El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022 y de aplicación a todo el Sector Público, así como a los proveedores que colaboran con la Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
La norma ISO/IEC 27001 es un estándar internacional para la gestión de la seguridad de la información (SGSI). Su objetivo es proporcionar un marco para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI), asegurando la confidencialidad, integridad y disponibilidad de los datos. ISO/IEC 27001 es aplicable a cualquier organización, independientemente de su tamaño, sector o ubicación. Pero es especialmente relevante para sectores que manejan información sensible, como empresas de tecnología y software, entidades financieras y bancarias, gobiernos y organismos públicos, empresas de telecomunicaciones, hospitales y el sector salud, compañías de outsourcing y BPO, así como plataformas de e-commerce y servicios digitales.
Estos sectores necesitan garantizar la confidencialidad, integridad y disponibilidad de los datos, cumpliendo con normativas como RGPD.
La Directiva NIS 2 (Network and Information Security Directive 2) es la actualización de la Directiva NIS original (2016), y establece un marco normativo reforzado para mejorar la ciberseguridad en la Unión Europea. Entró en vigor el 16 de enero de 2023 y en España ya se ha aporbado el 14 de enero de 2024 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para su trasposición.
Su objetivo es fortalecer la resiliencia y la respuesta ante incidentes de seguridad en sectores críticos, mejorando la protección contra ciberataques, la gestión de riesgos y la cooperación entre los Estados miembros.
Aplica a infraestructuras críticas como energía, transporte, agua, salud, administración pública y telecomunicaciones, así como a proveedores de servicios digitales, incluyendo plataformas en la nube, redes sociales y centros de datos. También afecta a empresas de tecnología y manufactura que producen dispositivos esenciales, además de servicios financieros y mercados de valores.
La normativa impone obligaciones estrictas en gestión de riesgos y notificación de incidentes, con sanciones para quienes no cumplan.
© CryptoX ARA. 2025
