OposAs / Categorías SAS / Volver a Técnico/a Especialista en Informática / Tema 36

Tema 36. El Esquema Nacional de Seguridad. Ley de la protección de las infraestructuras críticas

Tema específico de Técnico/a Especialista en Informática
Probar demo gratis

1. El Esquema Nacional de Seguridad

🎯 Idea clave

  • El Esquema Nacional de Seguridad (ENS) es el marco normativo obligatorio que regula la seguridad de los sistemas de información en las Administraciones Públicas españolas.
  • Su regulación vigente se establece en el Real Decreto 311/2022, de 3 de mayo, que derogó al anterior Real Decreto 3/2010.
  • El ENS define principios básicos, requisitos mínimos y medidas de seguridad para proteger la información y los servicios electrónicos.
  • Es de aplicación directa al Servicio Andaluz de Salud (SAS) como organismo público de la Junta de Andalucía.
  • También obliga a entidades privadas que presten servicios o soluciones tecnológicas a las Administraciones Públicas.
  • Su finalidad es garantizar un nivel homogéneo de seguridad en toda la Administración española.

📚 Desarrollo

Norma de creación y ámbito. El Esquema Nacional de Seguridad se regula mediante el Real Decreto 311/2022, de 3 de mayo, publicado en el BOE núm. 106. Esta norma derogó al anterior Real Decreto 3/2010 y desarrolla el mandato del artículo 156.2 de la Ley 40/2015, que establece la política de seguridad en el uso de medios electrónicos en el sector público. Su ámbito subjetivo incluye a todas las entidades del artículo 2 de la Ley 40/2015, como la Administración General del Estado, las Comunidades Autónomas y las Entidades Locales.

Finalidad y objetivos. El ENS tiene como objetivo principal garantizar la seguridad de la información tratada y los servicios prestados por medios electrónicos, asegurando su acceso, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación. Su finalidad es crear condiciones de confianza en el uso de medios electrónicos, permitiendo la prestación de servicios y el intercambio de información entre Administraciones y con los ciudadanos.

Principios básicos. El artículo 5 del Real Decreto 311/2022 establece los principios fundamentales del ENS: seguridad integral, que abarca elementos técnicos, humanos y organizativos; gestión de riesgos, basada en el análisis y evaluación de amenazas; prevención, detección, respuesta y conservación, que cubre el ciclo completo de la seguridad; líneas de defensa, con múltiples capas de protección; vigilancia continua, mediante monitorización permanente; y reevaluación periódica, para adaptarse a cambios en el entorno de amenazas.

Ámbito de aplicación. El ENS es de aplicación obligatoria para todo el sector público, incluyendo al Servicio Andaluz de Salud (SAS) como organismo de la Junta de Andalucía. Además, se extiende a entidades privadas que presten servicios o provean soluciones tecnológicas a entidades públicas en el marco de la contratación pública. Esto garantiza que los proveedores externos cumplan los mismos estándares de seguridad que las Administraciones.

Estructura del ENS. El Esquema Nacional de Seguridad se estructura en torno a tres elementos clave: categorías de seguridad, que clasifican los sistemas en básica, media o alta según el impacto potencial de un incidente; marco organizativo, que incluye políticas, procedimientos y roles; y marco operacional y de protección, que abarca medidas como la gestión de incidentes, el control de acceso, el cifrado y la protección frente al malware.

Actualización y alineación internacional. El Real Decreto 311/2022 actualiza el ENS para adaptarlo a las amenazas actuales y a los nuevos modelos tecnológicos, como la nube, los microservicios y la identidad digital. Además, se alinea con estándares internacionales como la familia ISO/IEC 27000, el marco NIST y las directrices de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), garantizando su coherencia con las mejores prácticas globales.

Proceso de conformidad. La Instrucción Técnica de Seguridad regula el proceso de declaración y certificación de conformidad con el ENS. Aunque esta instrucción se aprobó inicialmente bajo el anterior Real Decreto 3/2010, su régimen ha sido actualizado por el artículo 40 del Real Decreto 311/2022, asegurando que las entidades cumplan con los requisitos establecidos.

