Cada vez es más frecuente que el sector privado proporcione soluciones tecnológicas o preste servicios a las Administraciones Públicas (por ejemplo, en la nube) y que a estos servicios o soluciones pueda serles de aplicación el Esquema Nacional de Seguridad, ENS. En estos casos, los proveedores privados deberán poder mostrar la correspondiente declaración o certificación de conformidad según corresponda en función de la categoría del sistema, mediante los mismos procedimientos que las AAPP.

El Esquema Nacional de Seguridad (ENS) fomenta la confianza en el uso de los medios electrónicos garantizando la seguridad. Las exigencias de seguridad que dispone, no sólo son de aplicación a las Administraciones Públicas, sino también a los prestadores de servicios de seguridad de la información del sector privado.

Con la entrada en vigor del Real Decreto 951/2015, a partir del 5 de noviembre 2017, debían adecuarse todos los sistemas a lo dispuesto en la modificación del Esquema Nacional de Seguridad.

Conformidad con el ENS.

El sector privado que participa en la prestación de servicios a las Entidades Públicas (por ejemplo a través de servicios en la nube) quedan incluidos en el ámbito de la publicidad del cumplimiento del ENS que establece el art 41 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica: “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”.

SIQURË: Declaración de Conformidad con el ENS

Criterios de determinación de la conformidad.

Según la categoría del sistema se distingue entre Declaración de Conformidad y Certificación de Conformidad, recogidos en la Guía 809 (Declaración y Certificación de Conformidad con el ENS):

Elementos a tener en cuenta para determinar la conformidad con el ENS:

  1. Cumplir los mandatos del R.D. 3/2010 ENS e implantar las medidas de seguridad del Anexo II del ENS.
  2. La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de diversas cuestiones:
    1. Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información)
    2. Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.(Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad)
    3. Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo –Pilar- )
    4. Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. (Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad)
    5. Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad)
    6. Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (Véase serie CCN-STIC)
    7. Auditar la seguridad (Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad)
    8. Informar sobre el estado de la seguridad (Véase CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad)

Procedimientos de determinación de conformidad.

La conformidad con el ENS consiste en adoptar y manifestar que se han implantado las medidas necesarias en función de la categoría del sistema (Básica, Media, Alta) y asegurar que se mantienen a lo largo del ciclo de vida del sistema, mediante auditorías regulares de las que deberá elaborarse un informe en el que se reflejen el grado de cumplimiento de las medidas de seguridad,  se identifiquen deficiencias y sugieran medidas correctoras o complementarias así como las recomendaciones que se consideren oportunas.

También se deberán incluir los criterios metodológicos utilizados, el alcance y el objetivo de la auditoría y los datos, hechos y observaciones en que se basan las conclusiones.

El Anexo III ENS precisa el alcance de la verificación prescribiendo los 2 procedimientos que se resumen en:

  • Sistemas de Información de Categoría Básica: Declaración de Conformidad. Podrá representarse mediante Sello o Distintivo de Declaración de Conformidad generado por la entidad bajo cuya responsabilidad esté el sistema. Para sistemas de información de Categoría Básica basta autoevaluación, que deberá ser mínimo cada 2 años, y con carácter extraordinario siempre que haya modificaciones significativas en el sistema que puedan repercutir en las medidas de seguridad.
  • Sistemas de Información de Categoría Media o Alta: Certificación de Conformidad. De aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en el caso de sistemas de información de categoría Básica. La determinación de conformidad se hará mediante auditoría al menos cada 2 años y con carácter extraordinario siempre que haya modificaciones significativas en el sistema que puedan repercutir en las medidas de seguridad.

Es responsabilidad de las AAPP contratantes comunicar dicha obligación al sector privado, que deberá usar los mismos modelos documentales, pero cambiando las referencias a las AAPP por el sector privado y publicarlo en sus páginas web en las mismas condiciones que las AAPP en sus sedes electrónicas (es decir el correspondiente distintivo con un enlace al documento electrónico no editable).