OposAs / Categorías SAS / Volver a Técnico/a Especialista en Informática / Tema 36

Tema 36. El Esquema Nacional de Seguridad. Ley de la protección de las infraestructuras críticas

Tema específico de Técnico/a Especialista en Informática
Probar demo gratis

1. El Esquema Nacional de Seguridad

🎯 Idea clave

  • El Esquema Nacional de Seguridad se regula por el Real Decreto 311/2022, de 3 de mayo, que derogó y sustituyó al anterior Real Decreto 3/2010.
  • Establece los principios básicos y requisitos mínimos para proteger adecuadamente la información y los servicios prestados por medios electrónicos en el sector público.
  • Es de aplicación obligatoria a todas las Administraciones Públicas, incluida la Junta de Andalucía y sus organismos dependientes como el Servicio Andaluz de Salud.
  • Clasifica los sistemas de información en tres categorías (básica, media y alta) según el impacto que un incidente de seguridad produzca sobre la organización o las personas.
  • Define siete dimensiones de seguridad que deben asegurarse: acceso, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación.
  • Exige la implementación de 74 medidas de seguridad agrupadas en marco organizativo, marco operacional y medidas de protección.

📚 Desarrollo

Normativa de referencia. El Esquema Nacional de Seguridad se aprueba mediante el Real Decreto 311/2022, de 3 de mayo, que actualiza y deroga expresamente el anterior Real Decreto 3/2010. Esta norma técnico-jurídica constituye el marco básico de seguridad de la información para el sector público español, adaptándose a un contexto de mayor dependencia digital y amenazas más complejas.

Objeto y dimensiones. El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos, asegurando el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de datos e información. Estas siete dimensiones condicionan el nivel de protección exigible a cada sistema según su criticidad.

Ámbito de aplicación. Su aplicación es obligatoria para todas las Administraciones Públicas: Administración General del Estado, Administraciones autonómicas como la Junta de Andalucía y sus organismos dependientes incluido el SAS, Administración local y entidades del sector público institucional. Asimismo, se extiende a entidades privadas que presten servicios o provean soluciones a entidades públicas.

Principios básicos. El artículo 5 del Real Decreto 311/2022 establece los principios rectores: seguridad integral, gestión de riesgos, prevención, detección, respuesta, recuperación y conservación, líneas de defensa en profundidad, vigilancia continua, reevaluación periódica y función diferenciada de responsabilidades.

Clasificación por categorías. Los sistemas se clasifican en categoría básica, media y alta según el impacto que un incidente produzca sobre las dimensiones de seguridad. Cuanto mayor sea el impacto potencial, mayor será la categoría y más exigentes las medidas requeridas, especialmente en sistemas que gestionan datos de salud o historia clínica.

Estructura de medidas. El Anexo II recoge 74 medidas de seguridad organizadas en tres bloques: marco organizativo, marco operacional y medidas de protección. Entre estas destaca la medida mp.com.1 sobre perímetro seguro, que exige definir zonas de red diferenciadas como DMZ, redes corporativas y de invitados.

Exigencias de conformidad. El ENS obliga a realizar análisis de riesgos, aplicar medidas proporcionales a la categoría, llevar a cabo auditorías bienales de conformidad y obtener una declaración de conformidad o certificación. El plazo máximo de adecuación fue de 24 meses desde la entrada en vigor del real decreto.

Relevancia para el SAS. En el ámbito sanitario, la importancia del ENS es máxima por la sensibilidad de los datos de salud y la necesidad de continuidad de los servicios asistenciales, aplicándose a sistemas como la historia clínica, receta electrónica o gestión de accesos profesionales.

🧩 Elementos esenciales

  • Real Decreto 311/2022: norma técnico-jurídica que regula el ENS, derogando el anterior RD 3/2010 y estableciendo el marco de seguridad para el sector público.
  • Siete dimensiones de seguridad: acceso, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación de la información.
  • Tres categorías de sistemas: básica, media y alta, determinadas según el impacto del incidente sobre las dimensiones de seguridad.
  • Ámbito obligatorio: todas las Administraciones Públicas estatales, autonómicas y locales, así como entidades privadas proveedoras de servicios al sector público.
  • Anexo II: contiene el catálogo de 74 medidas de seguridad distribuidas en marco organizativo, operacional y de protección.
  • Medida mp.com.1: establece la obligación de definir un perímetro seguro que separe la red corporativa de otras redes menos seguras mediante controles de acceso.
  • Principios básicos: seguridad integral, gestión de riesgos, ciclo completo de prevención-detención-respuesta-recuperación, líneas de defensa, vigilancia continua y reevaluación periódica.
  • Auditorías bienales: revisión periódica obligatoria para verificar el cumplimiento y mantenimiento de las medidas de seguridad implementadas.
  • Declaración de conformidad: documento exigible que acredita el cumplimiento de los requisitos del ENS según la categoría del sistema.
  • Plazo de adecuación: 24 meses desde la entrada en vigor del Real Decreto en mayo de 2022 para la implementación completa en todos los sistemas.
  • Continuidad del servicio: el artículo 26 exige mecanismos de copias de seguridad y garantía de continuidad ante la pérdida de medios habituales.