🧩 Elementos esenciales

  • Real Decreto 311/2022: Norma vigente que regula el ENS, derogando al anterior Real Decreto 3/2010.
  • Ámbito subjetivo: Aplicable a todas las Administraciones Públicas, incluyendo el SAS, y a entidades privadas que trabajen para el sector público.
  • Principios básicos: Seguridad integral, gestión de riesgos, prevención, líneas de defensa, vigilancia continua y reevaluación periódica.
  • Categorías de seguridad: Clasificación de sistemas en básica, media o alta según el impacto potencial de un incidente.
  • Marco organizativo: Políticas, procedimientos, roles y responsabilidades para gestionar la seguridad.
  • Marco operacional: Gestión de incidentes, control de acceso, cifrado y protección frente a amenazas como el malware.
  • Finalidad: Garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de la información y los servicios electrónicos.
  • Alineación internacional: Adaptación a estándares como ISO/IEC 27000, NIST y directrices de ENISA.
  • Proceso de conformidad: Declaración y certificación reguladas por la Instrucción Técnica de Seguridad.
  • Vigilancia continua: Monitorización permanente del estado de los sistemas para detectar y responder a incidentes.

🧠 Recuerda

  • El ENS es de aplicación obligatoria para el sector público y entidades privadas que trabajen con Administraciones.
  • Su regulación actual se encuentra en el Real Decreto 311/2022.
  • Los principios básicos incluyen seguridad integral, gestión de riesgos y líneas de defensa.
  • Las categorías de seguridad determinan el nivel de protección exigible a cada sistema.
  • El ENS se alinea con estándares internacionales como ISO/IEC 27000 y NIST.
  • La vigilancia continua y la reevaluación periódica son clave para adaptarse a nuevas amenazas.
  • El SAS, como organismo público, debe cumplir con todos los requisitos del ENS.
  • La conformidad con el ENS se certifica mediante un proceso regulado por la Instrucción Técnica de Seguridad.
  • El ENS no es una recomendación, sino un marco normativo vinculante.
  • Su objetivo es garantizar la seguridad de la información y los servicios electrónicos en las Administraciones Públicas.

2. Ley de la protección de las infraestructuras críticas

🎯 Idea clave

  • La Ley 8/2011, de 28 de abril, establece el marco legal para la protección de infraestructuras críticas en España frente a amenazas deliberadas.
  • Su objetivo principal es coordinar las actuaciones de las Administraciones Públicas para prevenir, preparar y responder ante atentados terroristas u otras amenazas graves.
  • La norma define infraestructuras críticas como aquellas cuyo fallo o perturbación afectaría gravemente a servicios esenciales para la sociedad.
  • España amplía el alcance de la Directiva 2008/114/CE, incorporando doce sectores estratégicos en lugar de los dos previstos inicialmente.
  • El Real Decreto 704/2011 desarrolla el reglamento de la Ley 8/2011, completando el Sistema de Protección de Infraestructuras Críticas.
  • La protección se centra en garantizar la funcionalidad, continuidad e integridad de instalaciones, redes y sistemas esenciales.

📚 Desarrollo

Norma de referencia. La Ley 8/2011, de 28 de abril, es la norma central que regula la protección de las infraestructuras críticas en España. Publicada en el BOE el 29 de abril de 2011 y en vigor desde el 30 de abril, esta ley transpone parcialmente la Directiva 2008/114/CE, aunque con un enfoque más amplio. Mientras la directiva europea se limita a los sectores de energía y transporte, la ley española incorpora doce sectores estratégicos, reflejando un modelo más integral de protección.

Objeto y finalidad. El artículo 1 de la Ley 8/2011 establece como objeto principal la creación de estrategias y estructuras que permitan dirigir y coordinar las actuaciones de los órganos de las Administraciones Públicas en materia de protección de infraestructuras críticas. Su finalidad es mejorar la prevención, preparación y respuesta del Estado frente a atentados terroristas u otras amenazas que puedan afectar a estas infraestructuras, garantizando la continuidad de los servicios esenciales para la sociedad.

Ámbito de aplicación. La ley se aplica a las infraestructuras críticas, definidas en el artículo 2 como instalaciones, redes, sistemas y equipos físicos y de tecnología de la información cuyo funcionamiento es indispensable para la prestación de servicios esenciales. Su fallo o perturbación podría tener graves consecuencias para la seguridad, el bienestar social, la economía o el funcionamiento eficaz del Estado. Esta definición excluye instalaciones importantes pero no críticas, centrándose en activos cuya indisponibilidad tendría un impacto sistémico.

