Si la teva PIME presta serveis a l’Administracio Publica (o vol fer-ho), hi ha una normativa que has de coneixer: l’Esquema Nacional de Seguretat (ENS). Regulat pel Reial Decret 311/2022, l’ENS estableix els principis basics i requisits minims de seguretat que han de complir els sistemes d’informacio del sector public i, per extensio, les empreses que hi treballen.
Moltes PIMEs desconeixen que l’ENS els aplica. Si el teu client es un ajuntament, una comunitat autonoma, un ministerri o qualsevol organisme public, i tractes informacio del sector public en els teus sistemes, probablement has de complir amb l’ENS.
A qui aplica l’ENS
L’ENS aplica directament a:
- Totes les Administracions Publiques (estatal, autonomica, local).
- Les entitats de dret public vinculades o dependents de les Administracions.
- Les empreses privades que presten serveis o solucions tecnologiques a les Administracions Publiques quan tractin informacio del sector public.
La teva PIME esta afectada si…
- Desenvolupes o mantens software per a un organisme public.
- Allotges dades d’una Administracio Publica als teus servidors o cloud.
- Prestes serveis IT (suport, manteniment, consultoria) a entitats publiques.
- Gestionas sistemes d’informacio que tracten dades de ciutadans en nom d’una Administracio.
- El teu plec de condicions o contracte menciona l’ENS com a requisit.
Si nomes vens productes fisics a una Administracio sense tractar-ne la informacio, l’ENS normalment no t’aplica directament.
Les tres categories de l’ENS
L’ENS classifica els sistemes d’informacio en tres categories segons l’impacte que tindria un incident de seguretat:
| Categoria | Impacte d’un incident | Exemple |
|---|---|---|
| Basica | Dany limitat, reversible | Web informativa d’un ajuntament petit |
| Mitjana | Dany greu per a l’organitzacio o els ciutadans | Sistema de gestio de padro municipal |
| Alta | Dany molt greu, potencialment irreversible | Sistema sanitari, infraestructures critiques |
La categoria es determina avaluant l’impacte en cinc dimensions de seguretat:
- Disponibilitat: Que passa si el sistema no esta disponible?
- Autenticitat: Que passa si no es pot verificar l’origen de la informacio?
- Integritat: Que passa si les dades es modifiquen sense autoritzacio?
- Confidencialitat: Que passa si les dades s’exposen sense autoritzacio?
- Traçabilitat: Que passa si no es pot determinar qui va fer que?
Si qualsevol d’aquestes dimensions te un impacte ALT, el sistema es classifica com a categoria Alta.
Requisits per categoria
Categoria Basica (la mes habitual per a PIMEs)
La majoria de PIMEs que treballen amb Administracions Publiques locals es troben en categoria Basica. Els requisits principals son:
Organitzatius:
- Politica de seguretat documentada.
- Identificacio de responsabilitats de seguretat.
- Normativa de seguretat interna basica.
Operacionals:
- Inventari d’actius (sistemes, dades, serveis).
- Control d’acces basat en permisos.
- Gestio de canvis documentada.
- Proteccio contra codi maliciós (antivirus).
- Copies de seguretat periodiques.
- Gestio d’incidents basica.
Tecnics:
- Autenticacio d’usuaris (contrasenyes robustes).
- Comunicacions xifrades (HTTPS, VPN).
- Proteccio dels registres d’activitat.
Categoria Mitjana
A mes dels requisits de categoria Basica:
- MFA obligatori per a accessos des de fora de la xarxa.
- Analisi de riscos formal i documentat.
- Pla de continuitat de negoci.
- Segregacio de funcions (qui administra no audita).
- Registres d’auditoria detallats i revisats.
- Formacio periodica en seguretat per a tot el personal.
- Gestio d’incidents amb procediments definits i proves periodiques.
Categoria Alta
A mes de tots els anteriors:
- Auditoria externa biennal per un auditor acreditat.
- Sistemes redundants i alta disponibilitat.
- Xifratge avancat de totes les dades sensibles.
- Vigilancia continua (SOC o SIEM).
- Proves de penetracio periodiques.
Com obtenir la certificacio ENS
Pas 1: Determina la teva categoria
Reuneix-te amb el teu client del sector public per determinar la categoria del sistema en questio. Si no ho saps, assumeix categoria Basica com a punt de partida i ajusta si cal.
