Red Seguridad 106

red seguridad tercer trimestre 2024 79 opinión sus competencias y potestades admi- nistrativas, también ha visto mejorado su nivel de ciberseguridad tras su ade- cuación al ENS. Pero el éxito del Esquema no radica exclusivamente en el aumento del nivel de protección y, por tanto, del nivel de ciberseguridad de las entidades que se encuentran bajo su alcance. Su capa- cidad de adaptación a las necesidades específicas de determinados grupos de entidades o sectores de actividad con- cretos lo ha convertido en un mecanis- mo de control de referencia en España y en la Unión Europea. Una de las claves de esta capacidad de adaptación son los perfiles de cum- plimiento específicos (PCE), que propor- cionan un conjunto de medidas de segu- ridad adaptadas a los riesgos a los que están sometidas estas organizaciones, permitiendo una implementación más efectiva y eficaz de la ciberseguridad. Los PCE están siendo fundamenta- les para conseguir la conformidad con el ENS, tanto de sistemas que prestan servicios en la nube como de entidades locales, universidades públicas u orga- nismos del sector salud que, o bien ma- nejan recursos limitados, o bien tienen características y complejidades operati- vas específicas. Además, el CCN ha publicado una primera versión para un perfil de cum- plimiento específico que contemple las exigencias de la Directiva NIS2 con la finalidad de adaptarse a las estrategias de ciberseguridad europeas. Principios clave El ENS posibilita a las entidades el cum- plimiento de las futuras exigencias de la Directiva NIS2, puesto que ambos mar- cos comparten principios clave: la segu- ridad como proceso integral, la gestión de la seguridad basada en riesgos, la conservación de los datos y de la infor- mación, la protección de la cadena de suministro o la gestión de incidentes. Gobernanza de la ciberseguridad. Tanto el ENS como la NIS2 obligan a las organizaciones a establecer polí- ticas de seguridad y procedimientos que favorecen la gestión de la ciber- seguridad. Evaluaciones continuas del riesgo. Ambos marcos exigen una evaluación continua de los riesgos y la implemen- tación de medidas de mitigación, de modo que las organizaciones puedan adaptarse rápidamente a las amena- zas cambiantes. Respuesta a incidentes. La gestión de incidentes es un factor clave de la ciberseguridad; por ello, la obligación de notificar diligentemente los inci- dentes y de gestionarlos está recogida tanto en el ENS como en la Directiva NIS2. Según datos proporcionados por las entidades, los organismos con Certificado de Conformidad en el ENS reconocen haber reducido sus inci- dentes de ciberseguridad de manera significativa. Continuidad operativa y resiliencia. La implementación de controles ade- cuados en el ENS y la NIS2 asegura que, ante un incidente, las organi- zaciones mantengan la continuidad operativa mediante planes de con- tingencia robustos y mecanismos de resiliencia, permitiendo recuperarse rápidamente y minimizar el impacto de las amenazas cibernéticas. Gracias a la convergencia entre am- bas normas, las organizaciones que ya cumplen con el ENS pueden alinearse rápidamente con los requisitos exigidos por la Directiva NIS2. Presente y futuro En un entorno digital en constante evo- lución y con amenazas cada vez más sofisticadas, el Esquema Nacional de Seguridad ha demostrado su eficacia al mejorar la ciberseguridad del 74 por ciento de las organizaciones en España. Asimismo, la flexibilidad y capacidad de adaptación del ENS a través de los PCE facilita que las organizaciones pue- dan alinearse de manera efectiva con las futuras exigencias normativas, como las de la Directiva NIS2. Esta conver- gencia entre el ENS y la Directiva NIS2 materializa la preparación y anticipación de España para afrontar los desafíos emergentes de la ciberseguridad, ga- rantizando una protección más sólida y resiliente tanto en el presente como en el futuro.