Sectores estratégicos. El Anexo de la Ley 8/2011 establece doce sectores estratégicos en los que pueden existir infraestructuras críticas: Administración, Agua, Alimentación, Energía, Espacio, Sistema financiero y tributario, Industria química, Industria nuclear, Tecnologías de la Información y las Comunicaciones (TIC), Salud, Transporte y Agua. Cada sector cuenta con un ministerio u organismo competente responsable de su supervisión, lo que facilita la coordinación entre los distintos niveles administrativos.

Sistema de Protección de Infraestructuras Críticas (SPIC). Los artículos 3 a 9 de la ley regulan el SPIC, un sistema institucional diseñado para articular las actuaciones de protección. Este sistema incluye órganos como el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), encargado de coordinar las políticas y estrategias en esta materia. Además, el SPIC establece instrumentos como el Catálogo Nacional de Infraestructuras Críticas, que identifica y clasifica las infraestructuras según su nivel de criticidad.

Obligaciones de los operadores críticos. Los artículos 10 a 14 definen el estatuto de los operadores críticos, tanto públicos como privados, y sus obligaciones. Estos operadores deben elaborar y mantener actualizados planes de seguridad del operador (PSO) y planes de protección específica (PPE), que detallan las medidas para garantizar la seguridad de las infraestructuras bajo su responsabilidad. La ley también establece la obligación de colaborar con las autoridades en la identificación de riesgos y la implementación de medidas preventivas.

Régimen sancionador. Los artículos 15 a 18 regulan el régimen sancionador aplicable en caso de incumplimiento de las obligaciones establecidas por la ley. Las infracciones se clasifican en leves, graves y muy graves, y pueden dar lugar a sanciones económicas, la revocación de autorizaciones o incluso la intervención temporal de la infraestructura. Este régimen busca garantizar el cumplimiento efectivo de las medidas de protección y disuadir conductas negligentes.

Desarrollo reglamentario. El Real Decreto 704/2011, de 20 de mayo, aprueba el reglamento de desarrollo de la Ley 8/2011. Este reglamento detalla aspectos como la identificación y designación de infraestructuras críticas, los procedimientos para la elaboración de planes de seguridad, y los mecanismos de coordinación entre los distintos actores involucrados. Su objetivo es operativizar las disposiciones de la ley, proporcionando un marco claro para su aplicación práctica.

🧩 Elementos esenciales

  • Ley 8/2011: Norma central que regula la protección de infraestructuras críticas en España, en vigor desde el 30 de abril de 2011.
  • Objeto de la ley: Establecer estrategias y estructuras para coordinar las actuaciones de las Administraciones Públicas en la protección de infraestructuras críticas.
  • Infraestructuras críticas: Instalaciones, redes, sistemas y equipos físicos y de tecnología de la información indispensables para servicios esenciales.
  • Doce sectores estratégicos: Administración, Agua, Alimentación, Energía, Espacio, Sistema financiero y tributario, Industria química, Industria nuclear, TIC, Salud, Transporte y Agua.
  • Sistema de Protección de Infraestructuras Críticas (SPIC): Marco institucional que articula las actuaciones de protección, coordinado por el CNPIC.
  • Catálogo Nacional de Infraestructuras Críticas: Instrumento que identifica y clasifica las infraestructuras según su nivel de criticidad.
  • Operadores críticos: Entidades públicas o privadas responsables de infraestructuras críticas, obligadas a elaborar planes de seguridad.
  • Planes de seguridad del operador (PSO): Documentos que detallan las medidas de protección para garantizar la seguridad de las infraestructuras críticas.
  • Planes de protección específica (PPE): Instrumentos que complementan los PSO, adaptándose a las particularidades de cada infraestructura.
  • Régimen sancionador: Conjunto de infracciones y sanciones aplicables en caso de incumplimiento de las obligaciones establecidas por la ley.
  • Real Decreto 704/2011: Reglamento que desarrolla la Ley 8/2011, operativizando sus disposiciones.
  • Directiva 2008/114/CE: Norma europea que inspira la Ley 8/2011, aunque España amplía su alcance a doce sectores estratégicos.

