Blog de Internet Security Auditors

Blog de Internet Security Auditors: Novedades de la actualización del Esquema Nacional de Seguridad de 2022

Escrito por Internet Security Auditors | May 11, 2022 4:00:00 AM
Fuente: CCN-CERT

El Boletín Oficial del Estado (BOE) publicó el pasado 4 de Mayo el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Este RD actualiza el ENS derogando el anterior de 2010, vigente hasta la fecha. Entró en vigor al día siguiente de su publicación en el BOE el pasado 5 de Mayo, estableciendo un período de transición de 24 meses para la plena adecuación de los sistemas de información preexistentes, y siendo de aplicación desde su concepción para los nuevos sistemas de información.


A continuación, podéis encontrar un resumen de sus principales novedades:

  • Perfiles de cumplimiento específicos. Estos nuevos perfiles serán validados y publicados por el Centro Criptológico Nacional (CCN) organismo adscrito al Centro Nacional de Inteligencia (CNI). Permitirán a determinadas entidades o sectores de actividad concretos, respecto a la declaración de aplicabilidad inicial para una categoría determinada y el preceptivo análisis de riesgos, implementar un conjunto de medidas de seguridad que podrá diferir de las que le corresponderían en un inicio del Anexo II.
  • Acreditación de entidades de implementación de configuraciones seguras. De forma análoga a los perfiles, el CCN también validará y publicará los nuevos esquemas de acreditación de entidades y validación de personas, que garantizarán la seguridad de las soluciones o plataformas de terceros y su conformidad respecto al ENS.
  • Protocolo de actuación ante ciberincidentes. El CCN pasa a articular la respuesta a los incidentes de seguridad en torno al CCN-CERT. Las entidades del sector público deberán notificar al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de sus sistemas de información, de acuerdo con la correspondiente Instrucción Técnica de Seguridad Resolución de 13 de abril de 2018. Y las organizaciones del sector privado que presten servicios a entidades públicas deberán notificar al INCIBE-CERT los incidentes que les afecten, el cual a su vez lo pondrá en conocimiento del CCN-CERT.
  • Sistema de codificación de los requisitos de las medidas de seguridad. El nuevo sistema codifica los requisitos de las medidas y los organiza diferenciando entre los requisitos base preexistentes, y los posibles refuerzos de seguridad (R) que se suman (+) a los respectivos requisitos base. Dichos refuerzos no siempre son incrementales, de forma que en ciertos casos se podrá elegir entre aplicar un refuerzo u otro distinto.
  • Anexo II Medidas de Seguridad. El Anexo sufre algunos cambios relevantes como la incorporación de los nuevos controles [op.ext.3] Protección de la cadena de suministro y [op.ext.4] Interconexión de sistemas, el nuevo grupo de control [op.nub] Servicios en la nube y control [op.nub.1] Protección de servicios en la nube, así como los nuevos controles [op.mon.3] Vigilancia y [mp.eq.4] Otros dispositivos conectados a la red. También se realizan cambios menores como la centralización de todos los controles relativos a Medios alternativos en [op.cont.4]. A su vez entre los controles que se mantienen, aumentan considerablemente su nivel de exigencia [op.acc.1] Identificación, [op.exp.2] Gestión de seguridad, [op.exp.3] Gestión de la configuración de seguridad, [op.exp.6] Protección frente a código dañino, [op.exp.8] Registro de la actividad, [op.pl.4] Dimensionamiento/gestión de la capacidad, [op.mon.1] Detección de intrusión, [op.mon.2] Sistema de métricas y [mp.sw.2] Aceptación y puesta en servicio.

Referencias

Autor: Carlos Antonio Sans - ISO 27001 L.A., ISO 22301 L.A., CISA, CRISC, CISSP, ENAC-AEPD DPD
Dpto. Consultoría