Despachos

Operaciones

Colegios

Justicia

Entrevistas

Comunidad Legal

Reportajes

Colaboraciones

Internacional

LP emprende

Abogados Jóvenes

Mediación

Arbitraje

TIC

BLOGS

Agenda
 
 
04 de DICIEMBRE de 2015

Modificación del esquema nacional de seguridad

LAWYERPRESS

Por José María Molina Mateos, Doctor en Derecho, Abogado, socio de ENATIC
 

José María Molina Mateos, Doctor en Derecho, Abogado, socio de ENATICEl Real Decreto 951/2015, de 23 de octubre, publicado en el B.O.E. el día 4 de noviembre pasado, en cumplimiento del mandato normativo[1] según el cual este cuerpo legal ha de mantenerse actualizado de manera permanente, viene a modificar la norma de mismo rango de 8 de enero de 2.010, por la que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Además de esta modificación, el artículo 13 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas recoge el derecho de los ciudadanos a comunicarse con las administraciones a través de medios electrónicos y a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. De igual modo, el artículo 152 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público determina que el E.N.S. tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la misma[2]. Lo que viene a suponer una ampliación del objeto, que estaba circunscrito a lo dispuesto en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, que ha sido derogada, el establecimiento como un derecho/deber a la seguridad y confidencialidad de los datos en los sistemas de las Administraciones, y la profundización, de este modo, en el cumplimiento de lo dispuesto en la Estrategia de Ciberseguridad Nacional.

Las modificaciones se desarrollan a lo largo de diecisiete apartados que finalizan con una disposición transitoria única en la que se establece un plazo de veinticuatro meses para la adecuación a las mismas de los sistemas afectados, entre las que se pueden destacar los siguientes aspectos:

a)      Exigencia de que las organizaciones que presten servicios de seguridad a las Administraciones cuenten con profesionales cualificados (art. 15.3).

b)      Se eleva y concreta la exigencia de certificación funcional en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleadas por las Administraciones (art. 18).

c)      Se amplía sustancialmente el contenido del artículo 24.2 al añadir a los procedimientos de gestión de incidentes de seguridad,  las debilidades detectadas en los elementos del sistema de información.

Profundizar en los procedimientos de seguridad describiendo su cobertura al señalar que cubrirán los mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de actuaciones. Señalando expresamente que, este registro, se empleará para la mejora continua de la seguridad del sistema.

d)     Se amplía el contenido del artículo 27 dedicado al cumplimiento de requerimientos mínimos, mediante el añadido de dos nuevos apartados, el 4 y el 5.

El primero de ellos, preceptúa que la relación de medidas seleccionadas del Anexo II, se formalizarán en una Declaración de Aplicabilidad, firmada por el responsable de seguridad.

Así como que las medidas del Anexo II podrán ser reemplazadas por otras siempre y cuando se justifique que protegen igual o mejor, el riesgo sobre los activos y se cumplen los principios básicos y requisitos mínimos del ENS.

Como garantía de la Declaración de Aplicabilidad exige que se detalle la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II que compensar, requiriendo el conjunto objeto de aprobación formal por parte del responsable de seguridad.

e)      Se cambia el título del artículo 29 y se amplía sustancialmente su contenido mediante la introducción de dos nuevos párrafos, señalados con los números 2 y 3.

A partir de ahora el título del citado artículo será el de “Instrucciones técnicas de seguridad y guías de seguridad”, y pasa a describirlas y expresar su contenido.

Las instrucciones técnicas de seguridad se serán aprobadas por el Ministerio de Hacienda y Administraciones Públicas a propuesta del Comité Sectorial de Administración Electrónica y a iniciativa del CCN, serán publicadas mediante resolución de la Secretaría de Estado de Administraciones Públicas y serán de obligado cumplimiento.

f)       Se da una mayor precisión y profundidad al informe del estado de la seguridad previsto en el artículo 35 del ENS, añadiendo un segundo párrafo. De tal forma que, a partir de ahora, el Comité Sectorial de Administración Electrónica recogerá la información relacionada con el estado de las principales variables de la seguridad en las AA.PP. Y, el CCN articulará los procedimientos necesarios para la recogida y consolidación de la información, así como la metodología para su tratamiento y explotación.

g)      Se complementa la articulación de la respuesta a incidentes de seguridad del CCN-CERT añadiendo un segundo párrafo al artículo 36 mediante el que se establece que las Administraciones Públicas han de notificar al Centro Criptológico Nacional los incidentes que tengan un impacto significativo en la seguridad de la información y los servicios.

h)      Introduce mayores precisiones el párrafo tercero del artículo 37 y se introducen precisiones en el sentido de que el CCN-CERT podrá recabar informes de auditoría de los sistemas afectados, registros de auditoría, configuraciones y cualquier otra información que se considere relevante, así como los soportes informáticos que se estimen necesarios, sin perjuicio de lo dispuesto en lo dispuesto en la Ley de Protección de Datos y la eventual confidencialidad  de datos institucionales u organizativos.

i)        En la disposición adicional cuarta, se establece un listado de ocho instrucciones técnicas de seguridad con el mandato de desarrollarlas.

j)        En el Anexo II se hace una serie de modificaciones técnicas tanto en la tabla inicial como en diversos apartados.

k)      Y se modifica el anexo II, referido a la auditoría de seguridad, anexo III, Glosario, y el modelo de cláusula administrativa particular recogida en el anexo V.

[1]
                         [1] Artículo 42 del E.N.S.

[2]
                 [2] Artículo 156. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.-1. El Esquema Nacional de Interoperabilidad comprende el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad.- 2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
 

 

 
 

 
 
 

 

 

 
 
 
 
 
 
Nosotros  /  Nuestro Equipo  / Contacto 

copyright, 2015 - Strong Element, S.L.  -  Peña Sacra 18  -  E-28260 Galapagar - Madrid  -  Spain - 
Tel.: + 34 91 858 75 55
info@lawyerpress.com  -  www.lawyerpress.com - Aviso legal