Recopilación de preguntas para ponente de 2ª sesión de Preparatic25 (S 17/02)

[dazu]

Buenas tardes,
Como os comentó nuestro compañero Carlos durante la sesión del pasado sábado, el ponente (Miguel A. Amutio) se ha ofrecido amablemente a contestar las preguntas que queráis plantear a posteriori a la sesión, tanto de temas de interoperabilidad como de seguridad.
Para ello, abrimos este hilo para recopilar las dudas que os puedan surgir. En principio vamos a dejar el hilo abierto unos días y os avisaremos con antelación cuando vayamos a cerrarlo para remitirle la compilación a Miguel Angel.
Gracias por vuestras aportaciones y ánimo con el estudio. Grupo de sesiones de Preparatic25.

[rayclark]

Hola buenas,

Mi duda es sobre la obligatoriedad de la aplicación de los esquemas tanto ENS como ENI. En los Reales Decretos se dan unos plazos para que las administraciones adecuen sus sistemas a lo establecido en los mismos, ¿qué sucede si no se ha llegado al objetivo desde el punto de vista de las leyes?
Por otra parte, si un organismo, no ha podido o no se ha encargado de hacer la adecuación, por falta de medios personales, por ejemplo, ¿se le puede exigir cumplir con la normativa?, y por último, las auditorías periódicas, ¿las hacen internamente cada organismo o bien desde la SGAD, o el órgano que corresponda, se establece un calendario de auditorías de algunos o todos los afectados por el ámbito de aplicación de los Esquemas?.

Igual son cosas muy obvias, pero yo no lo tengo claro.

Muchas gracias.

[r.araujo]

Buenos días,

En primer lugar agradecer a los miembros de Preparatic y al señor Amutio la interesante sesión sobre ENS y ENI y por la oportunidad de plantear cuestiones adicionales al mismo.

Además de unirme a las dudas planteadas por RayClack, quisiera además que me aclarara el ámbito subjetivo de aplicación de ambas. En particular, para el ENS, he revisado la legislación y las guías CCN-STIC que son públicas , de cara a la preparación del TIC y porque además en la actualidad estoy trabajando para una de las empresas recogidas en el Censo de Entidades del Sector Público Estatal, en particular para una Entidad no financiera del sector público empresarial, con lo que verifico que nos aplica y en esa línea estamos trabajando, pero quisiera que me aclarase para las entidades no AAPP en sentido estricto en qué términos, en qué plazos de implantación y con qué medios contamos (si podríamos disponer de algún instrumento para la adecuación, acceso a las guías Guías CCN-STIC específicas o a participar en las formaciones o foros a este respecto, y si es así le agradecería que me indicase dónde poder informarme con más detalle)

Muchas gracias por su atención y tiempo.

[dazu]

Buenas tardes a todos,
Mañana por la tarde le enviaremos las preguntas a Miguel Ángel.
Por si quisieseis incluir alguna pregunta más antes de que lo hagamos.
Gracias y ánimo con la preparación. Grupo de sesiones de Preparatic25.

[dazu]

Hola buenas,

Mi duda es sobre la obligatoriedad de la aplicación de los esquemas tanto ENS como ENI. En los Reales Decretos se dan unos plazos para que las administraciones adecuen sus sistemas a lo establecido en los mismos, ¿qué sucede si no se ha llegado al objetivo desde el punto de vista de las leyes?
Por otra parte, si un organismo, no ha podido o no se ha encargado de hacer la adecuación, por falta de medios personales, por ejemplo, ¿se le puede exigir cumplir con la normativa?, y por último, las auditorías periódicas, ¿las hacen internamente cada organismo o bien desde la SGAD, o el órgano que corresponda, se establece un calendario de auditorías de algunos o todos los afectados por el ámbito de aplicación de los Esquemas?.

Igual son cosas muy obvias, pero yo no lo tengo claro.

Muchas gracias.

Buenas,
Adjuntamos la respuesta de Miguel A. Amutio:
"En primer lugar, cabe recordar, que el ENS y el ENI, recogidos en el artículo 156 de la Ley 40/2015, son de aplicación hoy en día a las entidades en base a los respectivos ámbitos de aplicación de las leyes 39/2015 y 40/2015, señalados en los correspondientes ‘artículo 2’ de cada una de ellas. Sobre esta cuestión es ilustrativa la Guía CCN-STIC 830 [1]. En segundo lugar, en ambos casos quedó establecido un plazo de adecuación de cuatro años que venció en enero de 2014, encontrándonos a la fecha en 2018, por lo que han transcurrido 8 años desde la publicación del ENS y del ENI. En cualquier caso, el cumplimiento de ambos es exigible a la luz del marco legal citado.

