Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Esquema Nacional de Seguridad 2022
El pasado 4 de noviembre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El RD es as propuesta del Ministro de Hacienda y Administraciones Públicas y de la Ministra de la Presidencia.

El objeto de la norma es reforzar la protección de las Administraciones Públicas frente a las ciberamenazas mediante la adecuación a la rápida evolución de las tecnologías, todo ello teniendo en consideración la experiencia adquirida en la implementación del esquema nacional de seguridad desde 2010. Además, permite adecuar la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en un Reglamento comunitario de 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. En definitiva, se trata de dotar al Esquema Nacional de Seguridad de los mecanismos necesarios que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos.

Por lo tanto, se modifica la normativa de protección contra las ciberamenazas reforzando los servicios de confianza y la protección para las transacciones electrónicas. Los sistemas deberán adecuarse a lo dispuesto en la presente modificación en un plazo de veinticuatro meses.

El esfuerzo realizado para la actualización del Esquema Nacional de Seguridad responde al Objetivo I de la Estrategia de Ciberseguridad Nacional que se refiere a “Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia”, así como a los principios generales previstos en la Ley de Régimen Jurídico del Sector Público, que se refieren a la seguridad como un elemento clave para la interacción de las Administraciones Públicas por el medio electrónico.

Para ello, se introducen en el Esquema Nacional de Seguridad, entre otras, las siguientes medidas adicionales:
  • En el artículo 11, la gestión continuada de la seguridad como un aspecto clave que ha de acompañar a los servicios disponibles por medios electrónicos 24 horas al día.
  • En el artículo 15, la exigencia, de manera objetiva y no discriminatoria, de profesionales cualificados a las organizaciones que presten servicios de seguridad a las Administraciones Públicas.
  • En el artículo 18, la utilización, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, de aquellos productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
  • En el artículo 24, el despliegue de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información.
  • En el artículo 27, la formalización de las medidas de seguridad en un documento denominado “declaración de aplicabilidad” y la posibilidad de reemplazar medidas de seguridad por otras compensatorias cuando se justifique documentalmente.
  • En el artículo 29, la figura de las “Instrucciones técnicas de seguridad” que regularán aspectos tales como el informe del estado de la seguridad, la auditoría de la seguridad, la conformidad con el Esquema, la notificación de incidentes de seguridad, la adquisición de productos de seguridad, la criptología empleada en el ámbito del Esquema y los requisitos de seguridad en entornos externalizados, entre otras.
  • En el artículo 35, referencias expresas a la articulación de los procedimientos necesarios para la recogida y consolidación de la información para el informe anual de estado de la seguridad y organismos responsables de su realización.
  • En el artículo 36, la notificación al Centro Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
  • En el artículo 37, las evidencias necesarias para la investigación de incidentes de seguridad por parte del Centro Criptológico Nacional.
  • La mejora de diversas medidas de seguridad para mejorar su eficacia y para adecuarse a lo previsto en el Reglamento nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. En particular, los apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 y 5.8.2.
También se concreta el Anexo III, referido a la auditoría de seguridad, se modifica el Glosario de términos recogido en el Anexo IV, se actualiza la redacción de la cláusula administrativa particular contenida en el Anexo V, se elimina la referencia a INTECO y se establece mediante disposición transitoria un plazo de veinticuatro meses contados a partir de la entrada en vigor para la adecuación de los sistemas a lo dispuesto en la modificación.

Comparte este artículo para mejorar la calidad del blog…

WhatsApp
Facebook
Twitter
LinkedIn
Telegram
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: info@afsinformatica.com

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor