquema Nacional de seguridad - S&Y - Abogados
15880
page-template,page-template-full_width,page-template-full_width-php,page,page-id-15880,ajax_fade,page_not_loaded,,side_area_uncovered_from_content,qode-theme-ver-7.6.2,wpb-js-composer js-comp-ver-4.6.2,vc_responsive
 

Esquema Nacional de seguridad

Esquema Nacional de seguridad


El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, se limita a establecer los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y los servicios, lo que exige incluir el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio.


El ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), que en relación con el sector privado establece que “(…) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas”.


Además, la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), en su Disposición adicional primera indica que “2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.”


Asimismo, cabe destacar que la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, indica en su Resolución de 13 de octubre de 2016 que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad (…)”


Vemos así que las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, en igual medida que las pertenecientes al Sector Público, si:


Son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas, como pueden ser:


  • Las entidades de derecho privado pertenecientes al Sector Público Institucional;
  • Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas;
  • Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales;
  • Las entidades de derecho privado y fundaciones.
  • Proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea Admiración Pública u organización vinculada o dependiente.

El Esquema Nacional de Seguridad (ENS) fue creado para definir los requisitos de seguridad de la información en el contexto de la Administración electrónica.

El ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de la información.


El objetivo del ENS no es otro que conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específicas para la seguridad de:

  • Sistemas (Medios electrónicos)
  • Datos
  • Comunicaciones
  • Servicios Electrónicos

Implantación ENS (fases):

  • Establecimiento de objetivos y alcance
  • Definición política de seguridad
  • Establecimiento de responsabilidades, recursos y procedimientos
  • Categorización de sistemas
  • Análisis de los riesgos
  • Elaboración de la declaración de aplicabilidad
  • Elaboración de plan de mejora
  • Implantación de medidas
  • Establecimiento del proceso de evaluación periódica