Implantación del Esquema Nacional de Seguridad en las Entidades Locales.

Questions and Answers

¿Cuál es el objetivo principal del Esquema Nacional de Seguridad (ENS)?

• Promover la cooperación económica entre las entidades locales.
• Supervisar la seguridad de la información a nivel internacional.
• Establecer las pautas necesarias para que las entidades garanticen la seguridad de la información. (correct)
• Regular la contratación de servicios de seguridad informática.

¿Qué documento es fundamental para establecer el Plan de Adecuación al ENS en una entidad local?

• La Declaración de Conformidad.
• La Política de Seguridad de la Información. (correct)
• El Plan de Mejora de la Seguridad.
• El Análisis de Riesgos.

¿Cuál es el fin último de la adecuación al ENS que deben buscar las entidades?

• La certificación o declaración de conformidad con el ENS. (correct)
• La designación de un responsable de seguridad temporal.
• La aprobación de la Política de Seguridad por el Pleno de la Corporación.
• La realización de auditorías internas anuales.

¿Qué implica el 'Ciclo de Mejora' en el contexto del ENS?

La revisión y mejora continua de los procesos de seguridad. (C)

Además del Plan de Adecuación, ¿qué acción se debe realizar a continuación para implementar las medidas de seguridad necesarias?

Implementar las medidas de acuerdo con dicho Plan. (C)

¿Cuáles son las fases que componen el Plan de Adecuación para la implantación del ENS en una administración pública?

Política de seguridad, categorización de sistemas y análisis de riesgos. (A)

Según el texto, ¿qué debe incluir la política de seguridad de la información, como mínimo?

Los objetivos de la entidad, el marco regulatorio, y los roles de seguridad. (B)

¿Qué principio básico del ENS se relaciona con la necesidad de dividir las responsabilidades de los sistemas de información?

Principio de diferenciación de las responsabilidades. (C)

Para la Administración General del Estado, ¿quién aprueba la política de seguridad según el artículo 12 del ENS?

La persona titular del Departamento. (D)

En relación con la categorización de los sistemas de información, ¿qué dimensiones se tienen en cuenta para determinar el nivel de seguridad?

Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad. (D)

¿Qué documento formaliza la relación de medidas de seguridad que resultan de aplicación a un sistema de información?

Declaración de Aplicabilidad. (C)

¿Qué se debe realizar si el sistema de información sufre modificaciones que puedan afectar a su seguridad?

Un análisis de riesgos extraordinario. (C)

¿Qué metodología de análisis y gestión de riesgos es de carácter público y mantenida por la Secretaría General de Administración Digital?

MAGERIT. (D)

¿Qué documento recoge el cumplimiento de las medidas de seguridad reflejando el nivel actual de madurez de las medidas de la declaración de aplicabilidad?

El Informe de Deficiencias del sistema («gap analysis»). (A)

¿Cuál es la periodicidad con la que se debe verificar el cumplimiento de los requerimientos contemplados en el Esquema Nacional de Seguridad (ENS) mediante una autoevaluación, en el caso de sistemas de información de categoría BÁSICA?

Al menos cada dos años. (A)

En la gestión de ciberincidentes, ¿qué se entiende por 'impacto significativo' al notificar al CCN?

Incidentes con niveles de impacto Alto, Muy Alto y Crítico. (D)

Según el ENS, ¿qué ocurre si los sistemas de información que traten datos personales sufren una violación de seguridad?

Se notifica a la autoridad de control competente en un plazo máximo de 72 horas. (C)

¿Qué función tiene la herramienta LUCIA (Lista Unificada de Coordinación de Incidentes y Amenazas) desarrollada por el CCN?

Automatizar los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad. (D)

Si bien el ENS no prevé sanciones por incumplimiento, ¿qué tipo de responsabilidad persiste para las administraciones públicas en caso de daños ocasionados por acción u omisión?

Responsabilidad patrimonial. (B)

En los Distintivos de Declaración de Conformidad con el ENS, ¿cómo deben reflejarse los textos que aparecen entre paréntesis angulares?

Deben adaptarse a los aspectos concretos de la Declaración de Conformidad expedida. (B)

¿Cuál es la diferencia clave entre la 'Declaración de Conformidad' y la 'Certificación de Conformidad' con el ENS?

