FAQ

El objetivo de esta sección es proporcionar a los organismos del ámbito de aplicación del Esquema Nacional de Seguridad, un mecanismo para resolver de una forma rápida y eficaz aquellas dudas que surgen habitualmente con el desafío que supone abordar el cumplimiento y la adecuación a lo indicado en el precitado Real Decreto 3/2010, de 8 de enero.

El Esquema Nacional de Seguridad (ENS) es un conjunto normativo que posibilita crear y mantener las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, para facilitar el ejercicio de derechos y cumplimiento de deberes a través de estos medios.

Para las entidades públicas de su ámbito de aplicación, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.

Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.

Desde la entrada en vigor de la Ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de Régimen Jurídico del Sector Público, ambas de 1 de octubre, (que derogaron la Ley 11/2007, de Acceso de los ciudadanos a los Servicios Públicos), el ámbito de aplicación subjetivo del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), es coincidente con el señalado en la Ley 40/2015: el Sector Público, tal y como se encuentra definido en el art. 2 de dicha norma.

Así pues, el ámbito de aplicación del ENS se extiende, en general, a todas aquellas actividades que las entidades del Sector Publico puedan desarrollar conforme al Derecho Público, bien porque se trate de entidades de las Administraciones Públicas o de actividades de entidades que ejerzan potestades administrativas, bien porque desarrollen sus funciones en base al Derecho Público. Todo ello está recogido en la Guía CCN-STIC 830: Ámbito de aplicación del ENS.

El Esquema Nacional de seguridad está regulado por la siguiente normativa:

Las Series CCN-STIC, clasificadas en varias Series, son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional al objeto de proporcionar a las organizaciones herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la Serie CCN-STIC 800 comprende un conjunto doctrinal de las políticas y procedimientos más adecuados para la implementación del Esquema Nacional de Seguridad, sus medidas, su evaluación, certificación y control.

Si su organismo se encuentra comprendido en el ámbito de aplicación del ENS, debe cumplir con lo establecido en el RD 3/2010. Para ello, debe comenzar el proceso de adecuación al ENS y, como primer paso, deberá acometer la aprobación de la Política de Seguridad de la Información de la organización.

El Plan de Adecuación es un conjunto ordenado de acciones tendentes a satisfacer lo exigido por el ENS. Este Plan deberá contemplar las siguientes fases:

  • Preparar y aprobar la Política de Seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
  • Categorizar los sistemas de información, atendiendo a la valoración de la información manejada, teniendo en cuenta si incluye datos de carácter personal, y la valoración de los servicios prestados.
  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
  • Preparar la Declaración de Aplicabilidad de las medidas del Anexo II del ENS y Perfil de Cumplimiento.
  • Elaborar un Plan de Mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.

La Política de Seguridad de la Información es un documento de alto nivel que muestra el compromiso de una organización con la seguridad de la información y define cómo se aborda. Dicho documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Conviene que sea breve, dejando los detalles técnicos para otros documentos normativos. Como se trata de un documento público, no debe mostrar vulnerabilidades que puedan ser explotadas por actores maliciosos.

Esta norma será aprobada por la Dirección de la entidad (órgano superior de que se trate), y se plasmará en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:

  • Los objetivos o misión de la organización.
  • El marco legal y regulatorio en el que se desarrollarán las actividades.
  • Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.
  • La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, los miembros y la relación con otros elementos de la organización.
  • Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

De cara a instrumentalizar la organización de la seguridad de una entidad, se pueden crear comités, que se articularán y funcionarán como órganos colegiados de acuerdo a la normativa administrativa.

El Comité de Seguridad puede ser único (que, cuando existe, suele denominarse Comité de Seguridad Corporativa, y cuya responsabilidad es alinear todas las actividades de la organización en materia de seguridad, seguridad patrimonial, seguridad física, planes de contingencia, etc.), o bien, pueden existir comités especializados (habitualmente incluidos en el anterior), entre ellos el Comité de Seguridad de la Información, que se responsabiliza de alinear las actividades de la organización en materia de seguridad de la información.

