¿Qué es el Esquema Nacional de Seguridad?, ¿Tengo la obligación de implementar el Esquema Nacional de Seguridad en mi organización?, ¿Me aplica?; y si me aplica, ¿Qué plazos tengo?; y si no estoy obligado, ¿Lo necesito realmente?, ¿Me interesa implementarlo?

En el día a día de nuestro trabajo como consultores, cada vez más, nos encontramos con diversas organizaciones de múltiples tamaños y sectores, que se hacen este tipo de preguntas. Las siguientes líneas están destinadas a solventar algunas de estas cuestiones, a través de un escueto análisis sobre la normativa legal y regulatoria que gira en torno al Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (en adelante ENS) tiene su origen en el ámbito de la regulación normativa de las Administraciones Públicas. nace con el art. 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos; y se materializó con la aprobación del RD. 3/2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, posteriormente modificado por el RD. 951/2015. El ENS constituye los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información, es decir, establece las directrices para la correcta gestión de la seguridad de la información en su ámbito de aplicación.

Esquema Nacional de Seguridad ENS Global TechnologyEl ENS centra dicho ámbito de aplicación en las entidades del Sector Público, tal y como definía el art. 2 de la Ley 11/2007 las entidades y organismos que integraban el sector público. No obstante, dicha ley ha sido derogada en virtud de la vigente Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Tanto está ultima, como la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recogen en su artículo 2. La definición y clasificación de los organismos que forman parte del sector público, ampliando esta definición al incluir como parte de este, al denominado sector público institucional, compuesto por cualesquiera organismos públicos y entidades de derecho, tanto público como privado, vinculadas o dependientes de las Administraciones Públicas; y las Universidades públicas.

A su vez, el art. 156 de la Ley 40/2015 expresa la obligatoriedad por parte de las Entidades y Organismos Públicos que integran el Sector Público Estatal, de adopción y adecuación al Esquema Nacional de Seguridad y establece mediante su disposición adicional cuarta un plazo de tres años para la adecuación a esta normativa. Plazo que finalizó el 1 de octubre de 2018.

Por otra parte, en el ámbito de la Protección de las Infraestructuras Estratégicas el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece para los Operadores de Servicios Esenciales una serie de obligaciones de seguridad. Los requisitos para cumplir dichas obligaciones se desarrollan en el capítulo III del RD 43/2021. Así pues, concretamente en su Art. 6.5. Establece que, dichas medidas de seguridad tomarán como referencia las recogidas en el Anexo II del Real Decreto 3/2010, que desarrolla el ENS. Estando su plazo de desarrollo, adecuación y aplicabilidad supeditado a las exigencias de las autoridades competentes, designadas en función de cada sector estratégico.

Entre los beneficios de que aporta la implementación del ENS para las Infraestructuras Estratégicas destaca la gran versatilidad que obtienen estas para la integración normativa con otros requisitos legales de obligado cumplimiento. Así pues, por ejemplo, en el ámbito de las Infraestructuras Críticas, el tener implementado un Sistema de Gestión de Seguridad de la Información (SGSI) en base al ENS, facilita enormemente la elaboración de los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) requeridos en el Art.13 apartados c) y d) de la Ley 8/2011, por la que se establecen medidas para la protección de las Infraestructuras Crítica. De igual modo, en el ámbito del Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, el ENS cumple con los criterios y requisitos establecidos en dicha norma, facilitando la adecuación a sus requisitos. A su vez, también facilita el cumplimiento del Art. 32 del Reglamento (UE) 2016/ 679, de Protección de Datos Personales y su normativa de desarrollo.  Todo ello se ve reflejado en una disminución drástica en los tiempos de adecuación y los costes de implementación de estos y otros requisitos normativos.

Independientemente de su obligatoriedad, las organizaciones a las que le es de aplicabilidad el ENS también tienen la obligación de exigir a sus proveedores de servicios que cumplan con al menos los mismos niveles de seguridad que se les exige a estas. Por tanto, la tendencia actual es exigir a dichos proveedores el cumplimiento de lo establecido en el ENS en materia de seguridad de la información e incluso su certificación. hecho que se hace cada vez más presentes en las licitaciones de las Administraciones Públicas.

Por último, y no menos importante, cabe destacar que el cumplimiento del ENS corrobora el compromiso de las organizaciones con la seguridad de la información, y su certificación marca un valor diferencial respecto a la competencia. En la actualidad, dado el avance tecnológico, el desarrollo de la delincuencia y la constante preocupación por la ciberseguridad, está cada vez más presente el cumplimiento normativo en materia de seguridad de la información, siendo un símbolo de confianza y considerándose un valor añadido para cualquier tipo de organización.

En resumen, el ENS es de obligado cumplimiento para las Administraciones Públicas, inclusive el denominado sector público institucional; de especial interés para las Infraestructuras Críticas y los Operadores estratégicos; y proporciona una gran ventaja táctica y competitiva para las organizaciones del sector privado.