La Declaración es solo para sistemas de categoría BÁSICA, mientras que la Certificación es para categorías MEDIA y ALTA. (A)

Respecto a los incidentes de seguridad que afecten a datos personales, ¿qué plazo máximo establece el Reglamento General de Protección de Datos para notificar a la autoridad de control competente?

72 horas después de tener constancia, a menos que sea improbable que constituya un riesgo. (B)

¿Qué implicación tiene que un Plan de Acciones Correctivas requiera un período de ejecución superior a tres meses en un proceso de certificación del ENS?

Se puede optar a una Aprobación Provisional de Conformidad (APC). (A)

En relación con el artículo 3 del ENS, ¿qué prevalece en caso de conflicto entre las medidas derivadas del análisis de riesgos y las previstas en el propio ENS para sistemas que traten datos personales?

Las medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto, en caso de resultar agravadas. (B)

Si una entidad local decide centralizar su política de seguridad a través de una entidad comarcal o provincial, ¿quién asume la responsabilidad de la seguridad de la información de los sistemas municipales en este escenario?

La entidad local comarcal o provincial. (A)

¿Cuál es el primer paso que deben dar las entidades locales para la implantación del ENS?

Aprobar la Política de Seguridad de la Información. (A)

¿Qué se busca obtener al implementar y adecuar el ENS en las entidades locales?

Obtener la seguridad necesaria en el ejercicio de sus funciones. (D)

¿Qué tipo de documento es la Declaración de Aplicabilidad en el contexto del ENS?

Un documento donde se formalizan las medidas de seguridad aplicables al sistema. (C)

¿Qué se debe tener en cuenta al definir los roles o funciones de seguridad dentro de la Política de Seguridad?

Sus deberes, responsabilidades y el procedimiento para su designación y renovación. (A)

¿Quién tiene la competencia para aprobar la Política de Seguridad de la Información en un ayuntamiento, según la Ley 7/1985?

El Alcalde. (C)

¿Qué significa que el análisis de riesgos debe estar 'permanentemente actualizado' en el contexto del ENS?

Debe adaptarse a los nuevos riesgos que puedan surgir, no solo anualmente. (B)

¿En qué consiste el 'Ciclo de Mejora' en la implantación del ENS?

Una revisión y mejora continua de los procesos de seguridad. (D)

¿Cuál es la finalidad de la auditoría de seguridad en el proceso de implementación del ENS?

Sustentar la confianza en el nivel de seguridad implantado en el sistema. (D)

En caso de que se produzcan modificaciones sustanciales en los sistemas de información, ¿qué tipo de auditoría debe realizarse?

Una auditoría extraordinaria. (A)

¿Qué se debe garantizar al analizar y recopilar evidencias de un ciberincidente?

La cadena de custodia y el cumplimiento del ordenamiento jurídico. (B)

¿Cuál de las siguientes opciones describe mejor la función del Comité de Seguridad de la Información?

Alinear las actividades de la organización en materia de seguridad de la información. (D)

Si una entidad ya ha implementado el ENS, ¿qué acciones debe realizar para mantener su cumplimiento a lo largo del tiempo?

Implementar el ciclo de mejora continua y realizar auditorías periódicas. (B)

¿Qué documento formaliza el cumplimiento de las medidas de seguridad y refleja el nivel de madurez de la declaración de aplicabilidad?

El Informe de Deficiencias del sistema (Gap Analysis). (C)

¿Cuál es la principal diferencia entre la 'Declaración de Conformidad' y la 'Certificación de Conformidad' con el ENS en cuanto a su ámbito de aplicación?

La Declaración es para sistemas de categoría BÁSICA y la Certificación para MEDIA y ALTA. (C)

En el caso de un incidente de seguridad que afecte a datos personales, ¿qué plazo máximo establece el Reglamento General de Protección de Datos (RGPD) para notificar a la autoridad de control competente, si es posible?

72 horas. (A)

Según el ENS, ¿qué prevalece en caso de conflicto entre las medidas derivadas del análisis de riesgos y las previstas en el propio ENS para sistemas que traten datos personales?

Las medidas que ofrezcan mayor protección a los datos personales. (A)

Si un municipio decide adherirse a la política de seguridad elaborada por una entidad comarcal, ¿quién asume formalmente la responsabilidad de la seguridad de sus sistemas de información?

