Además de la conocida LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal), las Administraciones públicas, en especial aquellas que dispongan de medios electrónicos para relacionarse con los ciudadanos, deben cumplir con una reciente normativa: el Esquema Nacional de Seguridad.
El Esquema Nacional de Seguridad (ENS) es un concepto que erige del artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, que consagra el derecho de los ciudadanos a comunicarse electronicamente con la Administración, estableciendo lo siguiente: «El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información».
Así pues, nace el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, del que se debe conocer la siguiente información:
1. ¿Qué es exactamente el ENS?
El artículo 1 del RD 3/2010 define el ENS como «Los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Será aplicado por las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias».
Por tanto, el ENS pretende garantizar la seguridad de la información que se intercambia con la Administración mediante el uso de medios electrónicos
2. ¿Cuál es su ámbito de aplicación?
El artículo 2 de la Ley 11/2007, establece que el ENS se aplica:
- A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
- A los ciudadanos en sus relaciones con las AAPP
- A las relaciones entre las distintas AAPP
3. ¿Qué obligaciones impone el ENS a las Administraciones?
- La observancia de unos principios básicos de seguridad: seguridad integral, gestión de riesgos, prevención, reacción y recuperación, etc.
- El cumplimiento de unos requisitos mínimos de seguridad, que deberán recogerse en la Política de Seguridad de la Administración.
- La aplicación de medidas de seguridad orientadas a garantizar la seguridad electrónica de los sistemas de información. El ENS establece 75 medidas de seguridad, que se clasifican en:
- Marco Organizativo
- Marco Operacional
- Medidas de protección
- La realización de auditorias periódicas para verificar el cumplimiento del ENS.
4. ¿Qué sucede una vez se cumple con las obligaciones establecidas por el ENS?
La Administración deberá publicar en su sede electrónica la Declaración de conformidad respecto al cumplimiento del ENS.
5. ¿Cuál es el plazo de adecuación?
Las Administraciones deberían estar adecuadas al ENS en el plazo de 12 meses desde su entrada en vigor. Sin embargo, en previsión de posibles dificultades para cumplir con las obligaciones que el ENS establece para la Administración, la propia normativa dispone que «si hubieran circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.
Clara Santamarina
Abogada – Global Legal Data
csantamarina@legal-data.net