NexTReT juntament amb Pymelegal, vol abordar dos temes importants per al sector públic, el compliment de l’ENS i el RGPD.
Què és l’ENS?
L’Esquema Nacional de Seguretat (ENS) és una normativa de caràcter estatal que garanteix la protecció i seguretat de la informació en l’àmbit de l’administració pública i els seus proveïdors, enfront de qualsevol amenaça que pugui ocórrer.
Va ser creat en 2010 amb l’objectiu de protegir els sistemes d’informació i les dades sensibles que dia a dia són gestionades per les entitats públiques, assegurant la seva: Disponibilitat, Integritat, Confidencialitat, Autenticitat i Traçabilitat. El 2022 la norma va ser revisada per a adaptar-la a les amenaces lògiques i físiques que ens envolten.
Aquest marc normatiu defineix els principis bàsics, els requisits mínims i les mesures de seguretat per a garantir una protecció adequada de la informació tractada i els serveis del Sector Públic Espanyol i dels proveïdors que col·laboren amb l’Administració.
Qui està obligat a complir l’ENS?
L’ENS és obligatori per a totes les entitats del sector públic espanyol a nivell estatal, autonòmic i local. Això inclou:
- Organismes de l’Administració General de l’Estat.
- Entitats gestores i serveis comuns de la Seguretat Social.
- Agències estatals i organismes autònoms.
- Entitats de Dret Públic amb personalitat jurídica pròpia vinculades o dependents de l’Administració General de l’Estat, de les comunitats autònomes i les entitats locals.
- Universitats públiques i altres organismes públics vinculats a aquestes.
- Entitats públiques empresarials i altres organismes públics.
També estaran obligats a complir-ho els proveïdors de l’Administració que tinguin relació amb serveis.
Complir amb l’ENS no sols és una obligació legal, sinó que també ajuda a preservar la reputació i la confiança de les organitzacions públiques.
Quines mesures de seguretat recull l’ENS?
L’ENS estableix una sèrie de mesures de seguretat per a garantir la protecció de la informació en l’àmbit de l’administració pública a Espanya. Aquestes mesures cobreixen diverses àrees, algunes de les més importants són:
- Gestió de riscos: L’ENS obliga al fet que les entitats públiques realitzin avaluacions de risc periòdiques per a identificar les amenaces i vulnerabilitats que existeixen i establir mesures per a mitigar el risc.
- Política de seguretat: Les entitats públiques hauran de definir i documentar una política de seguretat de la informació que estableixi uns principis i objectius a seguir en l’organització.
- Seguretat física: S’hauran d’implementar mesures de seguretat física per a protegir els actius d’informació, com per exemple: sistemes de vigilància, controls d’accés físic a les instal·lacions o protecció contra incendis i desastres naturals.
- Seguretat dels sistemes d’informació: S’han d’establir requisits per a protegir els sistemes d’informació, com per exemple: l’autenticació i autorització d’usuaris, la gestió de contrasenyes, el xifratge de dades, la gestió de pegats i actualitzacions i la protecció contra malware i altres ciberatacs.
- Seguretat en la gestió d’incidències: Hauran de comptar amb procediments i recursos per a detectar, gestionar i respondre a incidents de seguretat de la informació de manera efectiva, minimitzant l’impacte i restaurant l’operativitat com més aviat millor.
- Protecció de dades: S’hauran d’establir mesures per a protegir la confidencialitat, integritat i disponibilitat de les dades, incloent-hi les polítiques de classificació i etiquetatge de la informació, el control d’accés a les dades, la realització de còpies de seguretat i la gestió de registres.
- Formació i conscienciació: Hauran de proporcionar formació i conscienciació en seguretat de la informació al personal amb la condició de promoure una cultura de seguretat i garantir el compliment d’aquestes polítiques.
Aquestes són només algunes de les mesures de seguretat que es recullen en l’Annex II de l’ENS i que permeten a les entitats públiques i als seus proveïdors, vetllar per la seguretat dels sistemes i de la informació tractada i així garantir la seva seguretat en un entorn cada vegada més digital i complex.
Relació entre el RGPD i l’ENS: per què has de complir les dues normatives?
L’ENS i el RGPD són dues regulacions clau en l’àmbit de la seguretat, cadascuna amb el seu enfocament, però complementàries entre si:
- Les dues estan orientades a protegir la confidencialitat, integritat i disponibilitat de la informació. L’ENS se centra en la seguretat de la informació en general i abasta tant dades personals com no personals i el RGPD s’enfoca específicament en la protecció de dades personals i estableix requisits més detallats sobre el seu tractament com la recopilació, processament i emmagatzematge d’aquestes dades.
- Totes dues regulacions tenen l’objectiu de promoure alts estàndards de seguretat en el tracte de la informació. L’ENS estableix mesures per a les entitats públiques i el RGPD per a tots els sectors i activitats econòmiques.
- Les organitzacions subjectes a l’ENS i al RGPD han de complir amb els requisits i obligacions de les dues regulacions.
- L’enfocament en la gestió de riscos que promou l’ENS pot ser complementari a l’enfocament basat en el risc del RGPD. Totes dues regulacions insten a identificar i avaluar els riscos del tracte d’informació i les dades personals i a implementar mesures per a mitigar el risc.
- L’incompliment del RGPD pot tenir greus sancions econòmiques que poden ascendir a milions d’euros en casos greus per a les empreses privades. Per a les Administracions Públiques les prevencions i el mal reputacional és una cosa que s’ha de tenir molt en compte.
Com t’ajudem amb la teva certificació de l’ENS
El procés per a adequar-se al compliment i la posterior certificació a l’ENS és complex, però des de NexTReT podem ajudar-te, la nostra llarga trajectòria ajudant altres empreses i organismes públics a adquirir la certificació de l’ENS i la certificació ENS nivell ALT en tots els nostres serveis ens avalen.
La certificació és un requisit necessari per a presentar-se a moltes licitacions públiques, a més la certificació demostra el compromís de l’organització amb la seguretat de la informació.
Si has d’abordar l’adequació a l’ENS, des de NexTReT podem ajudar-te amb una avaluació i auditoria prèvia i així poder definir el teu full de ruta personalitzat.
Recorda que és important complir amb les dues regulacions de les quals t’hem parlat per a protegir la seguretat de la informació i les dades.
Si necessites ajuda per a implementar la protecció de dades en el teu negoci, contacta amb NexTReT i et farem la proposta que el teu negoci necessita.