Niveles de la estructura de seguridad

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) no prevé sanciones por incumplimiento.

No obstante, como sucede con el resto de la legislación de aplicación a las Administraciones Públicas, la inexistencia (o inaplicabilidad, en su caso) de un régimen sancionador no obsta para que persista la denominada Responsabilidad Patrimonial de las Administraciones Públicas, en virtud de la cual el ciudadano debe ser resarcido de los daños patrimoniales que sufra como consecuencia de daños ocasionados por acción u omisión de las Administraciones Públicas, sabiendo que, en todo caso, el daño alegado, habrá de ser efectivo, evaluable económicamente e individualizado con relación a una persona o grupo de personas.

La responsabilidad de las Administraciones Públicas, en nuestro ordenamiento jurídico, tiene su base no solo en el principio genérico de la tutela efectiva que en el ejercicio de los derechos e intereses legítimos viene reconocido en el art. 24, CE sino también, en el art. 106.2, CE al disponer que los particulares, en los términos establecidos por la Ley, tendrán derecho a ser indemnizados por toda lesión que sufran en cualesquiera de sus bienes y derechos, salvo los casos de fuerza mayor, siempre que sea consecuencia del funcionamiento de los servicios públicos.

Las Administraciones Públicas indemnizarán a los particulares por la aplicación de actos legislativos de naturaleza no expropiatoria de derecho y que éstos no tengan el deber jurídico de soportar, cuando así se establezcan en los propios actos legislativos y en los términos que especifiquen dichos actos.

No obstante lo anterior, el comportamiento inadecuado de la Administración puede deberse también a una negligencia o falta de la debida diligencia por parte de los empleados públicos, razón por la cual, pero al margen de la antedicha Responsabilidad Patrimonial de las Administraciones Públicas, el funcionario incumplidor podría ser sometido a las sanciones disciplinarias a las que hubiera lugar, circunstancia que se da no solo en el caso del Responsable de la Seguridad, sino en cualquier otro puesto o cargo público.

En la actualidad, el ENS no establece ningún requisito para ser nombrado Responsable de Seguridad más allá de la debida competencia para el desempeño de las funciones como tal.

Las categorías de los sistemas de información en el ENS y cómo determinarla está definido en el Anexo I del R.D. 3/2010, de 8 de enero. En él se indica que la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, con repercusión en la capacidad organizativa para:

    a) Alcanzar sus objetivos.
    b) Proteger los activos a su cargo.
    c) Cumplir sus obligaciones diarias de servicio.
    d) Respetar la legalidad vigente.
    e) Respetar los derechos de las personas.

El CCN elaboró un simulador anexo al documento CCN-STIC BP/14 en el que se puede calcular la categoría de un sistema en función de la valoración de cada una de sus dimensiones.

El análisis de riesgos es un proceso sistemático para estimar la magnitud de los riesgos a que están expuestos los sistemas de información de una organización. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se encuentran tales sistemas. En coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la Dirección.

Los riesgos, una vez identificados, deberán ser tratados siguiendo alguna de las múltiples formas que existen: evitando las circunstancias que lo provocan, reduciendo las posibilidades de que ocurra, acotando sus consecuencias, compartiéndolo con otra organización, o incluso, aceptando que pueda ocurrir y previendo recursos para actuar cuando sea necesario.

El ENS no impone ninguna metodología concreta para el análisis y gestión de los riesgos más allá de la necesidad de utilizar una metodología reconocida, cuya funcionalidad y resultados puedan ser contrastables.

En el ámbito del ENS, es el documento en el que se formaliza la relación de medidas de seguridad recogidas en el Anexo II del Real Decreto 3/2010, de 8 de enero, que resultan de aplicación al sistema de información de que se trate, conforme a su categoría. Para facilitar su elaboración el CCN publicó el documento CCN-STIC BP/14, en el que se incluye como anexo un simulador.

Un Perfil de Cumplimiento Específico (PCE) es un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 3/2010, de 8 de enero, que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad.

Cuando la implementación de un PCE requiera configuraciones de seguridad específicas, en función de las distintas tecnologías, se publicará junto con las correspondientes Guías STIC de Configuración.

