Frameworks diferenciados.
Norma ISO 27001.
ISO 27001 es una norma internacional (UNE-ISO/IEC 27001:2023 Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información, en su versión española) que establece los requisitos para la adopción voluntaria (a mayoría de los casos) de un sistema de gestión de seguridad de la información (SGSI).
Su objetivo principal es garantizar los conceptos canónicos de confidencialidad, integridad y disponibilidad (tríada CIA: confidentiality, integrity & availability) de la información mediante la aplicación de un proceso de gestión de riesgos. La norma incluye controles de seguridad que abarcan aspectos técnicos, organizativos y humanos.
Real Decreto 311/2022 (ENS).
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS 2022), tiene como objetivo garantizar la seguridad de la información y los servicios prestados por las entidades públicas, sumando a la tríada CIA dos propiedades adicionales: autenticidad (autenticación) y trazabilidad.
El R.D. 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, actualiza el ENS de 2010 con 150 iniciativas para alinearlo con la Estrategia Nacional de Ciberseguridad 2019 (siete líneas de acción con un total de 65 medidas).
Este decreto se adapta a los cambios tecnológicos y a las nuevas amenazas en el ciberespacio, promoviendo una gestión de riesgos basada en la prevención, detección, respuesta y conservación.
El ámbito primero de aplicación del ENS es todo el Sector Público, según lo establecido en los respectivos artículos 2 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, y de la Ley Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, sobre el ámbito subjetivo y lo indicado sobre
el sector público institucional.
Adicionalmente, el art. 2.2. del ENS determina que, «sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales y otra normativa especial, (…) será de aplicación a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas, derivadas de los compromisos internacionales contraídos por España o de su pertenencia a organismos o foros internacionales».
Es decir: los operadores de servicios esenciales (12 sectores), definidos en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, al tratar información clasificada, deben adaptar sus medidas de seguridad al ENS. Ello se extiende a los operadores que se encuentren habilitados -o pretendan estarlo- con una Habilitación de Seguridad de Empresa (HSEM) o una Habilitación de Seguridad de Establecimiento (HSES), facilitadas por la Oficina Nacional de Seguridad (ONS) y supervisadas por el Centro Nacional de Inteligencia (CNI); lo que puede incluir a determinadas empresas de seguridad privada o de ciberseguridad.
Directiva (UE) NIS2.
El 13 de mayo de 2022, el Consejo de la Unión Europea y el Parlamento Europeo llegaron a un acuerdo sobre las medidas a implementar para lograr un alto nivel de ciberseguridad común en toda la Unión Europea, con el fin de seguir mejorando la resiliencia y la capacidad de respuesta a los incidentes sufridos tanto en el sector público como en el privado, en el conjunto de la UE.
El objetivo de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2), conocida como NIS2, es eliminar las divergencias tan pronunciadas entre los Estados miembros en la aplicación de la Directiva NIS de 2016, concretamente mediante la definición de normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces, fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones.
La Directiva NIS2 sustituye así a la Directiva sobre seguridad de las redes y los sistemas de información (Directiva NIS). Los Estados miembros contaban con un plazo de 21 meses, ya superado, a partir de la entrada en vigor de la NIS2 para transponerla a sus respectivas legislaciones nacionales (en trámite parlamentario en España).
La Directiva obliga a los Estados miembros a adoptar estrategias nacionales de ciberseguridad y a designar o establecer autoridades competentes de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a ciberincidentes.
Además, los países de la UE deberán establecer una serie de medidas para gestionar los ciberriesgos, así como notificar obligatoriamente a las entidades competentes las brechas de ciberseguridad. De hecho, fija normas y obligaciones relativas al intercambio de información sobre ciberseguridad, supervisión y ejecución para los Estados miembros.
En la anterior versión, la Directiva NIS, los Estados miembros eran los responsables de determinar qué entidades cumplían los criterios para ser consideradas como operadores de servicios esenciales.
Ahora, la Directiva NIS2 establece criterios específicos para determinar qué entidades se encuentran bajo su ámbito de aplicación. En concreto, añade nuevos sectores críticos: el subsector hidrógeno, de los servicios postales y de mensajería o de la gestión de residuos.
Otro aspecto relevante consiste en la introducción de un nuevo criterio para determinar cuáles serán los operadores de servicios esenciales: el límite de tamaño (size-cap rule). Esto es, todas las entidades medianas y grandes que operen o presten servicios en los sectores cubiertos por la normativa se enmarcarán en su ámbito de aplicación. Dicha modificación es relevante dado que elimina el margen de apreciación concedido por la anterior directiva NIS a los estados miembros para determinar los criterios normativos para considerar a los operadores de servicios esenciales.
La NIS2 se alinea con la legislación sectorial para dotar de certidumbre jurídica y coherencia al marco normativo; en concreto se tienen en cuenta tanto el Reglamento (UE) sobre la resistencia operativa digital para el sector financiero (Reglamento DORA), como la Directiva (UE) sobre la resistencia de las entidades críticas (Directiva CER).
Analogías.
- Gestión de riesgos: Tanto la ISO 27001 como el ENS y la Directiva NIS2 enfatizan la importancia de la gestión de riesgos para proteger la información y los sistemas. La ISO 27001 y el ENS requieren la identificación, evaluación y tratamiento de riesgos, mientras que la NIS2 también incluye la gestión de riesgos como parte de sus requisitos.
- Controles de seguridad: Los tres marcos incluyen controles de seguridad que abarcan aspectos técnicos, organizativos y humanos. La ISO 27001 proporciona una lista detallada de controles en su anexo A; el ENS establece requisitos mínimos de seguridad, y la NIS2 define medidas de seguridad específicas para entidades esenciales.
