Compliment de l’ENS i el RGPD al sector públic


A l’article d’avui, conjuntament amb NexTRet, volem parlar-te de dues normes que haurien de complir totes les entitats públiques i quina relació tenen entre elles. Aquestes normes són l’ENS i el RGPD.

Què és l’ENS?

L’Esquema Nacional de Seguretat (ENS) és una normativa de caràcter estatal que garantitza la protecció i seguretat de la informació en l’àmbit de l’administració pública i els seus proveïdors, enfront de qualsevol amenaça que pugui ocórrer.

Va ser creat al 2020 amb l’objectiu de protegir els sistemes d’informació i les dades sensibles que dia a dia són gestionades per les entitats públiques, assegurant la seva: disponibilitat, integritat, confidencialitat, autenticitat i traçabilitat. Al 2022 la norma va ser revisada per adaptar-la a les amenaces lògiques i físiques que ens envolten.

Aquest marc normatiu defineix els principis bàsics, els requisits mínims i les mesures de seguretat per garantir una protecció adequada de la informació tractada i els serveis del Sector Públic Espanyol i dels proveïdors que col·laboren amb l’Administració.

Qui està obligat a complir l’ENS?

L’ENS és obligatori per totes les entitats del sector públic espanyol a nivell estatal, autonòmic i local. Això inclou:

  • Organismes de l’Administració General de l’Estat
  • Entitats gestores i serveis comuns de la Seguretat Social
  • Agències estatals i organismes autònoms
  • Entitats de Dret Públic amb personalitat jurídica pròpia vinculades o dependents de l’Administració General de l’Estat, de les comunitats autònomes i les entitats locals.
  • Universitats públiques i altres organismes públics vinculats a aquestes.
  • Entitats públiques empresarials i altres organismes públics.

També estaran obligats a complir-ho els proveïdors de l’Administració que tinguin relació amb serveis TIC.

Complir amb l’ENS no només és una obligació legal, sinó que també ajuda a preservar la reputació i la confiança de les organitzacions públiques.

Quines mesures de seguretat recull l’ENS?

L’ENS estableix una sèrie de mesures de seguretat per garantir la protecció de la informació en l’àmbit de l’administració pública a Espanya. Aquestes mesures cobreixen diverses àrees, algunes de les més importants són:

  • Gestió de riscos: L’ENS obliga a fer que les entitats públiques realitzin avaluacions de riscs periòdiques per identificar les amenaces i vulnerabilitats que existeixen i establir mesures per mitigar el risc.
  • Política de seguretat: Les entitats públiques hauran de definir i documentar una política de seguretat de la informació que estableixi uns principis i objectius a seguir en l’organització.
  • Seguretat física: S’hauran d’implementar mesures de seguretat física per protegir els actius d’informació, com per exemple: sistemes de vigilància, controls d’accés físic a les instal·lacions o protecció contra incendis i desastres naturals.
  • Seguretat dels sistemes d’informació: S’han d’establir requisits per protegir els sistemes d’informació, com per exemple: l’autenticació i autorització d’usuaris, la gestió de contrasenyes, el xifratge de dades, la gestió de “pegats” i actualitzacions i la protecció contra malware i altres ciberatacs.
  • Seguretat en la gestió d’incidències: Hauran de comptar amb procediments i recursos per detectar, gestionar i respondre a incidents de seguretat de la informació de manera efectiva, minimitzant l’impacte i restaurant l’operativitat com més aviat possible.
  • Protecció de dades: S’hauran d’establir mesures per protegir la confidencialitat, integritat i disponibilitat de les dades, incloent-hi les polítiques de classificació i etiquetat de la informació, el control d’accés a les dades, la realització de còpies de seguretat i la gestió de registres.
  • Formació i conscienciació: Hauran de proporcionar formació i conscienciació en seguretat de la informació al personal amb tal de promoure una cultura de seguretat i garantir el compliment d’aquestes polítiques.

Aquestes són només algunes mesures de seguretat que es recullen en l’Annex II de l’ENS i que permeten a les entitats públiques i als seus proveïdors, vetllar per la seguretat dels sistemes i de la informació tractada i així garantir la seva seguretat en un entorn cada vegada més digital i complex.

Relació entre el RGPD i l’ENS: per què has de complir amb les dues normatives?

L’ENS i el RGPD són dues regulacions clau en l’àmbit de la seguretat, cadascuna amb el seu enfocament, però complementàries entre sí:

  • Les dues estan orientades a protegir la confidencialitat, integritat i disponibilitat de la informació. L’ENS es centra en la seguretat de la informació en general i abasta tant dades personals com no personals i el RGPD s’enfoca específicament en la protecció de dades personals i estableix requisits més detallats sobre el seu tractament com la recopilació, processament i emmagatzematge d’aquestes dades.
  • Les dues regulacions tenen l’objectiu de promoure alts estàndards de seguretat al tracte d’informació. L’ENS estableix mesures per les entitats públiques i el RGPD per tots els sectors i activitats econòmiques.
  • Les organitzacions subjectes a l’ENS i al RGPD han de complir amb els requisits i obligacions de les dues regulacions.
  • L’enfocament en la gestió de riscos que promou l’ENS pot ser complementari a l’enfocament basat en el risc del RGPD. Les dues regulacions insten a identificar i avaluar els riscos del tracte d’informació i les dades personals i a implementar mesures per mitigar el risc.
  • L’incompliment del RGPD pot tenir greus sancions econòmics que puguin ascendir a milions d’euros en casos greus per les empreses privades. Per les Administracions Públiques les advertències i el dany reputacional és algo que s’ha de tenir molt en compte.

Com t’ajudem amb el teu certificat de l’ENS

El procés per adequar-se al compliment i la posterior certificació a l’ENS és complex, però per això comptem amb l’ajuda de NexTReT, una companyia amb una llarga trajectòria ajudant a altres empreses i organismes públics a adquirir la certificació de l’ENS i que, a més, té tots els seus serveis certificats en ENS nivell ALT. La certificació és un requisit necessari per presentar-se a moltes licitacions públiques, a més la certificació demostra el compromís de la organització amb la seguretat de la informació.

Si has d’abordar l’adequació a l’ENS, NexTReT et pot ajudar amb una avaluació i auditoria prèvia i això poder definir el teu full de ruta personalitzat.

 

Recorda que és important complir amb les dues regulacions de les quals t’hem parlat per protegir la seguretat de la informació i les dades.

Si necessites ajuda per implementar la protecció de dades al teu negoci, contacta amb PymeLegal i et farem la proposta que el teu negoci necessita.

L’equip de PymeLegal