El procedimiento para obtener la conformidad/certificación con el Esquema Nacional de Seguridad está regulado en la resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

En cuanto a la diferencia de requisitos de cumplimiento entre un sistema de categoría BÁSICA y uno de categoría MEDIA o ALTA, la mayor parte de ellos son de tipo técnico o de gestión, siendo comunes a todos los referidos a la organización de la seguridad.

Si se decide acometer la adecuación de los sistemas de información al ENS de una forma gradual, la opción de abordar primero la conformidad con la categoría BÁSICA para luego seguir evolucionando hasta cumplir con los requisitos de la categoría MEDIA o ALTA es una buena opción. Sin embargo, esto no debe llevar al error de pensar que al alcanzar la conformidad con los requisitos de la categoría BÁSICA ya se está cumpliendo con lo requerido por el ENS, pues dichos requisitos vienen determinados por la categoría del sistema, y al ser esta superior a la categoría de la conformidad alcanzada, no se estaría cumpliendo con todos los requisitos exigidos.

La Declaración de la Conformidad con el Esquema Nacional de Seguridad es solamente aplicable a los sistemas de información de categoría BÁSICA, y se obtendrá mediante una autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha autoevaluación atenderá a lo dispuesto sobre auditoría en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero, pudiendo ser desarrollada por el mismo personal que administra el sistema de información o en quien éste delegue.

La Certificación de Conformidad con el Esquema Nacional de Seguridad es aplicable a los sistemas de información con categorías MEDIA y ALTA, y se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero.

Los sistemas de información de categoría BÁSICA podrán ser sometidos al procedimiento de auditoría formal con la finalidad de obtener la Certificación de Conformidad.

La Declaración de Conformidad y la Certificación de Conformidad son preceptivas para los sistemas de información de las entidades del ámbito de aplicación del ENS, ya sean públicas o privadas.

Las Certificaciones de Conformidad se publicarán en la página web del CCN tanto para el sector público certificado como para empresas certificadas.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.

Por tanto, es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la presente Instrucción Técnica de Seguridad.

Como garantía del cumplimiento de lo anterior, las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad podrán solicitar en todo momento a tales organizaciones los Informes de Autoevaluación o Auditoría correspondientes, al objeto de verificar la adecuación e idoneidad de las antedichas manifestaciones.

En la actualidad, el CCN mantiene en su página web una lista de los operadores privados cuyos sistemas de información han obtenido la Certificación de Conformidad con el ENS.

A la hora de contratar un servicio externalizado, se deberá notificar a los prestadores que deseen participar en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la Instrucción Técnica de Seguridad. Un posible ejemplo de inclusión en un pliego, sería:

"Los sistemas de información que utilice el licitador para le prestación de los servicios objeto del presente Concurso, deberán ser conformes con lo dispuesto en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), antes del inicio de la prestación del servicio".

No obstante, como quiera que esta última exigencia puede ser difícil de cumplir en todos los casos, podría ser admisible, de forma excepcional, la fórmula:

"Los sistemas de información que utilice el licitador para le prestación de los servicios objeto del presente Concurso, deberán ser conformes con lo dispuesto en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), antes del inicio de la prestación del servicio o, si ello no fuere posible, dentro de los seis meses de iniciada su prestación".

En virtud del principio de proporcionalidad y para facilitar la conformidad con el Esquema Nacional de Seguridad a las entidades locales, se podrán implementar perfiles de cumplimiento específicos que comprenderán aquel conjunto de medidas de seguridad que, trayendo causa del preceptivo análisis de riesgos, resulten de aplicación para una concreta categoría de seguridad.

Un Perfil de Cumplimiento Específico es un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 3/2010, de 8 enero, que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad.

En el caso concreto de la Entidades Locales de menos de 20.000 habitantes, podrán hacer uso, si lo consideran oportuno, del Perfil de Cumplimiento Específico para entidades locales de tamaño pequeño y mediano.

