Los episodios de ataques informáticos sufridos por el Servicio Público de Empleo Estatal o recientemente, por la Universidad autónoma de Barcelona han puesto de relieve la creciente presión de ciberataques sobre entidades del sector público, así como de sus proveedores de servicios tecnológicos y la necesidad de reforzar la capacidad de ciber resiliencia.
Bajo este entorno, el Ministerio de Asuntos Económicos y Transformación Digital ultima estos días, la elaboración del Reglamento por el que se regula el Esquema Nacional de Seguridad (ENS), puesto que se considera que el Real Decreto 3/2010 ha quedado significativamente obsoleto con el tiempo como para abordar una nueva modificación como la de 2015.
El presente proyecto es una de las medidas contenidas en el Acuerdo de Consejo de ministros sobre actuaciones urgentes en materia de ciberseguridad, de 25 de mayo de 2021. Se pretende actualizar el vigente RD 3/2010, de 8 de enero, para adaptarlo a la nueva realidad y al incremento de las ciberamenazas tanto cuantitativa como cualitativamente. El objetivo de esta reforma es garantizar una mejor respuesta ante los ciberataques, así como, mejorar la protección en el tratamiento de datos por el Sector Público y aquellas entidades del Sector Privado que colaboren con aquél, estableciendo unos principios básicos y unos requisitos mínimos de seguridad y medidas de protección que deberán llevarse a cabo.
A finales de junio del presente año, se publicó el borrador del proyecto del real decreto por el que se regula el Esquema Nacional de Seguridad (ENS), que sustituirá al RD 3/2010 que es el eje alrededor del cual se vertebra la seguridad en los entornos y sistemas de información de las administraciones públicas.
El borrador del proyecto del real decreto toma en consideración la evolución tecnológica en especial en relación con los riesgos y controles de los servicios en nube o teletrabajo y se centra en facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua.
Dentro de todas las novedades del Real Decreto desarrolladas en base a lo aprendido durante estos años sobre el desarrollo e implantación del ENS, se destacan las siguientes:
Evidentemente, el desarrollo del nuevo Real Decreto trae consigo muchas preguntas y dudas en relación con los certificados de cumplimientos ENS emitidos ¿Qué pasará con los certificados actuales o a punto de caducar? ¿Se tendrá que cumplir ya con los nuevos requerimientos del nuevo Real Decreto? Es uno de los aspectos que genera más debate, aunque se prevé un plazo de transición de dos años para la adaptación a los requisitos del nuevo ENS.
Desde BDO, como entidad acreditada por la Entidad nacional de acreditación (ENAC) para emitir certificados de conformidad de cumplimiento de los requerimientos del ENS, se recomienda igualmente a las organizaciones que trabajen ya en el análisis de implicaciones y cambios que este Real Decreto supone desde el momento de su entrada en vigor. La actualización de las medidas de seguridad del ENS viene a cubrir riesgos actuales de seguridad. La estrategia que seguir por las entidades no debería basarse en el impacto que tendrán estos controles sobre la certificación de cumplimiento ENS, sino en mitigar riesgos de seguridad no cubiertos e incrementar su nivel de madurez en ciberseguridad. No esperemos la próxima caducidad de nuestro certificado de cumplimiento para tomar ya en consideración todos aquellos requisitos nuevos incluidos en el Nuevo ENS.
Director en el área de Risk Advisory