Hace un año aproximadamente publicábamos un artículo en el que  hacíamos referencia a la  Disposición adicional primera del Proyecto de Ley Orgánica de Protección de Datos relativa a las medidas de seguridad en el ámbito del sector público.

Con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), los responsables de tratamiento enumerados en el art 77 de la mencionada Ley, -esto es, los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos, los órganos jurisdiccionales, la Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local; los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas; las autoridades administrativas independientes; el Banco de España; las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público; las fundaciones del sector público; las Universidades Públicas; los consorcios y los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales-,  deberán  aplicar a los tratamientos de datos de carácter personal las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Por otro lado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, también se verá obligado a aplicar las medidas de seguridad que se  corresponderán con las de la Administración pública de origen que en todo caso deberán ajustarse al Esquema Nacional de Seguridad.

¿Pero sabemos realmente en qué consiste el ENS?

Ámbito de aplicación

En caso de duda sobre el ámbito de aplicación del ENS, resulta de interés consultar la guía 830 del CCN–STIC.

Regulación

• Real Decreto 951/2015, de 23 de octubre, de modificación del R.D. 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Normas técnicas de seguridad
• Guías CCNN-STIC de Seguridad de los Sistemas de Información y Comunicaciones.

¿Cuáles son sus objetivos?

Su objeto principal es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por requisitos mínimos que permitan una protección adecuada de la información. Podemos enumerar los siguientes:

• Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Establecer una Política de Seguridad en el uso de medios electrónicos, constituida por los requisitos mínimos para una protección adecuada de la información.
• Introducir elementos comunes para las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones Públicas.
• Aportar un tratamiento homogéneo de la seguridad, cuando participen diversas entidades.
• Facilitar un tratamiento continuado de la seguridad

¿Qué sistemas, aplicaciones o servicios están comprendidos en el ENS?

• Sedes electrónicas
• Registros electrónicos
• Sistemas de información accesibles electrónicamente por los ciudadanos
• Sistemas de información para el ejercicio de derechos.
• Sistemas de Información para el cumplimiento de deberes.
• Sistemas de Información para recabar información y estado del procedimiento administrativo

¿Qué medidas de seguridad recoge el ENS?

De acuerdo con el ENS,  la adopción de medidas de seguridad deberá ser proporcional a la naturaleza de la información, el sistema y los servicios a proteger mediante la determinación de la categoría del sistema, atendiendo a  los riesgos a los que están expuestos.

Medidas de seguridad recogidas en el Anexo II

Así, para saber las medidas de seguridad concretas de carácter organizativo, operacional y de protección de entre las 75 recogidas en el Anexo II que deberemos aplicar al  sistema  en cuestión,  resultará necesario determinar previamente la categoría del sistema (básica, media o alta),  en función de la valoración del impacto que tendrá un incidente que afectará a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad, siguiendo el procedimiento establecido para ello en el Anexo I. Las medidas de seguridad a implantar deberán recogerse en la declaración de aplicabilidad o SOA de la organización.

Se puede obtener más información sobre el ENS, así como acceder a las guías técnicas de seguridad en la página web del CCN CERT.

El Equipo Govertis