Nuevas obligaciones para las certificaciones del ENS
El día 5 de mayo de 2024 acaba el periodo de carencia para la obligatoriedad del nuevo ENS recogido en el RD 311/2022 del 3 de mayo, y esa fecha marca también la activación de dos recientes obligaciones que pueden potencialmente afectar al resultado de la auditoría.
En su versión inicial de 2010, el ámbito de aplicación del Esquema Nacional de Seguridad (ENS) sólo alcanzaba a las entidades del sector público. En 2022, con la publicación del Real Decreto 311/2022, de 3 de mayo, se actualiza y regula el “nuevo” Esquema Nacional de Seguridad, que, entre otros cambios, extiende su ámbito de aplicación para alcanzar, además, a los sistemas de información de las entidades del sector privado que presten servicios o provean soluciones a las del sector público para que estas ejerzan sus competencias y potestades administrativas.
Este Real Decreto estableció un periodo de carencia, para facilitar la transición, hasta el 5 de mayo de 2024, momento desde el que será obligatorio. Esta fecha marca también el inicio de la obligatoriedad de dos novedades que recientemente han surgido y que potencialmente pueden afectar a la certificación. Te las explicamos a continuación
Informe Nacional del Estado de la Seguridad (INES)
En el artículo 32, que define y detalla el Informe del Estado de la seguridad, se establece que todos los sistemas de información comprendidos en el ámbito de aplicación (sector público y sector privado) deberán proporcionar información sobre las principales variables de la seguridad en sus sistemas, acorde a los procedimientos que para ello establezca el Centro Criptológico Nacional (CCN).
A estos efectos, el CCN dispone de una herramienta denominada INES (Informe Nacional del Estado de la seguridad), que hasta recientes fechas solamente era accesible por las entidades del sector público. El pasado mes de agosto se publicó que pasaba a estar disponible también para las entidades del sector privado. La noticia puede leerse en este enlace, que también contiene la dirección de acceso, donde se presenta como una posibilidad que se ofrece a las empresas del sector privado.
No obstante, el pasado 31 de diciembre de 2023, las entidades que formamos parte del Comité de Certificación del ENS (CoCENS) recibimos una nueva comunicación del CCN indicando que será obligatorio desde el 5 de mayo de 2024, cumplimentar el Informe Nacional del Estado de la Seguridad a través de esta plataforma del CCN, que albergará todos los datos recabados (aunque por el momento, la herramienta está disponible únicamente en español). Es decir, todas las organizaciones que se quieran certificar tendrán que convenir en mostrar su estado de seguridad al CCN. Sin duda INES se va a convertir en un repositorio de información de tremendo interés.
El cumplimiento efectivo de esta obligación debe ser verificado durante la auditoría, mediante la presentación del último informe INES de la organización. El no disponer del mismo será contemplado como una No Conformidad Mayor.
Auditorías Internas de Cumplimiento del ENS
Otra novedad también introducida por el CCN y obligatoria a partir del 5 de mayo, es la obligatoriedad, para los sistemas en categorías Media y Alta, de realizar una auditoría interna anual, con todos los aspectos formales que ello conlleva: plan de auditoría, informe, idoneidad del equipo auditor, e implantación de medidas correctoras, si se hubiesen identificado.
La ausencia o incorrecta realización de esta auditoría interna será tipificada como una Observación, pero en caso de persistir, derivará en una No Conformidad Mayor, con un resultado directamente Desfavorable, con lo que se requerirá una auditoría extraordinaria para su verificación posterior.
Este requisito, que no es mencionado en el Real Decreto ni en las Instrucciones Técnicas que hasta la fecha lo acompañan, está justificado por el CNN en su Guía IC-01/19 sobre los criterios generales de auditoría y certificación es que se “requiere disponer de un SGSI para la gestión de su seguridad, como se determina en la medida de seguridad [op.pl.2] sobre arquitectura de seguridad”.
Conclusión
En resumen, ambos aspectos suponen la imposición de acciones adicionales, a partir del 5 de Mayo de 2024, tanto a los operadores privados que se ven obligados a abordar esta certificación para contratar en el sector público, como a las entidades de certificación para su verificación, y que de por sí no aportan una mayor garantía de seguridad al ecosistema (máxime considerando que la mayoría de las entidades del sector público no disponen de la certificación ENS ellas mismas, y a lo sumo se persigue que la obtengan con prioridad sobre el buscar un fortalecimiento real de sus sistemas de información).