🧠 Recuerda

  • El ENS es de obligado cumplimiento para el SAS como Administración autonómica y sus organismos dependientes.
  • Deroga expresamente el anterior Real Decreto 3/2010, por lo que la normativa vigente es únicamente el RD 311/2022.
  • Las siete dimensiones de seguridad deben protegerse en mayor o menor medida según la categoría asignada al sistema.
  • La gestión de riesgos constituye la base fundamental sobre la que se construyen todas las decisiones de seguridad.
  • Los sistemas médicos suelen clasificarse en categoría media o alta por la sensibilidad de los datos de salud que gestionan.
  • El Anexo II contiene el catálogo completo de 74 medidas de seguridad que deben implementarse proporcionalmente.
  • La seguridad debe concebirse como un proceso integral desde el diseño del sistema, no como medida añadida posteriormente.
  • La función diferenciada implica la separación de responsabilidades entre distintos roles en la gestión de la seguridad.
  • El perímetro seguro separa física y lógicamente la red corporativa de redes menos confiables como internet o redes de invitados.
  • La disponibilidad constituye una exigencia legal de seguridad según el artículo 1, no solo una aspiración técnica.

2. Ley de la protección de las infraestructuras críticas

🎯 Idea clave

  • La Ley 8/2011, de 28 de abril, constituye la norma de cabecera del sistema español de protección de infraestructuras críticas, desarrollada reglamentariamente por el Real Decreto 704/2011.
  • España transpone parcialmente la Directiva 2008/114/CE pero amplía voluntariamente el ámbito de aplicación a doce sectores estratégicos, frente a los dos exigidos por la normativa europea.
  • La protección se define como el conjunto de actividades destinadas a garantizar la funcionalidad, continuidad e integridad de instalaciones y sistemas ante amenazas deliberadas.
  • El régimen jurídico se articula mediante el Sistema de Protección de Infraestructuras Críticas (SPIC), que incluye operadores críticos y planes de seguridad específicos.
  • La normativa distingue claramente entre infraestructuras críticas, operadores críticos y los servicios esenciales que estas sostienen.
  • Esta regulación resulta fundamental para la continuidad operativa de servicios esenciales, incluyendo los servicios sanitarios del Servicio Andaluz de Salud.

📚 Desarrollo

Normativa de cabecera. La Ley 8/2011, de 28 de abril, publicada en el BOE del 29 de abril de 2011, establece el marco jurídico básico para la protección de infraestructuras críticas en España. Su desarrollo reglamentario se contiene en el Real Decreto 704/2011, de 20 de mayo, que aprueba el Reglamento de protección de las infraestructuras críticas. Ambas normas conforman el Sistema de Protección de Infraestructuras Críticas (SPIC) nacional.

Transposición y ampliación. La ley transpone parcialmente la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, que originalmente se limitaba a los sectores de energía y transporte. Sin embargo, España optó por un modelo más amplio, incorporando doce sectores estratégicos: Administración, Agua, Alimentación, Energía, Espacio, Sistema financiero y tributario, Industria química, Industria nuclear, Tecnologías de la Información y las Comunicaciones (TIC), Salud, Transporte y Agua.

Definición institucional. La protección de infraestructuras críticas comprende el conjunto de actividades destinadas a garantizar la funcionalidad, continuidad e integridad de instalaciones, redes, sistemas y equipos físicos y de tecnología de la información. Estos elementos son indispensables para la prestación de servicios esenciales, cuyo fallo o perturbación podría suponer graves consecuencias para la seguridad, el bienestar social, la economía o el funcionamiento eficaz del Estado.

Estructura normativa. La Ley 8/2011 contiene dieciocho artículos, dos disposiciones adicionales, dos transitorias y una disposición final. Su contenido se organiza en cuatro bloques temáticos: Objeto y ámbito de aplicación (artículos 1 y 2); Sistema de Protección de Infraestructuras Críticas, órganos e instrumentos (artículos 3 a 9); Operadores críticos, estatuto y obligaciones (artículos 10 a 14); y Régimen sancionador (artículos 15 a 18).

Delimitación conceptual. No se trata de una normativa genérica sobre cualquier edificio importante ni sobre servicios públicos en sentido amplio, ni tampoco de una regulación exclusivamente tecnológica o de protección civil estricta. Su objeto específico es ordenar un sistema preventivo, coordinado y permanente frente a amenazas deliberadas que puedan afectar gravemente a servicios esenciales.

Instrumentos de planificación. El sistema incluye la elaboración de Planes de Seguridad del Operador (PSO) y Planes de Protección Específicos (PPE), así como la constitución del Catálogo Nacional de Infraestructuras Críticas. Estos instrumentos garantizan la coordinación entre las Administraciones Públicas y los operadores críticos, tanto públicos como privados.

