En medio del reciente escándalo de ciberseguridad referido al espionaje a través de la aplicación Pegasusque afecta a distintas personalidades de nuestro país, aunque no son nuevos, se acaba de publicar el nuevo Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) y que sustituye al viejo Esquema que databa ya de enero de 2010 (casi nada).
Esta importantísima norma viene a profundizar y enriquecer la normativa anterior que, desgraciadamente, todavía es ignorada por muchas entidades que tienen la obligación de implantarla desde hace años.
¿Qué es el Esquema Nacional de Seguridad?
El ENS viene definido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) que reza lo siguiente:
“El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.”
Se trata de un marco normativo, por tanto, que pretende garantizar la seguridad de la información mediante la adopción de distintas estrategias, requisitos y medidas concretas, de modo flexible y adaptado a cada organización.
No se trata, por tanto, de un cuadro cerrado de medidas de seguridad como el que se recogía en el Título VIII del Real Decreto 1720/2007 de la antigua LOPD en materia de protección de datos personales y que contaba con un numerus clausus para cada uno de sus niveles básico, medio y alto de seguridad en función del tipo de datos tratados.
Muy al contrario, lo que se pretende aquí es que cada entidad pueda determinar qué medidas de seguridad decide aplicar en su organización a partir de un análisis metodológico que viene perfectamente diseñado en el ENS y que traslada a nuestro marco jurídico las mejores prácticas heredadas de normas de cumplimiento voluntario como la famosa ISO 27001, con la que guarda importantes similitudes.
Además, el Esquema Nacional de Seguridad se refiere a proteger cualquier tipo de información y no solamente los datos de carácter personal para los cuales, además, se debe contar con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la vigente Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
¿Quién debe cumplir el ENS?
En base a lo establecido en el artículo 2 del ENS, el Esquema Nacional de Seguridad es de aplicación a todo el sector público (Estado, Comunidades Autónomas, Administración Local y entidades de derecho público), cuyas administraciones están obligadas a cumplirlo y adaptar sus sistemas de información.
Sin embargo, algo menos conocido es que, en virtud del apartado 3 de dicho artículo, el ENS “también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.”
Es decir, las empresas, asociaciones y fundaciones privadas también están obligadas a cumplir el Esquema Nacional de Seguridad en sus sistemas, siempre que trabajen para las AAPP en virtud de un contrato público.
¿Qué plazo hay para adaptarse?
Aunque el ENS ya es aplicable, su Disposición Transitoria Única establece un plazo de 24 meses para adecuar los sistemas preexistentes a su entrada en vigor. Es decir, el nuevo Esquema Nacional de Seguridad debe estar implementado antes del 5 de mayo de 2024.
Esperemos que, esta vez sí, esta nueva norma contribuya a la necesaria creación de una auténtica cultura de la ciberseguridad en nuestras administraciones públicas y, de paso, en el sector privado. Estamos muy necesitados de ella.
Como se suele decir, ¡tempus fugit!