El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) continúa siendo clave para fortalecer la ciberseguridad de las organizaciones en España. Así lo demuestran los datos obtenidos en una encuesta reciente del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), en la que han participado más de 1.500 profesionales de los sectores público y privado.
Tras la consulta realizada a los profesionales del sector, el CCN ha destacado cómo el ENS no solo está impulsando la protección de los sistemas de las organizaciones frente a ciberataques, sino que, además, favorece la preparación de las entidades para cumplir con las exigencias en materia de ciberseguridad derivadas de la Directiva NIS2.
Datos clave de la encuesta: un panorama positivo de mejora
La encuesta del CCN evidencia el impacto positivo del Esquema Nacional de Seguridad en el nivel de ciberseguridad de las organizaciones españolas:
- El 74 por ciento de las organizaciones participantes reconoce haber mejorado significativamente su ciberseguridad tras la implementación del ENS. Este dato destaca el éxito del Esquema en la protección frente a amenazas, contribuyendo a un entorno más seguro para los sistemas desde los que las organizaciones públicas y privadas prestan sus servicios.
- El 73 por ciento de las entidades participantes en la encuesta no contaban con ninguna certificación previa antes de adecuarse al ENS. Esto refleja el papel crucial del Real Decreto como marco regulatorio de seguridad para gran cantidad de organizaciones, tanto del sector público como privado, facilitando la creación y establecimiento, por primera vez, de sus Políticas de Seguridad.
- Incluso aquellas organizaciones que ya contaban con certificaciones previas han experimentado con el cumplimiento del ENS mejoras notables en sus sistemas de ciberseguridad. Esto evidencia que, aunque algunas entidades ya aplicaban medidas de seguridad, el ENS ha sido un complemento efectivo que ha elevado su nivel de protección ante las amenazas.
Estos datos subrayan la relevancia del ENS para entidades sin experiencia previa en ciberseguridad y también para aquellas que ya contaban con marcos de protección, consolidándolo como un estándar que fortalece el ecosistema de seguridad en todos los niveles.
El ENS como factor clave en la ciberseguridad del sector privado
Otro dato importante que se extrae de la encuesta realizada por el CCN es el papel fundamental de la colaboración entre entidades públicas y privadas en la mejora de la ciberseguridad. Los resultados reflejan que el sector privado, que se encuentra dentro del alcance del ENS cuando presta servicios o provee soluciones a las entidades del sector público para el ejercicio por éstas de sus competencias y potestades administrativas, también ha visto mejorado su nivel de ciberseguridad tras su adecuación al ENS.
ENS como herramienta dinámica
Pero el éxito del Esquema no radica exclusivamente en el aumento del nivel de protección y, por tanto, del nivel de ciberseguridad de las entidades que se encuentran bajo su alcance. Su capacidad de adaptación a las necesidades específicas de determinados grupos de entidades o sectores de actividad concretos lo ha convertido en un mecanismo de control de referencia en España y en la Unión Europea.
Una de las claves de esta capacidad de adaptación son los perfiles de cumplimiento específicos (PCE), que proporcionan un conjunto de medidas de seguridad adaptadas a los riesgos a los que están sometidas estas organizaciones, permitiendo una implementación más efectiva y eficaz de la ciberseguridad.
Los PCE están siendo fundamentales para conseguir la conformidad con el ENS, tanto de sistemas que prestan servicios en la nube como de entidades locales, universidades públicas u organismos del sector salud que, o bien manejan recursos limitados, o bien tienen características y complejidades operativas específicas.
Además, el CCN ha publicado una primera versión para un perfil de cumplimiento específico que contemple las exigencias de la Directiva NIS2 con la finalidad de adaptarse a las estrategias de ciberseguridad europeas.
Cumplimiento de la Directiva NIS2
El ENS posibilita a las entidades el cumplimiento de las futuras exigencias de la Directiva NIS2, puesto que ambos marcos comparten principios clave: la seguridad como proceso integral, la gestión de la seguridad basada en riesgos, la conservación de los datos y de la información, la protección de la cadena de suministro o la gestión de incidentes.
- Gobernanza de la ciberseguridad. Tanto el ENS como la NIS2 obligan a las organizaciones a establecer políticas de seguridad y procedimientos que favorecen la gestión de la ciberseguridad.
- Evaluaciones continuas del riesgo. Ambos marcos exigen una evaluación continua de los riesgos y la implementación de medidas de mitigación, de modo que las organizaciones puedan adaptarse rápidamente a las amenazas cambiantes.
- Respuesta a incidentes. La gestión de incidentes es un factor clave de la ciberseguridad; por ello, la obligación de notificar diligentemente los incidentes y de gestionarlos está recogida tanto en el ENS como en la Directiva NIS2. Según datos proporcionados por las entidades, los organismos con Certificado de Conformidad en el ENS reconocen haber reducido sus incidentes de ciberseguridad de manera significativa.
- Continuidad operativa y resiliencia. La implementación de controles adecuados en el ENS y la NIS2 asegura que, ante un incidente, las organizaciones mantengan la continuidad operativa mediante planes de contingencia robustos y mecanismos de resiliencia, permitiendo recuperarse rápidamente y minimizar el impacto de las amenazas cibernéticas.
Gracias a la convergencia entre ambas normas, las organizaciones que ya cumplen con el ENS pueden alinearse rápidamente con los requisitos exigidos por la Directiva NIS2.
Conclusión: ENS como base para el presente y el futuro de la ciberseguridad en España
En un entorno digital en constante evolución y con amenazas cada vez más sofisticadas, el Esquema Nacional de Seguridad ha demostrado su eficacia al mejorar la ciberseguridad del 74 por ciento de las organizaciones en España.
Asimismo, la flexibilidad y capacidad de adaptación del ENS a través de los PCE facilita que las organizaciones puedan alinearse de manera efectiva con las futuras exigencias normativas, como las de la Directiva NIS2. Esta convergencia entre el ENS y la Directiva NIS2 materializa la preparación y anticipación de España para afrontar los desafíos emergentes de la ciberseguridad, garantizando una protección más sólida y resiliente tanto en el presente como en el futuro.