Cada municipio individualmente, aunque se adhiera a la política general. (B)

Cuando se exhibe el Distintivo de Declaración de Conformidad con el ENS, ¿qué requisito debe cumplirse respecto al enlace incluido en dicho distintivo?

Debe permanecer accesible a través de la sede electrónica de la entidad. (C)

¿Qué implicación tiene obtener una Aprobación Provisional de Conformidad (APC) del CCN?

Es una autorización temporal mientras se completa el proceso de certificación. (C)

Según el ENS, ¿qué nivel de impacto se considera 'significativo' para la obligatoria notificación de un incidente al CCN?

Alto. (D)

En la categorización de sistemas de información según el ENS, ¿cuáles son las dimensiones que se tienen en cuenta para determinar el nivel de seguridad?

Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad. (A)

¿Qué tipo de sistemas de información están exentos de realizar una auditoría de seguridad según el ENS?

Sistemas de categoría BÁSICA. (A)

Según el texto, ¿cuál de los siguientes NO es uno de los elementos mínimos que debe incluir la política de seguridad?

El organigrama completo de la entidad. (D)

Si una auditoría de seguridad resulta 'Favorable con No conformidades', ¿qué debe hacer la entidad auditada?

Presentar un Plan de Acciones Correctivas a la entidad certificadora. (D)

¿Qué significa que el distintivo de la Declaración de Conformidad que se exhibe en una sede electrónica debe ser “público”? (VERY HARD)

Se puede acceder sin necesidad de autenticación. (B)

Imagina una situación en la que un pequeño ayuntamiento de menos de 500 habitantes decide implementar el ENS. Tras realizar el análisis de riesgos, se dan cuenta que algunos de los requisitos del ENS son desproporcionados para su realidad y podrían paralizar la actividad municipal. ¿Qué opción REALISTA tiene este ayuntamiento para ajustarse al ENS sin comprometer su operatividad? (VERY HARD)

Adoptar un Perfil de Cumplimiento Específico para Entidades Locales, si existe, que adapte los requisitos del ENS a su realidad. (B)

Flashcards

¿Cuál es el objeto del ENS?

Establece las pautas para que las entidades garanticen la seguridad de la información.

¿Cuál es el primer paso para la implantación del ENS?

Aprobar la Política de Seguridad de la Información.

¿Cuál es el objetivo de implantar el ENS?

Disponer de sistemas seguros para el ejercicio de sus competencias y servicios.

¿Qué debe establecer cada entidad?

Establecer mecanismos de control para garantizar el cumplimiento efectivo del ENS.

¿Qué debe hacer cada entidad?

Certificarse o declarar la conformidad con el ENS cumpliendo con los requisitos de seguridad necesarios.

¿Quiénes deben cumplir con el ENS?

Las administraciones públicas.

¿Qué implica la organización de la seguridad?

Designar roles de seguridad y constituir un comité de seguridad.

¿Qué se debe hacer tras la organización de la seguridad?

Aprobar el Plan de Adecuación e implementar las medidas de acuerdo con dicho plan.

¿Qué es el ciclo de mejora?

Revisión y mejora continua de los procesos de seguridad.

¿Qué implica el Plan de Adecuación?

Elaborar y aprobar una política de seguridad de la información.

¿Qué es la política de seguridad de la información?

Conjunto de directrices que rigen cómo una organización gestiona y protege la información.

¿Qué debe incluir la política de seguridad?

Objetivos, marco regulatorio, roles, estructura, directrices y riesgos.

¿Qué responsables se diferencian dentro de la política de seguridad?

Responsable de la información, del servicio, de la seguridad y del sistema.

¿Qué implica el análisis de riesgos?

Analizar el impacto de un posible incidente de seguridad y la probabilidad de que ocurra.

¿Qué permite la gestión de los riesgos?

Mantener un entorno controlado minimizando los riesgos existentes.

¿Qué es la Declaración de Aplicabilidad?

Documento donde se formaliza la relación de medidas de seguridad aplicables al sistema.

¿Qué son los perfiles de cumplimiento específicos?

Conjunto de medidas de seguridad aplicables a una entidad o sector concreto, validados por el CCN.

¿En qué se basa el plan de mejora de la seguridad?

Informe de deficiencias del sistema para reflejar el nivel de madurez de las medidas de seguridad.

¿Qué se pretende verificar con la auditoría de seguridad?

Verificar que las medidas de seguridad implantadas se ajustan a los principios básicos del ENS.