🧠 Recuerda

  • La Ley 8/2011 es la norma básica para la protección de infraestructuras críticas en España.
  • Su objetivo es garantizar la continuidad de servicios esenciales frente a amenazas deliberadas.
  • Las infraestructuras críticas son aquellas cuyo fallo tendría graves consecuencias para la sociedad.
  • España incorpora doce sectores estratégicos, superando el alcance de la Directiva 2008/114/CE.
  • El SPIC coordina las actuaciones de protección, con el CNPIC como órgano central.
  • Los operadores críticos deben elaborar planes de seguridad y colaborar con las autoridades.
  • El régimen sancionador asegura el cumplimiento de las obligaciones establecidas.
  • El Real Decreto 704/2011 desarrolla y operativiza las disposiciones de la ley.
  • La protección se centra en la funcionalidad, continuidad e integridad de las infraestructuras.
  • La ley no regula instalaciones importantes, sino solo aquellas críticas para servicios esenciales.
Acceder a la demo
Tema anterior Tema 35. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación. La evaluación y certificación de la seguridad de las tecnologías de la información. Medidas de seguridad (físicas, técnicas, organizativas y legales). Planes de contingencia y recuperación ante desastres. Respaldo y continuidad. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud. Estrategia Europea, Nacional y Andaluza de Ciberseguridad. Tema siguiente Tema 37. Análisis y Gestión de Riesgos. MAGERIT, la metodología del Consejo Superior de Informática de análisis y gestión de riesgos de los sistemas de información. El plan de seguridad. Técnicas de análisis para estimación del impacto y el riesgo. Los modelos cualitativo y cuantitativo. La herramienta PILAR.

Prueba la demo si quieres ver el resto

Has visto un tema abierto completo. En la demo puedes comprobar cómo encajan el temario, las preguntas justificadas y los simulacros dentro de OposAs.

Qué vas a probar

Una demo pensada para decidir con criterio

Temario, test y simulacro conectados

La idea no es solo leer un tema: es estudiar con continuidad y comprobar cómo se relaciona con el resto de herramientas.

Preguntas justificadas

Verás explicaciones de la correcta y de las incorrectas para estudiar con más criterio, no solo para memorizar.

Acceso rápido

Con tu nombre y tu email, eliges categoría y te enviamos el acceso por correo sin compromiso.

Gratis Sin compromiso Acceso por email

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y apellidos (si quieres), elige categoría y prueba antes de decidir. Es gratis.

Gratis Sin compromiso Acceso por email

* campos obligatorios

Usaremos tu correo solo para enviarte el acceso. Tras registrarte tendrás 1 hora para abrir el email y pulsar el botón de acceso.

OposAs es una plataforma privada e independiente de preparación. No es una web oficial del Servicio Andaluz de Salud ni de la Junta de Andalucía.

Política de privacidad Política de cookies Aviso legal
Acceso solicitado

Revisa tu correo y también spam.

En tienes el enlace para terminar el autoregistro.

Ábrelo antes de 1 hora.

OposAs
Detrás de OposAs
Serafín revisando discos, creador de OposAs

Fuera del código también hay música, discos y radio. La misma forma de hacer las cosas: con alma, pasión y criterio.

Construí OposAs para practicar test y entender cada fallo sin pelearme con "tochos de textos infinitos".

Preparando Técnico Especialista en Informática del SAS, echaba en falta una forma más clara y atractiva de estudiar: hacer test, corregirlos bien y aprender de verdad con cada justificación.

Practicar test, aprender por qué la correcta lo es y, sobre todo, por qué las incorrectas no lo son.

OposAs está pensado para practicar test y aprender mientras corriges, sin tragarte textos interminables antes de empezar. Cuando fallas, la justificación te ayuda a entender la correcta y, sobre todo, las incorrectas: ahí suele estar el aprendizaje.

No hay una empresa detrás. Hay una persona que construyó desde cero una herramienta que “me valió para aprobar las oposiciones de TEI”, donde estudiar no se convierta en algo “pesado” sino “llevadero”.

La música forma parte de mi manera de hacer las cosas. También llevo proyectos personales como salalondon.es y jazzchill.es. Música 24/7 para cuando y donde quieras 🎶❤️.

salalondon.es jazzchill.es

De opositor a opositor, Serafín.