El Real Decreto 3/2010, en cumplimiento de lo dispuesto en la Ley 11/2007 de 11 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios públicos (LAECSP) y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), así como su modificación a través del Real Decreto 951/2015, de 23 de Octubre, regula la Seguridad de los Sistemas de Información de las Administraciones Públicas, estableciendo unos principios de protección básicos y unos requisitos mínimos de seguridad de la Información tratada y de los Servicios prestados, incluyendo la obligatoriedad de la realización de análisis de riesgos para adaptar al contexto específico de cada organización las medidas de seguridad necesarias.

En su artículo 41, el Esquema Nacional de Seguridad señala:

Artículo 41. Publicación de conformidad.

Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.

El Centro Criptológico Nacional (CCN), conforme a lo recogido en el Plan de Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas (PSSIAP), en su calidad de Plan Derivado del Plan Nacional de Ciberseguridad, y dando respuesta a lo recogido en la Línea de Acción 2 de la Estrategia de Ciberseguridad Nacional, articula a través de la guía CCN-STIC-809 el Esquema de Declaración y Certificación de Conformidad con el ENS.

Criterios para la Determinación de la Conformidad

La guía CCN-STIC-809 recoge los siguientes criterios para la determinación de la Conformidad con los principios y requisitos del Esquema Nacional de Seguridad:

  • El ENS, en su condición de norma legal y tal como se recoge en su artículo 3, resulta de obligado cumplimiento para todos los sistemas de su ámbito de aplicación, sin más excepciones que los sistemas que tratan la información clasificada regulada en la Ley 9/1968, de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

  • La conformidad con lo dispuesto en el ENS se alcanza satisfaciendo los mandatos contenidos en su texto articulado y mediante la adecuada implantación de las medidas de seguridad contempladas en el Anexo II de la norma, previa categorización de los sistemas a proteger.

  • Las Guías CCN STIC 802 (Esquema Nacional de Seguridad. Guía de auditoría), 804 (Esquema Nacional de Seguridad. Guía de implantación) y 808 (Verificación del cumplimiento de las medidas en el ENS), proporcionan los elementos necesarios para definir los criterios de determinación de la conformidad, así como la implantación y verificación de las medidas de seguridad, incluyendo el proceso de auditoría.

  • La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal auditoría deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado que pudieran repercutir en las medidas de seguridad que deban adoptarse, tal y como disponen el artículo 34 y el Anexo III del ENS.

  • Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento de autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal autoevaluación deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado, que pudieran repercutir en las medidas de seguridad que deban adoptarse, tal y como disponen el artículo 34 y el Anexo III del ENS.

  • Siendo obligatoria la Auditoría en sistemas de categorías MEDIA o ALTA, nada impide que un sistema de categoría BÁSICA se someta igualmente a una Auditoría formal de verificación de conformidad, siendo esta posibilidad siempre la deseable.