CRITERIOS PARA LA CERTIFICACIÓN

El Real Decreto 311/2022, como desarrollo y actualización del Real Decreto 3/2010, de 8 de enero, tiene por objeto regular el Esquema Nacional de Seguridad, establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias. Lo dispuesto en este real decreto, por cuanto afecta a los sistemas de información utilizados para la prestación de los servicios públicos, deberá considerarse comprendido en los recursos y procedimientos integrantes del Sistema de Seguridad Nacional recogidos en la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

En su capítulo V, artículo 38, se definen las normas de conformidad y procedimientos de determinación de la conformidad con el ENS.

Capítulo V – Artículo 38. Procedimientos de determinación de la conformidad con el Esquema Nacional de Seguridad.

1. Los sistemas de información comprendidos en el ámbito del artículo 2 serán objeto de un proceso para determinar su conformidad con el ENS. A tal efecto, los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad, sin perjuicio de la auditoría de la seguridad prevista en el artículo 31 que podrá servir asimismo para los fines de la certificación, mientras que los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad, sin perjuicio de que se puedan someter igualmente a una auditoria de certificación.

Tanto el procedimiento de autoevaluación como la auditoría de certificación se realizarán según lo dispuesto en el artículo 31 (Auditoría de la seguridad) y el anexo III (Auditoría de las seguridad) y en los términos que se determinen en la correspondiente Instrucción Técnica de Seguridad, que concretará asimismo los requisitos exigibles a las entidades certificadoras.

2. Los sujetos responsables de los sistemas de información a que se refiere el apartado anterior darán publicidad, en los correspondientes portales de internet o sedes electrónicas a las declaraciones y certificaciones de conformidad con el ENS, atendiendo a lo dispuesto en la mencionada Instrucción Técnica de Seguridad.

El Real Decreto 3/2010, con vigencia y validez declarada por el CCN hasta el próximo 04 de Mayo de 2024, en cumplimiento de lo dispuesto en la derogada Ley 11/2007 de 11 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios públicos (LAECSP) y posteriormente en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), así como su modificación a través del Real Decreto 951/2015, de 23 de Octubre, regula la Seguridad de los Sistemas de Información de las Administraciones Públicas, estableciendo unos principios de protección básicos y unos requisitos mínimos de seguridad de la Información tratada y de los Servicios prestados, incluyendo la obligatoriedad de la realización de análisis de riesgos para adaptar al contexto específico de cada organización las medidas de seguridad necesarias.

En su artículo 41, el Esquema Nacional de Seguridad señala:

Artículo 41. Publicación de conformidad.

Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.

El Centro Criptológico Nacional (CCN), conforme a lo recogido en el Plan de Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas (PSSIAP), en su calidad de Plan Derivado del Plan Nacional de Ciberseguridad, y dando respuesta a lo recogido en la Línea de Acción 2 de la Estrategia de Ciberseguridad Nacional, articula a través de la guía CCN-STIC-809 el Esquema de Declaración y Certificación de Conformidad con el ENS.

CRITERIOS PARA LA DETERMINACIÓN DE LA CONFORMIDAD

La guía CCN-STIC-809 recoge los siguientes criterios para la determinación de la Conformidad con los principios y requisitos del Esquema Nacional de Seguridad:

  • El ENS, en su condición de norma legal y tal como recoge su contenido (RD 03/2010 – Artículo 3 y en RD311/2022 – Artículo 2), resulta de obligado cumplimiento para todos los sistemas de su ámbito de aplicación, sin perjuicio de la aplicación a los sistemas que tratan información clasificada de la Ley 9/1968, de 5 de abril, de Secretos Oficiales y otra normativa especial.
  • La conformidad con lo dispuesto en el ENS se alcanza satisfaciendo los mandatos contenidos en su texto articulado (RD 03/2010 o en RD311/2022 según el alcance de aplicación declarado por cada organización) y mediante la adecuada implantación de las medidas de seguridad contempladas en el Anexo II de la norma, previa categorización de los sistemas a proteger.
  • Las Guías CCN STIC 802 (Esquema Nacional de Seguridad. Guía de auditoría), 804 (Esquema Nacional de Seguridad. Guía de implantación) y 808 (Verificación del cumplimiento de las medidas en el ENS), proporcionan los elementos necesarios para definir los criterios de determinación de la conformidad, así como la implantación y verificación de las medidas de seguridad, incluyendo el proceso de auditoría.
  • La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal auditoría deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado que pudieran repercutir en las medidas de seguridad que deban adoptarse, tal y como disponen el RD 03/2010 – Artículo 34, el RD 311/2022 y, en ambos casos, su correspondiente Anexo III del ENS.
  • Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento de autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años.
  • Siendo obligatoria la Auditoría en sistemas de categorías MEDIA o ALTA, nada impide que un sistema de categoría BÁSICA se someta igualmente a una Auditoría formal de verificación de conformidad, siendo esta posibilidad siempre la deseable.