Una Diputación o Cabildo que preste servicios a entidades locales dentro de su ámbito de competencia está obligada a que los sistemas de información que soportan tales servicios sean conformes y estén certificados con lo dispuesto en el Esquema Nacional de Seguridad.

Las Entidades Locales usuarias de dichos servicios, como titulares de la prestación de los servicios, son responsables de determinar la categoría de seguridad requerida para dichos sistemas, de conformidad con el ENS y de solicitar a la Diputación o Cabildo correspondiente la Declaración o Certificación de Conformidad con el ENS de dichos sistemas.

El Esquema Nacional de Seguridad es una norma legal que pretende garantizar la seguridad de los sistemas de información de las entidades de su ámbito de aplicación, la información tratada y los servicios prestados, mientras que el Reglamento de Protección de Datos Personales persigue la protección de los derechos de los titulares de los datos personales, singularmente su derecho a la protección de datos. Sin embargo, desde un punto de vista práctico, ambas normas persiguen dotar a los sistemas de la seguridad de la suficiente para alcanzar sus objetivos. Por ello, no sólo no son incompatibles, sino que son complementarios y el cumplimiento de una de ellas facilita el cumplimiento de la otra. Así lo señala la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que obliga a determinados responsables a aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Este informe está regulado por la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad, aprobada por resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas. Dicha norma establece las condiciones relativas a la recopilación y comunicación de datos que permita conocer las principales variables de la seguridad de la información de los sistemas comprendidos en el ámbito de aplicación del Esquema Nacional de Seguridad, y confeccionar un perfil general del estado de la ciberseguridad en las Administraciones Públicas.

Para cumplir con la obligación anterior, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad), facilitando la labor de todos los organismos. A través de este proyecto, se permite la recogida de información organizada, delegada y supervisada.

No. Cada dos años se debe realizar una autoevaluación o una auditoría formal, según corresponda, para verificar que los sistemas de información siguen cumpliendo con los requisitos exigidos en función de su categoría. Dicho de otro modo, el ENS es, además de una norma legal, un sistema de gestión de la seguridad de la información que se basa en un ciclo de mejora y supervisión continua de la seguridad de los sistemas de información.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.

Por tanto, cumpliendo con lo expuesto anteriormente, se estará en disposición de participar en licitaciones de servicios con las Administraciones Públicas en los que se exija el cumplimiento con el ENS y la evidencia de tal conformidad.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), las Entidades de Certificación de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.

Estarán exentas del cumplimiento de los requisitos señalados anteriormente aquellas entidades, órganos, organismos y unidades vinculadas o dependientes de las Administraciones Públicas cuyas competencias incluyan el desarrollo de auditorías de sistemas de información, así conste en su normativa de creación o decretos de estructura y quede garantizada la debida imparcialidad.

La Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, especifica como su ámbito de aplicación, exclusivamente, los sistemas de información de las entidades del ámbito de aplicación del ENS, cuando tales sistemas desarrollen competencias estatutarias de la entidad pública de que se trate.

No obstante, los servicios soportados por los sistemas de información certificados se beneficiarán de tal certificación, por cuanto su enumeración deberá aparecer en las Certificaciones de Conformidad con el ENS, para general conocimiento.

La Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, prescribe que, la conformidad con el ENS de un sistema de categoría BÁSICA se exhibirá con la correspondiente Declaración de Conformidad, haciendo uso de su Distintivo de Conformidad específico. Análogamente, en el caso de sistemas de categoría MEDIA o ALTA, la Certificación de Conformidad con el ENS se exhibirá mediante su Distintivo de Conformidad específico. En ambos casos, serán documentos electrónicos, en formato no editable y poseerán el aspecto que se muestra en los anexos III y IV de dicha Instrucción Técnica.

Para publicar la Declaración de Conformidad o Certificación de Conformidad con el Esquema Nacional de Seguridad, bastará con la exhibición en la sede electrónica de la entidad pública titular o usuaria del sistema de información en cuestión, del Distintivo correspondiente, que incluirá un enlace al documento de Declaración de Conformidad o Certificación de Conformidad, según corresponda, que también permanecerá accesible a través de dicha sede electrónica.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, las entidades certificadoras de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.

