Como complemento a lo ya publicado de lo que se ha modificado en el nuevo Real Decreto os dejo esta nueva infografía. Pincha encima para ampliar y verlo mejor.
El nuevo Esquema Nacional de Seguridad, un paso más en el fortalecimiento de la ciberseguridad del sector público.
ENS super resumido.
Con motivo de la salida del nuevo Real Decreto 311/2022, nuevo ENS, desde el CCN están realizando una serie de infografías relacionado con ello. Esta última infografía refleja, a groso modo, toda la nueva normativa. !Ojo! esto sólo es un ‘super resumen’.
Principios básicos, Requesitos mínimos y Medidas de seguridad en el ENS
Enlace a todas las infografías del nuevo ENS https://ens.ccn.cni.es/es/esquema-nacional-de-seguridad-ens/ens-infografias
Novedades en el ENS R.D. 311/2022
El pasado 5 de mayo se publicó en nuevo R.D. 311/2022 que sustituye al R.D. 3/2010, antiguo Esquema Nacional de Seguridad. En este nuevo ENS en lo que respecta a nuestra universidad pasamos de tener que cumplir 62 medidas de seguridad a 68, dentro de nuestra categoría Media. A nivel global se pasan de las 75 medias a 73, pero se aumentan los refuerzos para la categoría media.
Principalmente se ha adaptado nivel normativo con las nueva leyes de protección de datos y de procedimiento administrativo, entre otras.
De forma general podemos decir que el nuevo ENS añade:
– Incorpora la figura del perfil de cumplimiento para determinados colectivos de entidades (art.30) , para las universidades se ha editado la guía 881 en cuya elaboracion hemos colaborado desde UGR.
– Se establece un protocolo de actuación ante ciberincidentes. Art.25 y art.33.
Relacionado con esto tenemos una Instrucción Técnica de Seguridad previa, de obligado cumplimiento, y una guía, la 817, que tambien debemos cumplir. De pasada decir que tenemos un procedimiento dentro de UGR adaptado a dicha guía e IT. En este nuevo ENS se le asigna al CCN las siguientes funciones en este aspecto:
- Determinar técnicamente el riesgo de conexión de un sistema, tras un incidente de seguridad.
- Indicar los procedimientos a seguir y las salvaguardas a implementar para reducir el impacto del incidente.
- Establece las condiciones de notificación de incidentes al CCN-CERT, coordinador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.
– Otro aspecto cubierto es un nuevo sistema de codificación de los requisitos de las medidas de seguridad, dentro del anexo II. Se han codificado requisitos base y apoyados con posibles refuerzos que se suman a los requisitos base, aunque a veces no sean incrementales y se puedan elegir. Siempre adaptado a la categoría del sistema declarado.
Se establen 24 meses para adecuarnos al nuevo ENS desde su publicación, al estar ya certificados, así que tenemos hasta el 5 de mayo de 2024. Pero son muchos proyectos a realizar.
Infografía papel del CCN en el nuevo ENS Papel del CCN en el nuevo ENS
Infografía del CCN con las Motivaciones para modificar el ENS
Infografía de diferencias y principios del nuevo ENS DiferenciasYPrincipiosENS
A modo resumen dejo este documento donde vemos las principales modificaciones Nuevo ENS – Resumen
Evolución de la ciberseguridad a nivel de jurisprudencia.
El CCN nos deja una infografía de como ha ido evolucionando la ciberseguridad a nivel legal en España.