El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) es un marco nacional de referencia para la gestión de la Seguridad de la Información en España y aplica a las organizaciones públicas y aquellas organizaciones privadas que trabajan con las organizaciones públicas. La Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Directiva (NIS 2) y su transposición a la legislación española, aplica a 18 sectores entre el que se encuentra también las organizaciones públicas. Se hace necesario establecer alineamientos entre ambas regulaciones para reducir duplicidades en esfuerzos y costes.
Las organizaciones que estén certificados en el ENS categoría ALTA comparten muchos principios y medidas de seguridad con NIS2, pero no completamente.
Principales conexiones entre la Directiva NIS 2 y el ENS:
1. Enfoque basado en Riesgos:
- NIS 2 establece la necesidad de realizar evaluaciones de riesgos y adoptar medidas de seguridad proporcionadas a los riesgos identificados
- ENS también se basa en la gestión de riesgos como uno de sus principios fundamentales, requiriendo a las organizaciones evaluar y mitigar los riesgos a la seguridad de la información.
2. Medidas de seguridad comunes:
- Ambas normativas incluyen la implementación de controles de seguridad específicos, como por ejemplo la protección de datos, la gestión de incidentes, y la continuidad del negocio para la categoría ALTA del ENS
- El ENS detalla controles y medidas técnicas, organizativas y procedimentales que se alinean con los requisitos de seguridad de NIS 2
3. Actualización y Mejora Continua:
- NIS 2 insiste en la necesidad de actualizar continuamente las medidas de seguridad para adaptarse a las nuevas amenazas.
- ENS promueve la mejora continua de la seguridad, la revisión periódica de las políticas y procedimientos, y la adaptación a nuevos riesgos
4. Cooperación y Comunicación:
- NIS 2 requiere que las entidades cooperen y compartan información con las autoridades competentes y otros actor es relevantes.
- El ENS también fomenta la cooperación entre entidades y la comunicación con el CCN para asegurar una respuesta coordinada ante incidentes de seguridad.
Hay ciertas áreas donde NIS 2 introduce requisitos adicionales o distintos que pueden no estar completamente cubiertos por el ENS.
Algunas diferencias en las que NIS 2 va más allá del ENS:
1. Requisitos de Gobernanza Corporativa:
- NIS 2 introduce requisitos específicos sobre la gobernanza corporativa, incluyendo la obligación de que los órganos de administración o gestión de las entidades supervisen y aprueben las medidas de seguridad y gestión de riesgos.
- Aunque el ENS categoría ALTA requiere la asignación de responsabilidades claras en seguridad de la información, no especifica de manera tan deta llada la implicación directa de los órganos de administración en la gestión y supervisión de la ciberseguridad
2. Notificación de Incidentes:
- NIS 2 establece requisitos más estrictos y detallados sobre la notificación de incidentes, incluyendo plazos específicos y criterios para la notificación temprana y final. También puede requerir la notificación de incidentes significativos a usuarios y otras partes interesadas.
- Si bien el ENS exige la notificación de incidentes de seguridad, los plazos y criterios pueden no ser tan detallados o estrictos como los de NIS 2
3. Cooperación Internacional y Transfronteriza:
- NIS 2 hace hincapié en la cooperación y coordinación transfronteriza entre los Estados miembros de la UE, incluyendo la participación en redes europeas de equipos de respuesta a incidentes de seguridad informática (CSIRTs).
- ENS se centra en la cooperación nacional y, aunque promueve la colaboración, no especifica con tanto detalle la cooperación transfronteriza obligatoria que exige NIS 2.
4. Desarrollo de capacidades y recurso:
- NIS 2 insiste en la necesidad de que las entidades inviertan en desarrollar capacidades y recursos adecuados para gestionar la ciberseguridad, incluyendo la formación y concienciación continua del personal.
- Si bien el ENS subraya la importancia de la formación y recursos, NIS 2 puede ser más específica en sus requerimientos para asegurar que las capacidades estén constantemente actualizadas.
5. Cadena de suministro y terceros
- NIS 2 incluye requisitos para gestionar y mitigar riesgos asociados con proveedores y la cadena de suministro, asegurando que estos terceros también cumplan con los estándares de seguridad adecuados.
- Aunque el ENS aborda la seguridad de terceros, puede no hacerlo con la misma amplitud o especificidad en términos de la cadena de suministro y la supervisión continua de los proveedores.
6. Resiliencia operativa y recuperación
- NIS 2 enfatiza la necesidad de que las entidades no solo prevengan y respondan a incidentes, sino que también mantengan y mejoren continuamente la resil iencia operativa y la capacidad de recuperación.
- En la categoría ALTA del ENS se abarca la continuidad del negocio y la recuperación ante desastres, pero puede no tener el mismo énfasis continuo en resiliencia operativa que NIS 2.
En resumen, aunque el ENS categoría ALTA cubre una amplia gama de medidas de seguridad incluyendo los refuerzos, NIS 2 introduce ciertos requisitos adicionales y más detallados en áreas como la gobernanza, notificación de incidentes, cooperación internacional, gestión de la cadena de suministro, y resiliencia operativa. Las organizaciones que estén certificados en el ENS deben contar con apoyo externo especializado para realizar un análisis y evaluación exhaustiva que identifique aquello que no está cubierto en su declaración de aplicabilidad y necesiten implantar medidas adicionales.