Con independencia de que los prestadores privados deban exhibir la correspondiente Certificación de Conformidad con el ENS en relación con los sistemas de información que vayan a ser utilizados en la ejecución del contrato, no creemos que esté de más recordar en los Pliegos la obligación de los licitadores de acomodar la ubicación de los servidores de los servicios objeto de licitación a lo dispuesto en el Real Decreto-ley 14/2019 y de incluir, adicionalmente a la antedicha Certificación de Conformidad con el ENS, las previsiones que se recogen en el artículo 5.5 de dicho Real Decreto-ley, por el que se modifica la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, y en el que se indica que los tratamientos de categorías especiales de datos, (además de requerir el consentimiento del usuario, por mor de lo dispuesto en el RGPD), exigen que dicho tratamiento se haga dentro de territorio español, por lo que, caso de usarse un prestador del servicio externo que trate tales datos biométricos, los sistemas utilizados deberán estar ubicados en España.

No existe inconveniente para que los sistemas de información de cualquier entidad, ya sea española o no, posean la Certificación de Conformidad con el ENS, tras haber superado la correspondiente Auditoría de Certificación. De hecho, como se puede observar en la lista de empresas con Certificación de Conformidad expuestas en la página web del CCN, hay varias que no son españolas y cuyos sistemas de información no están ubicados en España.

El procedimiento para alcanzar la Certificación de Conformidad con el ENS se puede encontrar en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad (BOE, Núm. 265. Miércoles 2 de noviembre de 2016 Sec. III. Pág. 76365).

También se puede encontrar más información en la "Guía CCN-STIC 809 Conformidad con el ENS y Distintivos de Cumplimiento”.

La exigencia del uso de un doble factor de autenticación en sistemas de categoría MEDIA puede implementarse de diferentes maneras, como la utilización de tokens externos, certificados digitales o el uso de contraseñas de un solo uso (OTP) remitidas vía SMS o mediante una aplicación en el móvil del usuario.

No obstante, el análisis de riesgos que preceptivamente exige el ENS, determinará la rigurosidad de la aplicación del doble factor y la posibilidad de utilizar, en su caso, una medida compensatoria adecuada (según lo indicado en la Guía CCN-STIC 819) que, contemplando el riesgo, pueda compensar adecuada y justificadamente la no aplicación del doble factor. Además, como señala el artículo 27 del ENS, deberá justificar documentalmente que dichas medidas protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del ENS.

La adecuada aplicación de la medida compensatoria será objeto de examen en la auditoría periódica o de certificación del sistema.

En virtud de lo dispuesto en el artículo 18 del ENS, el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información, dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados.

Si los productos de determinados fabricantes están destinados a integrarse en sistemas de información de Categoría ALTA, según dispone la medida [op.pl5], es necesario que las funcionalidades de seguridad de tales productos y su nivel hayan sido evaluadas conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. A tales efectos, tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas.

De no ser así, el análisis de riesgos determinará la posibilidad de usar medidas compensatorias para paliar los posibles efectos de la utilización de productos no certificados.

El Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC), recoge los Productos Aprobados para el manejo de información clasificada y los Productos Cualificados para el manejo de información sensible, de forma que pueda servir de referencia a la Administración Pública.

Dicho Catálogo se ha publicado en la Guía CCN-STIC 105 Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación.

Como señala el RD 3/2010 (ENS), los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.

Además, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de esta auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.

Por otro lado, como señala la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, la Certificación de la Conformidad con el ENS de los sistemas de información con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero.

Esta misma Instrucción Técnica de Seguridad señala que la Certificación de Conformidad con el ENS se basará en el resultado de la antedicha auditoría, disponiendo de una validez efectiva de dos años, siempre que, por lo señalado, no sea necesario acometer una auditoría extraordinaria con anterioridad.

Por todo lo dicho, la “Fecha de renovación de la certificación de conformidad” que aparezca en la Certificación de Conformidad nunca podrá superar los dos años naturales desde la “Fecha de certificación de conformidad inicial” (que debe entenderse como la fecha en la que el órgano de certificación de la entidad decide otorgar dicha Certificación), pudiendo ser menor si las circunstancias así lo exigen.