- Mejora continua: La ISO 27001, el ENS y NIS2 promueven la mejora continua de la seguridad mediante la revisión y actualización periódica de los controles y procesos de seguridad.
Correlación y semejanzas de los controles de la ISO 27001, el ENS y la Directiva (UE) NIS2.
| Categoría | ISO 27001 | ENS | NIS2 |
|---|---|---|---|
| Gestión de riesgos | Evaluación y tratamiento de riesgos (cláusula 6) | Evaluación de riesgos y medidas de seguridad (art. 11) | Gestión de riesgos de ciberseguridad (art. 18) |
| Políticas de seguridad | Políticas de seguridad de la información (A.5.1) | Política de seguridad (art. 8) | Políticas de ciberseguridad (art. 21) |
| Roles y responsabilidades | Funciones y responsabilidades de seguridad (A.5.2) | Responsabilidades de seguridad (art. 9) | Responsabilidades de gestión de ciberseguridad (art. 22) |
| Gestión de activos | Inventario de activos (A.8.1) | Gestión de activos (art. 12) | Gestión de activos críticos (art. 23) |
| Control de acceso | Control de acceso (A.9) | Control de acceso (art. 13) | Control de acceso y autenticación (art. 24) |
| Seguridad física | Seguridad física y ambiental (A.11) | Protección física de instalaciones (art. 14) | Seguridad física de infraestructuras críticas (art. 25) |
| Seguridad de operaciones | Seguridad en las operaciones (A.12) | Operaciones seguras (art. 15) | Seguridad operativa (art. 26) |
| Gestión de comunicaciones | Seguridad de las comunicaciones (A.13) | Protección de comunicaciones (art. 16) | Seguridad de redes y sistemas de información (art. 27) |
| Gestión de incidentes | Gestión de incidentes de seguridad (A.16) | Gestión de incidentes (art. 17) | Notificación y gestión de incidentes (art. 28) |
| Continuidad del negocio | Continuidad del negocio (A.17) | Continuidad de operaciones (art. 18) | Resiliencia y recuperación (art. 29) |
| Cumplimiento | Cumplimiento de requisitos legales (A.18) | Cumplimiento normativo (art. 19) | Supervisión y cumplimiento (art. 30) |
Observaciones:
- Gestión de riesgos: Las tres normativas enfatizan la importancia de la gestión de riesgos, aunque cada una tiene su enfoque específico y requisitos detallados.
- Políticas de seguridad: Todas requieren la implementación de políticas de seguridad, adaptadas a sus respectivos ámbitos de aplicación.
- Roles y responsabilidades: La definición clara de roles y responsabilidades es un aspecto común en las tres normativas.
- Gestión de activos: La gestión de activos es crucial para la protección de la información y las infraestructuras críticas.
- Control de acceso: Los controles de acceso son fundamentales para garantizar que solo las personas autorizadas tengan acceso a la información y los sistemas.
- Seguridad física: La protección física de las instalaciones y las infraestructuras críticas es un aspecto común, aunque NIS2 tiene un enfoque más explícito en infraestructuras críticas.
- Seguridad de operaciones: La seguridad en las operaciones es esencial para mantener la integridad y disponibilidad de los sistemas.
- Gestión de comunicaciones: La protección de las comunicaciones es vital para prevenir interceptaciones y garantizar la confidencialidad.
- Gestión de incidentes: La capacidad de gestionar y responder a incidentes de seguridad es un requisito clave en las tres normativas.
- Continuidad del negocio: La planificación para la continuidad del negocio y la recuperación ante desastres es esencial para minimizar el impacto de los incidentes.
- Cumplimiento: El cumplimiento de requisitos legales y normativos es necesario para asegurar la conformidad y evitar sanciones.
Diferencias.
- Ámbito de aplicación: La ISO 27001 es aplicable a cualquier tipo de organización, independientemente de su tamaño o sector. El ENS se aplica exclusivamente a las administraciones públicas en España, mientras que NIS2 se centra en entidades esenciales y importantes en toda la Unión Europea.
- Enfoque regulatorio: La ISO 27001 es una norma voluntaria que las organizaciones pueden adoptar para mejorar su seguridad y obtener certificación. El ENS y NIS2 son marcos regulatorios obligatorios para las entidades dentro de su ámbito de aplicación.
- Protección de infraestructuras críticas: NIS2 tiene un enfoque más explícito en la protección de infraestructuras críticas, definiendo requisitos específicos para sectores como energía, transporte, salud y finanzas. El ENS también aborda la protección de infraestructuras críticas, pero dentro del contexto de las administraciones públicas españolas.
Conclusión.
La ISO 27001, el Real Decreto 311/2022 (ENS) y la Directiva (UE) NIS2 comparten objetivos comunes en la protección de la información y la gestión de riesgos, pero difieren en su ámbito de aplicación y enfoque regulatorio. La ISO 27001 ofrece una base sólida para la gestión de la seguridad de la información, mientras que el ENS y NIS2 proporcionan marcos regulatorios específicos para garantizar la seguridad en las administraciones públicas y las infraestructuras críticas en la Unión Europea.
ISO 27001 es un buen comienzo para gestionar la seguridad de la información. ENS y la normativa de protección de infraestructuras críticas (Ley 8/2011 y R.D. 704/2011) deberán adaptarse, más pronto que tarde, por dos poderosas razones: la primera, para adoptar un lenguaje común; la segunda, para evitar las divergencias -que las hay- entre ellas.
