✔​ El Esquema Nacional de Seguridad, en adelante, en adelante ENS, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero (Abre en nueva ventana) , que fue modificado por el Real Decreto 951/2015(Abre en nueva ventana) para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

Las instrucciones técnicas de seguridad , de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos: Informe del estado de la seguridad; Notificación de incidentes de seguridad; Auditoría de la seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de productos de seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad; y Requisitos de seguridad en entornos externalizados.

Objetivos del ENS como parte del RGPD

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:

  • Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • Promover la gestión continuada de la seguridad.

  • Promover la prevención detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.

  • Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción, así como la comunicación de los requisitos de seguridad de la información a la Industria.

  • Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE «Digital Security Risk Management for Economic and Social Prosperity – OECD Recommendation and Companion Document».

ENS como parte del RGPD y su régimen jurídico

El artículo 32 del Reglamento General de Protección de datos, en adelante RGPD establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • la seudonimización y el cifrado de datos personales;

  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

⛔️ ¿Todavía NO sabes como proteger correctamente los datos de tu empresa o negocio?

✔️ Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía. Somos especialistas en 【PROTECCIÓN DE DATOS | LSSI | COMPLIANCE PENAL | LPBC-F】
✔️ Nuestra «Consultoría en Protección de Datos» es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

ENS como parte del RGPD, teniendo en cuenta sus controles

La adecuación del ENS como parte del RGPD, cumpliría con los requisitos de seguridad que exige el RGPD, ya que incluiría: 

 

  • Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades.

  • Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.

  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.

  • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.

  • Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.

  • Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.

  • Auditar la seguridad para verificar el cumplimiento de los requisitos del ENS.

  • Obtener y publicitar la conformidad con el ENS.

  • Informar sobre el estado de la seguridad.

Fuente y más información

Para más información haz click en el siguiente enlace ➥ Esquema Nacional de Seguridad – ENS

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

RGPD y sus implicaciones en el teletrabajo
Auditoría en protección de datos
Brechas de seguridad en el RGPD