La ciberseguridad se ha convertido en un aspecto fundamental, pero también en un riesgo creciente para las organizaciones a nivel mundial. Diariamente llegan noticias sobre ciberataques, cada vez más sofisticados, a compañías de cualquier geografía y cualquier sector. Y, en este contexto, las administraciones públicas en España no son una excepción: la creciente digitalización de los servicios y el aumento de la cantidad de datos que se manejan hacen que sea cada vez más importante implementar medidas de seguridad adecuadas para proteger la información y los sistemas.
A ello se añade que la pandemia de la COVID-19 generó nuevos retos para la ciberseguridad en el sector público debido al aumento del teletrabajo y la mayor exposición de los sistemas a posibles ataques. Según datos facilitados por Miguel Ángel Ballesteros, director del Departamento de Seguridad Nacional, durante una conferencia sobre ‘La cultura de Seguridad Nacional’, organizada por el Instituto de Cuestiones Internacionales y Política Exterior (INCIPE), la situación para el sector público es preocupante: las administraciones públicas sufrieron el pasado año 55.000 ciberataques, de los cuales 71 fueron críticos, aquellos que pueden llegar a “paralizar” la actividad y generar un, según sus propias palabras, “gravísimo” problema para los ciudadanos.
Ante este panorama, existe el Esquema Nacional de Seguridad (ENS). Se trata del marco de referencia en materia de ciberseguridad en el sector público español, que establece los principios básicos y los requisitos mínimos que deben cumplir los sistemas de información de las administraciones públicas para garantizar la seguridad de la información que manejan y procesan. Y con el que todas las empresas que trabajan para la Administración Pública, ya sea de forma directa o indirecta, deben cumplir, especialmente en lo que se refiere a la protección de la información que manejan.
La primera versión del ENS fue aprobada el año 2010 (Real Decreto 3/2010). Desde entonces, el ENS ha sido objeto de varias actualizaciones y revisiones para adaptarlo a los nuevos retos y desafíos en materia de ciberseguridad, así como para asegurar que la Administración Pública dispone de un marco normativo actualizado y coherente con los estándares internacionales de seguridad.
En este sentido, mediante el Real Decreto 311/2022 en mayo de 2022 se aprobó la última actualización del ENS (denominada ENS 2022) como resultado de las siguientes motivaciones:
La versión 2022 del ENS sustituye a la versión anterior del ENS, y es de obligado cumplimiento para todas las administraciones públicas y entidades vinculadas a ellas en España.
La actualización del ENS trae consigo un cambio de visión, pasando de un modelo reactivo a un modelo en el que se dota de mayor importancia los mecanismos de prevención proactivos. Para ello, se introduce el principio de “Vigilancia Continua”, que consiste en evaluar permanentemente el estado de la seguridad para mejorar la detección temprana y proactiva de vulnerabilidades de ciberseguridad.
En línea con este nuevo principio, se destacan las siguientes novedades introducidas en el ENS 2022 respecto de la anterior versión: