La Ley 40/2015 incluye a la seguridad entre los principios de actuación de las administraciones públicas y recoge el Esquema Nacional de Seguridad (ENS), de aplicación a todo el Sector Público, que ofrece un planteamiento común de principios, requisitos y medidas de seguridad.

El Esquema Nacional de Seguridad (ENS) proporciona al Sector Público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas.

El ENS se materializó mediante el «Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica», que se ocupa esencialmente de establecer la política de seguridad en la utilización de medios electrónicos a través de los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Posteriormente, fue modificado por el Real Decreto 951/2015, a la luz de la experiencia obtenida de su implantación desde su publicación en enero de 2010, de los resultados del informe del estado de la seguridad previsto en su artículo 35; de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

El principal objetivo del ENS es crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permitan el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Otros objetivos, importantes también, aunque puedan tener un carácter más instrumental, son: promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia; promover la prevención, detección y corrección para una mejor resiliencia en el escenario de ciberamenazas y ciberataques; promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades, que se consigue esencialmente gracias a los elementos y el lenguaje comunes que han de guiar la actuación de las entidades del sector público, así como facilitar la comunicación de los requisitos de seguridad de la información a la Industria; y, por qué no, servir también de modelo de buenas prácticas.

Los citados principios básicos (6) orientan en las decisiones en materia de seguridad, mientras que la aplicación de los requisitos mínimos (15) permite una protección adecuada de la información manejada y de los servicios prestados.