Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es un marco de trabajo promulgado por el Gobierno de España y que establece una serie de medidas relacionadas con la seguridad de la información.

El ENS es de obligado cumplimiento para las administraciones públicas españolas a cualquier nivel de ámbito territorial, y también para las entidades y personas que estén relacionados con dichas administraciones. Por esta razón, aquellas personas o instituciones que trabajen en o para las administraciones públicas de España deben conocer el ENS.

El objetivo de este post es explicar qué es el ENS y referenciar distintas fuentes que lo definen.

Las normativas cambian y es posible que esta entrada quede desactualizada en caso de que haya cambios significativos en la legislación o recursos asociados. Este artículo fue revisado por última vez en abril de 2023.

Definición del Esquema Nacional de Seguridad

El ENS ha sido regulado través de varios decretos de ley. No ha tenido una definición única y definitiva, sino que ha sido actualizado a lo largo del tiempo.

El texto consolidado del ENS, que es una versión que incluye todas las modificaciones hasta la fecha, se encuentra en el siguiente enlace:

Texto consolidado del Real Decreto 3/2022, del 3 de mayo

Ésta debe ser nuestra referencia si queremos aprender o aplicar el Esquema Nacional de Seguridad.

Históricamente, los decretos que han regulado el Esquema Nacional de Seguridad son:

El Esquema Nacional de Seguridad se estableció en el artículo 156.2 de la Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector Público.

Adicionalmente, existe una guía que añade recomendaciones, pero que está fuera de la parte auditable. Este documento es el CNI-STIC 808 “ENS. Verificación del documento”.

La relación entre el ENS y la guía CNI-STIC 808 es similar a la de la ISO/IEC 27001 y la ISO/IEC 27002.

Quién debe cumplir el ENS

Deben cumplir el ENS tanto organismos públicos, como los privados cuando tengan una relación contractual. Se extiende además a toda la cadena de sunimistro.

Se define en el artículo 2 “Ámbito de aplicación”.

Categorías de los sistemas según el ENS

En el Anexo I del Real Decreto 311/2022, del 3 de mayo, donde se detalla el Esquema Nacional de Seguridad, se definen y desarrollan las distintas categorías que puede haber en el Esquema Nacional de Seguridad (ENS).

Se establecen tres categorías de sistemas de seguridad:

  1. Básica
  2. Media
  3. Alta

Dependiendo de la categoría será obligatoria o no el realizar una auditoría, tal y como define el artículo 38:

  • En la categoría básica es suficiente con que la organización realice una autoevaluación y la presente a la CCN.
  • Para las categorías medias y altas, es necesario que se realice una auditoría externa. Solo el Centro Criptográfico Nacional (CCN) está autorizado para realizar estas auditorías.

La asignación de un sistema a una categoría se realiza tal y como se define en el artículo 4 del mencionado anexo I de la Real Decreto 311/2022, del 3 de mayo, y se expande en la guía CCN-STIC 803.

A su vez, se establecen cinco dimensiones de seguridad:

  1. Disponibilidad
  2. Autenticidad
  3. Integridad
  4. Confidencialidad
  5. Trazabilidad

Se evaluará la categoría del sistema de seguridad para cada una de las 5 dimensiones por separado. Se tomará como categoría del sistema seguridad la categoría de mayor valor que haya habido en las 5 dimensiones..

Existen dos indicadores asociados a un sistema según el ENS:

  • Índice de madurez (IM): porcentaje que indica cuánto de seguro es un sistema.
  • Índice de cumplimiento (IC): porcentaje que indica el nivel de formalismo de un sistema.

Dependiendo de la categoría del sistema, se exige un IM determinado para cumplir el ENS :

  • Bajo: ≥50
  • Medio: ≥80
  • Alto: ≥90

Herramientas para aplicar el ENS

La referencia principal debe ser la legislación vigente relativa al Esquema Nacional de Seguridad.

Adicionalmente, las guías CCN-STIC (Seguridad de las Tecnologías de Información y Comunicaciones) son publicadas por el Centro Criptológico Nacional (CCN).

Entre las mismas existe la serie 800 que está dedicada al ENS. Puedes encontrar el índice de las guías CCN-STIC-800 para ENS en este enlace. Existen más de un centenar de guías en esta serie.

Las guías podrían quedar desactualizadas y por tanto se desaconsejaría su uso a partir de ese momento. Por ejemplo, con la aparición del Real Decreto 311/2022 todas las guías con fecha anterior a mayo de 2022 están desactualizadas.

De entre el centenar de guía, las más recomendadas y actualizadas son:

  • CCN-STIC-803 Valoración de los sistemas
  • CCN-STIC-807 Criptología de empleo en el ENS
  • CCN-STIC-808Verificación del cumplimiento de las medidas en el ENS
    • Anexo. Tabla de verificación del cumplimiento del ENS
  • CCN-STIC-824. Informe Nacional del Estado de Seguridad de los Sistemas TIC

CCN-STIC-808 contiene un Excel donde puedes validar cada uno de los aspectos.

El Entorno de Validación del ENS (EVENS) es un entorno colaborativo o una guía basada en una red neuronal para compartir información, facilitar las relaciones y crear comunidad. Puedes entontrar más información en este enlace.