Aplicación sectorial. Para el ámbito de la sanidad pública, esta normativa resulta especialmente relevante pues establece mecanismos de resiliencia y continuidad operativa que afectan directamente a la prestación de servicios esenciales de salud. Conecta la seguridad de infraestructuras físicas y sistemas de información con la protección efectiva de la ciudadanía.

🧩 Elementos esenciales

  • Ley 8/2011: Norma central del sistema publicada el 28 de abril de 2011, con entrada en vigor al día siguiente de su publicación.
  • Real Decreto 704/2011: Reglamento de desarrollo que aprueba el Reglamento de protección de las infraestructuras críticas.
  • Doce sectores estratégicos: Ámbitos de aplicación que incluyen Administración, Agua, Alimentación, Energía, Espacio, Sistema financiero y tributario, Industria química, Industria nuclear, TIC, Salud, Transporte y Agua.
  • Directiva 2008/114/CE: Norma comunitaria transpuesta parcialmente por España, limitada originalmente a sectores de energía y transporte.
  • Sistema de Protección de Infraestructuras Críticas (SPIC): Estructura institucional creada para dirigir y coordinar actuaciones de protección entre administraciones y operadores.
  • Operadores críticos: Sujetos obligados, públicos o privados, titulares de infraestructuras designadas como críticas y responsables de su protección.
  • Planes de Seguridad del Operador (PSO): Instrumentos de planificación específicos que deben elaborar los operadores críticos para garantizar la protección de sus instalaciones.
  • Planes de Protección Específicos (PPE): Instrumentos complementarios destinados a la protección de infraestructuras críticas europeas designadas.
  • Catálogo Nacional: Instrumento de planificación que recoge las infraestructuras críticas identificadas en territorio español.
  • Artículo 2: Precepto de la ley que contiene las definiciones fundamentales de infraestructura crítica, operador crítico y servicio esencial.
  • Régimen sancionador: Contenido en los artículos 15 a 18 de la ley, estableciendo infracciones y sanciones para garantizar el cumplimiento de obligaciones.

🧠 Recuerda

  • La entrada en vigor de la Ley 8/2011 se produjo el 30 de abril de 2011.
  • España amplió voluntariamente el ámbito de la Directiva europea de dos a doce sectores estratégicos.
  • La protección abarca tanto elementos físicos como sistemas y equipos de tecnología de la información.
  • La ley establece obligaciones específicas para operadores críticos mediante la elaboración de planes de seguridad.
  • El sistema se dirige específicamente contra amenazas deliberadas, no contra contingencias naturales generales.
  • El Catálogo Nacional y los planes específicos son instrumentos clave del sistema de protección.
  • La estructura de la ley se organiza en cuatro bloques temáticos principales claramente diferenciados.
  • La normativa resulta especialmente relevante para la continuidad de servicios esenciales como los sanitarios y la resiliencia del Servicio Andaluz de Salud.
Acceder a la demo
Tema anterior Tema 35. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación. La evaluación y certificación de la seguridad de las tecnologías de la información. Medidas de seguridad (físicas, técnicas, organizativas y legales). Planes de contingencia y recuperación ante desastres. Respaldo y continuidad. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud. Estrategia Europea, Nacional y Andaluza de Ciberseguridad. Tema siguiente Tema 37. Análisis y Gestión de Riesgos. MAGERIT, la metodología del Consejo Superior de Informática de análisis y gestión de riesgos de los sistemas de información. El plan de seguridad. Técnicas de análisis para estimación del impacto y el riesgo. Los modelos cualitativo y cuantitativo. La herramienta PILAR.

Prueba la demo si quieres ver el resto

Has visto un tema abierto completo. En la demo puedes comprobar cómo encajan el temario, las preguntas justificadas y los simulacros dentro de OposAs.

Qué vas a probar

Una demo pensada para decidir con criterio

Temario, test y simulacro conectados

La idea no es solo leer un tema: es estudiar con continuidad y comprobar cómo se relaciona con el resto de herramientas.

Preguntas justificadas

Verás explicaciones de la correcta y de las incorrectas para estudiar con más criterio, no solo para memorizar.

Acceso rápido

Con tu nombre y tu email, eliges categoría y te enviamos el acceso por correo sin compromiso.

Gratis Sin compromiso Acceso por email

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y apellidos (si quieres), elige categoría y prueba antes de decidir. Es gratis.

Gratis Sin compromiso Acceso por email

* campos obligatorios

Usaremos tu correo solo para enviarte el acceso. Tras registrarte tendrás 1 hora para abrir el email y pulsar el botón de acceso.

OposAs es una plataforma privada e independiente de preparación. No es una web oficial del Servicio Andaluz de Salud ni de la Junta de Andalucía.

Política de privacidad Política de cookies Aviso legal
Acceso solicitado

Revisa tu correo y también spam.

En tienes el enlace para terminar el autoregistro.

Ábrelo antes de 1 hora.

OposAs