En el artículo de hoy, junto a NexTReT, queremos hablarte de dos normas que deberían cumplir todas las entidades públicas y qué relación tienen entre ellas. Estas normas son el ENS y el RGPD.
¿Qué es el ENS?
El Esquema Nacional de Seguridad (ENS) es una normativa de carácter estatal que garantiza la protección y seguridad de la información en el ámbito de la administración pública y sus proveedores, frente a cualquier amenaza que pueda ocurrir.
Fue creado en 2010 con el objetivo de proteger los sistemas de información y los datos sensibles que día a día son gestionados por las entidades públicas, asegurando su: Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad. En 2022 la norma fue revisada para adaptarla a las amenazas lógicas y físicas que nos rodean.
Este marco normativo define los principios básicos, los requisitos mínimos y las medidas de seguridad para garantizar una protección adecuada de la información tratada y los servicios del Sector Público Español y de los proveedores que colaboran con la Administración.
¿Quién está obligado a cumplir el ENS?
El ENS es obligatorio para todas las entidades del sector público español a nivel estatal, autonómico y local. Esto incluye:
- Organismos de la Administración General del Estado.
- Entidades gestoras y servicios comunes de la Seguridad Social.
- Agencias estatales y organismos autónomos.
- Entidades de Derecho Público con personalidad jurídica propia vinculadas o dependientes de la Administración General del Estado, de las comunidades autónomas y las entidades locales.
- Universidades públicas y otros organismos públicos vinculados a estas.
- Entidades públicas empresariales y otros organismos públicos.
También estarán obligados a cumplirlo los proveedores de la Administración que tengan relación con servicios.
Cumplir con el ENS no solo es una obligación legal, sino que también ayuda a preservar la reputación y la confianza de las organizaciones públicas.
¿Qué medidas de seguridad recoge el ENS?
El ENS establece una serie de medidas de seguridad para garantizar la protección de la información en el ámbito de la administración pública en España. Estas medidas cubren diversas áreas, algunas de las más importantes son:
- Gestión de riesgos: El ENS obliga a que las entidades públicas realicen evaluaciones de riesgo periódicas para identificar las amenazas y vulnerabilidades que existen y establecer medidas para mitigar el riesgo.
- Política de seguridad: Las entidades públicas deberán definir y documentar una política de seguridad de la información que establezca unos principios y objetivos a seguir en la organización.
- Seguridad física: Se deberán implementar medidas de seguridad física para proteger los activos de información, como por ejemplo: sistemas de vigilancia, controles de acceso físico a las instalaciones o protección contra incendios y desastres naturales.
- Seguridad de los sistemas de información: Se deben establecer requisitos para proteger los sistemas de información, como por ejemplo: la autenticación y autorización de usuarios, la gestión de contraseñas, el cifrado de datos, la gestión de parches y actualizaciones y la protección contra malware y otros ciberataques.
- Seguridad en la gestión de incidencias: Deberán contar con procedimientos y recursos para detectar, gestionar y responder a incidentes de seguridad de la información de manera efectiva, minimizando el impacto y restaurando la operatividad cuanto antes.
- Protección de datos: Se deberán establecer medidas para proteger la confidencialidad, integridad y disponibilidad de los datos, incluyendo las políticas de clasificación y etiquetado de la información, el control de acceso a los datos, la realización de copias de seguridad y la gestión de registros.
- Formación y concienciación: Deberán proporcionar formación y concienciación en seguridad de la información al personal con tal de promover una cultura de seguridad y garantizar el cumplimiento de estas políticas.
Estas son solo algunas de las medidas de seguridad que se recogen en el Anexo II del ENS y que permiten a las entidades públicas y a sus proveedores, velar por la seguridad de los sistemas y de la información tratada y así garantizar su seguridad en un entorno cada vez más digital y complejo.
Relación entre el RGPD y el ENS: ¿por qué debes cumplir las dos normativas?
El ENS y el RGPD son dos regulaciones clave en el ámbito de la seguridad, cada una con su enfoque, pero complementarias entre sí:
- Las dos están orientadas a proteger la confidencialidad, integridad y disponibilidad de la información. El ENS se centra en la seguridad de la información en general y abarca tanto datos personales como no personales y el RGPD se enfoca específicamente en la protección de datos personales y establece requisitos más detallados sobre su tratamiento como la recopilación, procesamiento y almacenamiento de dichos datos.
- Ambas regulaciones tienen el objetivo de promover altos estándares de seguridad en el trato de la información. El ENS establece medidas para las entidades públicas y el RGPD para todos los sectores y actividades económicas.
- Las organizaciones sujetas al ENS y al RGPD deben cumplir con los requisitos y obligaciones de las dos regulaciones.
- El enfoque en la gestión de riesgos que promueve el ENS puede ser complementario al enfoque basado en el riesgo del RGPD. Ambas regulaciones instan a identificar y evaluar los riesgos del trato de información y los datos personales y a implementar medidas para mitigar el riesgo.
- El incumplimiento del RGPD puede tener graves sanciones económicas que pueden ascender a millones de euros en casos graves para las empresas privadas. Para las Administraciones Públicas los apercibimientos y el daño reputacional es algo que se debe tener muy en cuenta.
Cómo te ayudamos con tu certificación del ENS
El proceso para adecuarse al cumplimiento y la posterior certificación al ENS es complejo, pero por eso contamos con la ayuda de NexTReT, una compañía con una larga trayectoria ayudando a otras empresas y organismos públicos a adquirir la certificación del ENS y que, además, tiene todos sus servicios certificados en ENS nivel ALTO. La certificación es un requisito necesario para presentarse a muchas licitaciones públicas, además la certificación demuestra el compromiso de la organización con la seguridad de la información.
Si debes abordar la adecuación al ENS, NexTReT te puede ayudar con una evaluación y auditoría previa y así poder definir tu hoja de ruta personalizada.
Recuerda que es importante cumplir con las dos regulaciones de las que te hemos hablado para proteger la seguridad de la información y los datos.
Si necesitas ayuda para implementar la protección de datos en tu negocio, contacta con PymeLegal y te haremos la propuesta que tu negocio necesita.
El equipo de PymeLegal