Ponencia "Perspectiva Jurídica del Esquema
Nacional de Seguridad". ALEJANDRO PADÍN VIDAL - J&A GARRIGUES, S.L.P.
2011
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
2. 1. Regulación legal
Normativa aplicable:
Ley 11/2007, de 22 de junio, de acceso aelectrónico de los ciudadanos a los Servicios
Públicos
Real Decreto 3/2010, de 8 de enero, que regula el Esuema Nacional de Seguridad en el
ámbito de la Administración Electrónica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el ámbito de la Administración Electrónica.
Galicia
Decreto 198/2010, de 2 de diciembre, por el que se regula el desarrollo de la
Administración electrónica en la Xunta de Galicia y en las entidades de ella dependientes.
2
3. 1. Regulación legal
Principios y derechos de los ciudadanos en materia de seguridad
Seguridad Seguridad Seguridad
Sede electrónica Comunicaciones electrónicas Archivo electrónico
ESQUEMA NACIONAL DE SEGURIDAD
(Real Decreto 3/2010, de 8 de enero)
3
4. 2. Concepto: ¿Qué es el Esquema Nacional de Seguridad?
ENS
Principios básicos Requisitos mínimos Medidas de seguridad
Seguridad integral Organización e implantación del proceso de seguridad Marco organizativo
Gestión de riesgos Análisis y gestión de riesgos Marco operacional
Prevención, reacción y recuperación Gestión de personal Medidas de protección
Líneas de defensa Profesionalidad
Reevaluación periódica Control,de accesos
Función diferenciada Protección de instalaciones
Adquisición de productos
Seguridad por defecto
Integridad y actualización
Protección de información almacenada y en tránsito
Prevención ante otros sistemas interconectados
Registro de actividad
Incidentes de seguridad
Continuidad de la actividad
Mejora continua del proceso de seguridad
4
5. 3. Ámbito subjetivo: ¿Quiénes están obligados a implantar el ENS?
El ENS será de aplicación:
Administración General del Estado.
Administraciones de las CCAA.
Entidades que integran la Administración Local.
Entidades de derecho público vinculadas o dependientes de las anteriores.
El ENS no será de aplicación a:
Administraciones Públicas en las actividades que desarrollen en régimen de derecho
privado.
Administraciones Públicas en los sistemas que tratan información clasificada regulada por
la Ley 9/1968, de 5 de abril, de Secretos Profesionales y normas de desarrollo.
Organizaciones que presten servicios de seguridad a las Administraciones Públicas: Las Administraciones
les exigirán de forma objetiva y no discriminatoria que cuenten con unos niveles idóneos de gestión y madurez en
los servicios prestados (art. 15.3 RD 3/2010).
Organizaciones que comercialicen productos de seguridad: Se valorarán aquellos que tengan certificada la
funcionalidad de su seguridad conforme a Normas y Estándares reconocidos internacionalmente (art. 18 RD 3/2010).
5
6. 4. ¿En qué plazo ha de estar implantado el ENS?
Nuevos sistemas Desde su concepción.
Sistemas existentes - Plazo general: 12 meses desde la entrada en vigor del ENS (30-
1-2010).
- Plazo excepcional: 48 meses (Si a los 12 meses de la entrada en
vigor del ENS hubiera circunstancias que impiden la plena
aplicación de lo dispuesto en él se establecerá un plan de
adecuación que marque los plazos de ejecución los cuales, en
ningún caso, serán superiores a 48 meses desde la entrada en
vigor).
6
7. 5. Régimen sancionador
Aunque el ENS no establece un régimen sancionador específico para el caso de su
incumplimiento ha de tenerse en cuenta que de su inobservancia pueden derivarse
sanciones y responsabilidades previstas en otras normas:
Infracción de la normativa de protección de datos de carácter personal:
Resolución del Director de la AEPD.
Iniciación de actuaciones disciplinarias si procedieran.
Indemnización de daños y perjuicios: Responsabilidad Patrimonial de la Administración
Pública.
7