Dicho lo anterior, para ambos esquemas se ha realizado un esfuerzo ingente para ofrecer soporte normativo, soporte documental y herramientas, que faciliten una mejor adecuación a los mismos con un menor esfuerzo de recursos por parte de las entidades.

En el caso del ENS, la serie de ITS [2], la exhaustiva colección de guías CCN-STIC [3] y el creciente abanico de herramientas [4] ofrecidas por el CCN-CERT facilitan la adecuación al ENS.

En el caso de ENI, la serie de NTI [5], el exhaustivo soporte documental [5] y el Catálogo de servicios de administración digital [6] junto con los convenios de prestación mutua de servicios básicos de administración electrónica más el hecho de que los servicios se ofrecen haciendo uso de tecnologías cloud, configuran un escenario orientado a facilitar la aplicación del ENI.

A estas alturas, como muestran, por ejemplo, las sucesivas oleadas del Informe Nacional del Estado de la Seguridad (Informe INES), la cuestión se centraría más bien en la noción de ‘plena aplicación’, cuestión aplicable a ambos Esquemas.

En cuanto a qué sucedería, en el caso de insuficiencias en materia de aplicación del ENS, se produce una mayor exposición al riesgo en un escenario de crecientes ciberamenazas; en el caso del ENI las insuficiencias pueden dar lugar a que no se puedan realizar adecuadamente, de una forma óptima a la luz de las posibilidades actuales, de principios y derechos de los ciudadanos o satisfacer las condiciones de eficacia, eficiencia y cooperación en la prestación de los servicios.

Como establecen ambos esquemas, cada entidad es responsable de las auditorías que le correspondan; véanse en el ENS los artículos 34 y 40, la guía 802 [7] y el proyecto de ITS de auditoría de la seguridad [8]; véanse para el ENI, el artículo 27 y la guía de auditoría del ENI.

[1] https://www.ccn-cert.cni.es/pdf/guias/s ... /file.html

[2] https://administracionelectronica.gob.e ... nicas.html

[3] https://www.ccn-cert.cni.es/guias/guias ... ridad.html

[4] https://www.ccn-cert.cni.es/herramienta ... ridad.html

[5] https://administracionelectronica.gob.e ... lidad.html

[6] https://administracionelectronica.gob.e ... gital.html

[7] https://www.ccn-cert.cni.es/series-ccn- ... /file.html

[8] https://administracionelectronica.gob.e ... dad_Lr.pdf

"
Esperamos que os sea útil. Grupo de sesiones.

[dazu]

Buenos días,

En primer lugar agradecer a los miembros de Preparatic y al señor Amutio la interesante sesión sobre ENS y ENI y por la oportunidad de plantear cuestiones adicionales al mismo.

Además de unirme a las dudas planteadas por RayClack, quisiera además que me aclarara el ámbito subjetivo de aplicación de ambas. En particular, para el ENS, he revisado la legislación y las guías CCN-STIC que son públicas , de cara a la preparación del TIC y porque además en la actualidad estoy trabajando para una de las empresas recogidas en el Censo de Entidades del Sector Público Estatal, en particular para una Entidad no financiera del sector público empresarial, con lo que verifico que nos aplica y en esa línea estamos trabajando, pero quisiera que me aclarase para las entidades no AAPP en sentido estricto en qué términos, en qué plazos de implantación y con qué medios contamos (si podríamos disponer de algún instrumento para la adecuación, acceso a las guías Guías CCN-STIC específicas o a participar en las formaciones o foros a este respecto, y si es así le agradecería que me indicase dónde poder informarme con más detalle)

Muchas gracias por su atención y tiempo.

Buenas de nuevo,
Incluimos también la respuesta de Miguel A. Amutio a esta pregunta:
"El ámbito de aplicación se explica de forma pormenorizada en la citada Guía CCN-STIC 830. Son de aplicación los mismos instrumentos y plazos para todos los sujetos afectados.
"
[1] https://www.ccn-cert.cni.es/pdf/guias/s ... /file.html

Ánimo y esperamos que os resulte de utilidad. Grupo de sesiones.