Ya disponemos del nuevo Esquema Nacional de Seguridad, según se recoge en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Entre las novedades del nuevo ENS se encuentra la incorporación de la figura del perfil de cumplimiento, cuyo objetivo es alcanzar una adaptación al Esquema más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible.
Del mismo modo, se incluye el establecimiento de un protocolo de actuación ante ciber incidentes, donde se establecen las condiciones de notificación al CCN-CERT, y un nuevo sistema de codificación de los requisitos de las medidas de seguridad, cuyo objeto es facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría.
Se ha añadido un nuevo concepto denominado “Refuerzos”, que son los controles de seguridad, sólo que se introduce la posibilidad de elegir en algunas medidas de seguridad, qué controles se cumple y cuáles no. Por lo que, hay una cosa segura: no habrá un ENS igual para todos, sino que el mismo se amoldará a la situación del Organismo, y el Organismo dispondrá de potestad en la elección de cómo implantar las medidas de seguridad que le son de aplicación.
Otros aspectos destacables serían la vigilancia continua y reevaluación periódica, que constata que cumplir con el Esquema Nacional de Seguridad supone realmente la implantación de un sistema de gestión de seguridad de la información, sometido a la mejora continua, en constante vigilancia de las amenazas y riesgos de la organización, de manera que pone énfasis en que el ENS no es un producto, sino un proyecto a largo plazo.
También incluye la profesionalización de los roles que van a velar por la seguridad de la información, es decir, se exige la formación, cualificación y dedicación de estos roles.
Aunque a simple vista parece que se han reducido las medidas de seguridad del Anexo II, lo cierto es que se han restructurado las que había, unificándolas y aparecen otras nuevas medidas de seguridad ligadas a servicios en la nube, a la protección de cadena de suministro, vigilancia, a la seguridad de dispositivos conectado a la red, etc. Lo cual el antigua ENS no incluía en su anexo.
De manera que habrá que actualizar nuestro Esquema Nacional de seguridad, teniendo en cuenta que gran parte del trabajo realizado por las organizaciones que ya se habían adecuado anteriormente al RD 3/2010, va a poder reutilizar este trabajo, e incorporar estos cambios dentro de su proceso de mejora continua.
Por supuesto, en su disposición transitoria única, indica que se dispondrán de 24 meses para adecuar los sistemas de información preexistentes a esta nueva normativa. Pero seguimos a la espera de que las Certificadoras se acrediten al Nuevo ENS por parte del CCN, y saber a partir de cuando las organización que están en proceso de certificarse deberán adaptar este nuevo ENS.
Desde el departamento de consultoría de Seguridad de la información de CQM ya estamos trabajando en la adaptación del nuevo ENS desde que salió el Borrador el año pasado, por lo que si necesitáis ayuda en la adaptación de esta nueva versión podéis contactar con nosotros