Auditoría de ENS

Si el nivel de ENS exige que sea auditable, esta auditoría debe realizarse cada 2 años.

La auditoría debe ser realizada por algún órgano autorizado por la Entidad Nacional de Certificación (ENAC). Puedes encontrar un listado de entidades acreditadas por la ENAC en este enlace o en este otro.

Algunos certificadores son Bureau Veritas o BDO. A modo estimativo, el precio de una auditoría básica pueden ser 5.200 € en categoría básica y 6.500 € en categoría media.

La versión del ENS publicada en el Decreto Real más reciente sería la que aplicaría para la auditoría.

Guías CCN-STIC relacionadas con la auditoría:

  • Guía CCN-STIC-802 “Guía de auditoría”
  • Guía CCN-STIC-808 “Verificación del cumplimiento de las medidas en el ENS”:  amplía detalles sobre qué se debe valorar en cada uno de los puntos. Puedes encontrar esta guía en este enlace externo.

Notificaciones de incidentes de seguridad en ENS

Las entidades públicas notifican directamente al CCN-CERT los incidentes de seguridad.

Existe una instrucción de notificación de incidentes de ciberseguridad, que es reseñado por el CCN dentro del marco normativo de la ENS.  La CCN también publica la Guía CCN-STIC 817 “Esquema Nacional de Seguridad. Gestión de ciberincidentes”.

Las organizaciones del sector privado bajo el ENS (aquellas que prestan servicios privados a las entidades públicas) o ciudadanos notificarán al INCIBE-CERT, quien lo pondrá inmediatamente en conocimiento del CCN-CERT.

Las instrucciones para informar al INCIBE-CERT se encuentran en la Guía nacional de notificación y gestión de ciberincidentes.

La SGAD autorizará la reconexión a los medios y servicios comunes comprendidos bajo su ámbito de responsabilidad, incluidos los compartidos o transversales, si un informe de superficie de exposición del CCN-CERT hubiere determinado que el riesgo es asumible.

Otros actores deberán coordinarse con el Ministerio de Interior a través de la OCC (RD-1 12/2018), ESPDEF-CERT e IGAE.

Aparentemente, el ENS no especifica un plazo máximo determinado para la notificación de incidentes. No obstante, pueden existir plazos dentro de otras normativas, como las 72 horas máximas de notificación que establece la Agencia Española de Protección de Datos (AEPD) en caso de brecha de datos personales.

Consecuencias de incumplimiento

Las consecuencias de incumplimiento del ENS varían en función de si se tratada de entidades públicas o privadas.

Consecuencias de incumplimiento para entidades privadas

En el FAQ del CCN del ENS, disponible desde este enlace externo, se incluyen las siguientes notas referentes al incumplimiento del ENS:

2.4 ¿Qué responsabilidades se derivan del incumplimiento del ENS?

Las responsabilidades derivadas del incumplimiento del ENS serían las que correspondieren a cada caso concreto, en virtud de lo dispuesto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

[…]

7.3 En el Anexo I del ENS se hace referencia en muchas ocasiones al “incumplimiento formal” y al “incumplimiento material” de una ley, lo que condicionaría el nivel de seguridad que le correspondería a la dimensión de que se trate.

Sin pretender examinar todas las posibilidades y consecuencias jurídicas de ambos términos, diremos, a los efectos del ENS, lo siguiente:

  • Se entiende que existe incumplimiento material de una ley, cuando el obligado a observarla no lo hace. Es decir: no cumple con la obligación expresada en la norma y, por consiguiente, no se alcanza el objetivo perseguido por la misma.
  • Se entiende que existe incumplimiento formal de una ley, cuando el obligado a llega efectivamente a cumplirla, pero haciéndolo sin acomodarse al procedimiento explícitamente señalado en la norma (o implícitamente contemplado por ella). En este caso, por tanto, puede alcanzarse el objetivo perseguido por la norma, pero no de la manera (forma) que prescribe el precepto. En general, se trata de un incumplimiento menos grave que el anterior.

La Generalitat de Cataluña emitió el Informe 12/2020 “Consecuencias para las empresas licitadoras de la falta de acreditación del cumplimiento de conformidad con el Esquema Nacional de Seguridad”. Este informe está accesible navegando desde este enlace externo.

Relación con otras normas

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) menciona en ENS en la disposición adicional primera “Medidas de seguridad en el ámbito del sector público”.

ENS y la nube

Existe una guía CCN-STIC 823 titulada “Utilización de servicios en la nube”.

Cumplimiento del ENS en los principales proveedores de servicios en la nube:

There is no reference about Esquema Nacional de Seguridad (ENS) in the websites of Alibaba Cloud.

Regulaciones similares en otros países

En Estados Unidos:

  • El Federal Information Security Management Act (FISMA), publicado en 2002, require que las agencias federales implementen un programa de seguridad de la información que cubra sus operaciones.
  • Los proveedores en la nube requieren que trabajan con administraciones públicas deben tener la certificación FedRAMP.

En Reino Unido existen las certificaciones Cyber Essentials, que tienen una filosofía similar al ENS. Esa certificación es necesaria para trabajar con una organización británica de carácter público.

Referencias externas

2 Comments

Leave a Reply to Magerit IT Risk Analysis Methodology – RunModuleCancel Reply

Your email address will not be published. Required fields are marked *