Por todo ello, la auditoría se deberá planificar convenientemente de modo que la decisión de certificación subsiguiente se pueda tomar dentro del período de validez de la certificación precedente.

Si una entidad dispone de una Certificación de Conformidad con el ENS de categoría Media en vigor, y, con posterioridad, la Entidad de Certificación solo ha auditado las medidas para la categoría Alta, la Certificación de Conformidad de categoría Alta no puede ir más allá de la fecha de expiración expresada en el Certificado de Conformidad de categoría Media.

Sin embargo, si hubiera realizado una auditoría completa (auditando, por tanto, todas las medidas) la Certificación de Conformidad con el ENS podría tener la vigencia habitual de dos (2) años.

El RD 3/2020, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad determina en su Anexo III (Auditorías de seguridad), prescribe que se comprobará haber realizado un análisis de riesgos con revisión y aprobación anual.

Esto no es óbice para que, cuando el sistema sufra modificaciones que puedan afectar a la seguridad del mismo, se deba realizar un análisis de riesgos extraordinario que permita identificar variaciones en los niveles de riesgo derivadas de la mencionada modificación.

Si su sistema de información ha sido categorizado como de categoría Básica y ha superado satisfactoriamente la preceptiva Autoevaluación, puede expedirse la correspondiente Declaración de Conformidad con el ENS, siempre respetando lo dispuesto en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad (BOE, núm. 265 Miércoles 2 de noviembre de 2016).

Respecto a la ausencia de productos certificados para ENS categoría ALTA, según dispone la medida [op.pl.5], es necesario que las funcionalidades de seguridad de tales productos y su nivel hayan sido evaluadas conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. A tales efectos, tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 (Common Criteria) u otras de naturaleza y calidad análogas.

En cualquier caso, si se desea realizar alguna consulta adicional relativa a la cualificación de productos dentro del ENS, se puede contactar directamente con el grupo encargado de publicar el Catálogo de Productos de Seguridad TIC (CPSTIC) en el correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Una opción es proporcionar el acceso remoto utilizando una infraestructura de virtualización de escritorios, como Citrix Cloud, Enterprise Application Access de Akamai o similar, que permite acceder a sus escritorios añadiendo una capa de seguridad con la que implementar un doble factor de autenticación sin exponer directamente sus equipos a internet, y a la vez, mantener una trazabilidad de las acciones de los usuarios. Además, es recomendable la instalación de una protección de endpoint del tipo EDR.

En todo caso, se deben evitar soluciones que expongan los equipos directamente a internet, pero, de no ser posible otra solución, se deben implementar medidas de seguridad adicionales como doble factor de autenticación o limitar y controlar el direccionamiento IP desde el que se conecten los usuarios.

Para resolver dudas se ha publicado el "Abstract - Medidas de seguridad para acceso remoto". En él se recogen soluciones que permiten implementar, de forma ágil, acceso remoto a los recursos de una Organización minimizando el impacto en los recursos IT y optimizando el tiempo para su puesta en producción. Además, también está disponible el documento “CCN-CERT BP/18 Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia (marzo 2020)”.

En estos momentos no existe una formación reglada para el ENS. Sin embargo, en el apartado de capacitación del Entorno de Validación ENS (EVENS) se puede encontrar la formación facilitada por el CCN.

Para cuestiones más específicas, se puede remitir consulta al correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Como dispone la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio, será la propia norma que lo declare la que señale su alcance y límites. Cuando tal alcance impida el normal desenvolvimiento de las actividades de certificación, el Centro Criptológico Nacional, en el ejercicio de sus competencias, publicará una nota informativa y/o remitirá a las Entidades de Certificación del ENS una comunicación señalando las actuaciones y medidas que podrán adoptarse ante tal eventualidad, y que podrán consistir en la suspensión de los plazos de caducidad y prescripción de las Certificaciones de Conformidad con el ENS concedidas, en tanto persista el estado de alarma declarado.

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.