¿En qué se basa la auditoría de seguridad?

Documentación, registro de incidentes, examen del personal y productos certificados.

¿Cómo y cuándo se realiza la auditoría de seguridad?

Ordinaria (cada dos años) y extraordinaria (tras modificaciones sustanciales).

¿Qué implica la planificación preliminar de la auditoría de seguridad?

Establecer los requisitos de información y documentación necesarios.

¿Cuál es la finalidad última de la conformidad con el ENS?

Obtención de garantías de seguridad de la información adecuada y segura.

¿Qué vías existen para la conformidad con el ENS?

Declaración (para sistemas BÁSICA) y Certificación (para MEDIA y ALTA).

¿Cómo se inicia el ciclo de mejora?

Revisión y mejora continua de los procesos de seguridad.

Pautas del Esquema Nacional de Seguridad

¿Qué pautas establece el ENS?

Responsable de seguridad de la entidad

Es el responsable de la seguridad de la entidad, elabora el Plan de Adecuación.

Objetivos o misión de la Política de Seguridad

Determinar los objetivos de la entidad en relación con la seguridad de la información y los servicios que presta.

Responsable de la información

Determina los requisitos de la información tratada.

Responsable del servicio

Determina los requisitos de los servicios prestados.

Responsable del sistema

Desarrolla e implementa la seguridad en el sistema.

Comité de Seguridad

Es la agrupación de personas responsables de la seguridad de la información, facilitan el desarrollo de la organización

Análisis de Riesgos

Consiste en estudiar las consecuencias predecibles de un incidente de seguridad y su impacto en la organización.

Informe de Deficiencias del sistema

Documento que recoge el cumplimiento de las medidas de seguridad y el nivel actual de madurez

Sistemas de Gestión del conocimiento

Sistema a través del cual se examina el personal afectado: su conocimiento y praxis de las medidas que le afectan.

Auditoría de seguridad

Verifica el cumplimiento, evalúa los controles de seguridad adoptados, cumplimiento de normas y procedimientos.

Ciberincidente

Es aquel incidente relacionado con la seguridad en las tecnologías de la información

Incidente de seguridad

Aquel suceso inesperado que afecta la seguridad de las redes y sistemas de información.

Análisis y Recopilación de evidencias

Fase la gestión de ciberincidentes en la que se analiza y se recopilan evidencias del incidente

LUCIA

Lista Unificada de Coordinación de Incidentes y Amenazas. Automatiza los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad

Study Notes

### Introducción al Esquema Nacional de Seguridad (ENS)
- El ENS establece directrices para que las entidades dentro de su ámbito garanticen la seguridad de la información.
- Se fundamenta en principios básicos, requisitos mínimos y medidas de seguridad del Real Decreto 311/2022.
- La implantación del ENS busca dotar a las entidades de sistemas seguros para sus funciones, fomentando confianza ciudadana en el uso de tecnologías.
- Cada entidad debe establecer mecanismos de control para asegurar el cumplimiento efectivo del ENS.
- Un ciberataque puede interrumpir servicios y dañar la reputación de cualquier administración.
- Es importante contar con ciberseguridad adecuada al ENS.
- El objetivo final es la adecuación al ENS mediante certificación o declaración de conformidad.
- La certificación es aplicable a administraciones y empresas proveedoras de servicios públicos.

### Implantación del ENS en Entidades Locales
- Las administraciones y sus proveedores deben cumplir con las disposiciones del ENS.
- Comienza con el Plan de Adecuación, roles de seguridad y un comité de seguridad.
- La política de seguridad debe ser pública e incluir documentos internos para identificar y planificar medidas de seguridad.
- Tras aprobar el Plan de Adecuación, se implementan las medidas correspondientes.
- Se completa el proceso con la certificación de conformidad y el ciclo de mejora continua.
- Las etapas necesarias son: Plan de adecuación, implementación de medidas, conformidad, evaluación y mejora continua.

### Plan de Adecuación
- Es el inicio para implementar el ENS en la administración pública.
- El plan se compone de:
  - Desarrollar y aprobar una Política de seguridad de la información
  - Valuar los servicios prestados y la información tratada, y categorizar los sistemas
  - Análisis de riesgos
  - Declaración de aplicabilidad de las medidas de seguridad
  - Desarrollar un Plan de mejora de la seguridad basado en deficiencias detectadas.
- Se identifican responsables, medidas de seguridad, recursos y plazos.
- El responsable de seguridad es clave, pero sus funciones pueden ser delegadas temporalmente.