Pas 2: Analisi GAP (on ets vs on has de ser)
Compara les teves mesures de seguretat actuals amb els requisits de la teva categoria. Identifica les mancances.
| Area | Requisit ENS | Estat actual | Accio necessaria |
|---|---|---|---|
| Politica de seguretat | Document aprovat | No existeix | Redactar i aprovar |
| MFA | Obligatori (cat. Mitjana+) | Nomes correu | Estendre a tots els serveis |
| Backup | 3-2-1, provat | Backup diari, no provat | Provar restauracio |
| Antivirus | Tots els equips | 80% dels equips | Completar instal.lacio |
Pas 3: Implementa les mesures
Corregeix les mancances identificades. Prioritza per risc i impacte.
Pas 4: Documenta
L’ENS requereix documentacio especifica:
- Politica de Seguretat: Document d’alt nivell que estableix el compromis de l’organitzacio.
- Normativa de Seguretat: Regles concretes d’us acceptable, gestio de contrasenyes, etc.
- Procediments operatius: Com es fan els backups, com es gestionen els incidents, com es donen d’alta/baixa usuaris.
- Declaracio d’Aplicabilitat (SOA): Llista de totes les mesures de l’ENS i si s’apliquen o no (amb justificacio).
- Analisi de Riscos (cat. Mitjana i Alta): Identificacio i valoracio de riscos, amb les mesures de mitigacio.
Pas 5: Auditoria i certificacio
- Categoria Basica: Autodeclaracio de compliment. No cal auditoria externa.
- Categoria Mitjana: Auditoria cada 2 anys. Pot ser interna o externa.
- Categoria Alta: Auditoria externa cada 2 anys per un auditor acreditat per l’ENS.
La certificacio s’obte a traves d’una entitat de certificacio acreditada. El cost per a una PIME oscil.la entre:
| Categoria | Cost certificacio | Frequencia |
|---|---|---|
| Basica | 0 EUR (autodeclaracio) | Cada 2 anys |
| Mitjana | 3.000-8.000 EUR | Cada 2 anys |
| Alta | 8.000-20.000 EUR | Cada 2 anys |
Recursos i eines per al compliment
Eines del CCN (Centre Criptologic Nacional)
El CCN, organ responsable de l’ENS, ofereix eines gratuites:
- PILAR: Eina oficial d’analisi de riscos. Gratuita per a entitats publiques i proveidors.
- AMPARO: Implantacio de l’ENS a entitats locals.
- INES: Informe Nacional de l’Estat de Seguretat. Autoavaluacio en linia.
- LUCIA: Gestio d’incidents de seguretat.
- Guies CCN-STIC: Centenars de guies tecniques gratuites sobre tots els aspectes de seguretat.
Consultores especialitzades
Si necessites ajuda professional, busca consultores amb experiencia demostrable en ENS. Verifica que tinguin certificats com CISA, CISSP o similar.
Avantatge competitiu
Complir amb l’ENS no es nomes una obligacio: es un avantatge competitiu. Cada vegada mes licitacions publiques exigeixen la certificacio ENS com a requisit de solvencia tecnica. Una PIME certificada pot accedir a contractes publics que les competidores no certificades no poden.
A mes, el nivell de seguretat necessari per complir l’ENS beneficia la teva empresa en general, no nomes per als contractes publics.
Checklist de compliment ENS (Categoria Basica)
- Politica de seguretat redactada i aprovada per la direccio
- Responsable de seguretat designat
- Inventari d’actius (sistemes, dades, serveis) actualitzat
- Control d’acces per rols amb permisos documentats
- Contrasenyes robustes (minim 12 caracters)
- Antivirus a tots els equips
- Actualitzacions automatiques activades
- Copies de seguretat periodiques (minim diaries)
- Comunicacions xifrades (HTTPS, VPN)
- Registres d’activitat activats
- Normativa d’us acceptable documentada i signada
- Procediment de gestio d’incidents documentat
- Declaracio d’Aplicabilitat completada
- Autodeclaracio de compliment signada
Conclusio
L’ENS no ha de ser un obstacle per a les PIMEs que volen treballar amb l’Administracio Publica. Per a la majoria d’empreses petites, la categoria Basica requereix mesures de seguretat que ja haurien de tenir implementades: contrasenyes robustes, antivirus, copies de seguretat, comunicacions xifrades i documentacio basica.
El pas mes important es comencar: determina la teva categoria, fes l’analisi GAP i implementa les mesures que et faltin. Si ja segueixes les bones practiques de ciberseguretat que recomanem a CiberPIME, probablement estas a un 70-80% del camí.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat ni assessorament legal. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
