Se modifica la regulación sobre seguridad en el ámbito de la Administración Electrónica
Se modifica la regulación sobre seguridad en el ámbito de la Administración Electrónica
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. (BOE núm. 264, de 4 de noviembre de 2015)
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. También estableció que el mismo debía mantenerse actualizado de manera permanente y, en desarrollo de este precepto, el Real Decreto 3/2010, de 8 de enero, establece que el Esquema Nacional de Seguridad se desarrollará y perfeccionará a lo largo del tiempo en paralelo al progreso de los servicios de Administración electrónica, la evolución de la tecnología, los nuevos estándares internacionales sobre seguridad y auditoría, y la consolidación de las infraestructuras que le sirven de apoyo, manteniéndose actualizado de manera permanente.
Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156. Mientras que la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
En efecto, los ciudadanos confían en que los servicios públicos disponibles por el medio electrónico se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.
Por otra parte, las ciberamenazas, que constituyen riesgos que afectan singularmente a la Seguridad Nacional, se han convertido en un potente instrumento de agresión contra las entidades públicas y los ciudadanos en sus relaciones con las mismas, de manera que la ciberseguridad figura entre los doce ámbitos prioritarios de actuación de la Estrategia de Seguridad Nacional como instrumento actualizado para encarar el constante y profundo cambio mundial en el que nos hayamos inmersos y como garantía de la adecuada actuación de España en el ámbito internacional. En particular, dicho ámbito de actuación de ciberseguridad se refiere a la garantía de la seguridad de los sistemas de información y las redes de comunicaciones e infraestructuras comunes a todas las Administraciones Públicas y a que se finalizará la implantación del Esquema Nacional de Seguridad, previsto en la Ley 11/2007, de 22 de junio. Profundizando en la cuestión, la Estrategia de Ciberseguridad Nacional «que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia» y en su línea de acción 2, titulada «Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas», se incluye la medida relativa a «Asegurar la plena implantación del Esquema Nacional de Seguridad y articular los procedimientos necesarios para conocer regularmente el estado de las principales variables de seguridad de los sistemas afectados».
Por todo ello, y en particular dada la rápida evolución de las tecnologías de aplicación y la experiencia derivada de la implantación del Esquema Nacional de Seguridad aconsejan la actualización de esta norma, cuyo alcance y contenido se orienta a precisar, profundizar y contribuir al mejor cumplimiento de los mandatos normativos, clarifica el papel del Centro Criptológico Nacional y del CCN-CERT, elimina la referencia a INTECO, explicita y relaciona las instrucciones técnicas de seguridad, y la Declaración de Aplicabilidad, actualiza el Anexo II referido a las medidas de seguridad y simplifica y concreta el anexo III, referido a la auditoría de seguridad, modifica el Glosario de términos recogido en el anexo IV, modifica la redacción de la cláusula administrativa particular contenida en el anexo V y finaliza estableciendo mediante disposición transitoria un plazo de veinticuatro meses contados a partir de la entrada en vigor para la adecuación de los sistemas a lo dispuesto en la modificación.
Y en ese sentido, se modifica el apartado 1 del artículo 11, el apartado 3 del 15, el título del 18, su apartado 1 y se añade un nuevo apartado 4, el apartado a) del 19, el apartado 2 del 24, el 27 mediante la introducción de dos nuevos apartados 4 y 5, el título del 29, sus apartados 1 y 2 y se introduce un nuevo apartado 3, los artículos 35 y 36, el apartado 1.a) del 37, los anexos II a V, se elimina la disposición adicional segunda, se modifica la numeración de las disposiciones adicionales tercera y cuarta y se añade una nueva disposición adicional cuarta.
Todo ello con dicha finalidad y con el fin de adecuarse a lo previsto en el Reglamento n.º 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.