### Política de Seguridad
- Es el conjunto de directrices para gestionar y proteger la información y servicios de una organización.
- Debe considerar los principios del ENS e incluir:
  - Objetivos y misión de la entidad relacionados con la seguridad
  - El marco regulatorio aplicable
  - Roles y funciones de seguridad, con sus responsabilidades
  - Estructura y composición del comité de seguridad
  - Directrices para la documentación de seguridad del sistema
  - Los riesgos derivados del tratamiento de datos personales.
- Los municipios pueden tener una política común elaborada por una entidad comarcal o provincial.
- La política debe detallar las atribuciones y mecanismos de coordinación de cada responsable.
- Debe ser accesible y pública para toda la organización.
- El ENS diferencia las responsabilidades en seguridad de la información, lo que lleva a distintos roles.
- Estos roles son asumidos por personas responsables de velar por su cumplimiento.
- Los responsables son:
  - Los responsables de la información
  - Los responsables del servicio
  - Los responsables de la seguridad
  - Los responsables del sistema
- Se plantea la creación de un Comité de Seguridad de Información.
- La composición del comité se determina en la política de seguridad de la información.
- Los comités habituales son:
  - El Comité de Seguridad Corporativa, se responsabiliza de alinear todas las actividades de la organización en materia de seguridad, destacándose los aspectos de seguridad física y patrimonial (seguridad de las instalaciones), seguridad de la información, Compliance (seguridad y conformidad legal) y planes de contingencia
  - El Comité de Seguridad de la Información, dependiente del anterior, que se responsabiliza de alinear las actividades de la organización en materia de seguridad de la información.
- La aprobación de la Política de Seguridad debe ser formal.
- Cada administración debe tener una política de seguridad aprobada por el órgano competente.
- El Alcalde es competente para dirigir el gobierno y la administración municipal.
- El Pleno de la Corporación aprueba los reglamentos y ordenanzas municipales.
- Se desprende su afectación a la esfera jurídica de terceros internos y externos seria recomendable la aprobación de la Política de Seguridad por parte del Pleno de la Corporación.

### Categorización de Sistemas de Información
- Se categorizan los sistemas de información según la información tratada y los servicios prestados.
- Primero, se identifican los sistemas y se valoran.
- Se determina el nivel de seguridad de cada dimensión que afecta a los servicios o información.
- Las dimensiones son:
  - Confidencialidad (C)
  - Integridad (I)
  - Trazabilidad (T)
  - Autenticidad (A)
  - Disponibilidad (D)
- Los niveles de seguridad obtenidos son Bajo, Medio o Alto.
- Los sistemas de información tienen categorías: Básica, Media o Alta.
- El Anexo I del ENS establece los criterios para determinar las categorías de seguridad.

### Análisis de Riesgos
- El análisis de riesgos estudia las consecuencias de un posible incidente de seguridad y su probabilidad.
- Considera el impacto en la organización, su misión, o su reputación.
- Es necesario para implementar el ENS, permitiendo plantear medidas de seguridad.
- El análisis debe ser continuo y actualizado.
- Se debe realizar una gestión de los riesgos para mantener un entorno controlado.
- Toda entidad debe gestionar sus propios riesgos con análisis y tratamiento.
- La gestión se revisa y aprueba anualmente.
- Se debe realizar un análisis extraordinario si el sistema de información sufre modificaciones.
- Las medidas de seguridad deben estar justificadas y ser proporcionales a los riesgos.
- Tanto el análisis como la gestión de riesgos se desarrollan en la Política de Seguridad de la Información.
- MAGERIT permite analizar y gestionar los riesgos.

### Declaración de Aplicabilidad y Perfiles de Cumplimiento Específico
- La categoría se determina en función del impacto que tendría un incidente segun: Disponibilidad (D), Autenticidad (A), Integridad (I), Confidencialidad (CD) o Trazabilidad (T).
- El ENS establece tres categorías de seguridad para los sistemas de información: Básica, Media y Alta.
- La declaración de aplicabilidad formaliza las medidas de seguridad para cada sistema.
- El documento es esencial para elaborar el Plan de Adecuación.
- Tras categorizar los sistemas, se incluirá el nivel de seguridad en la Declaración de aplicabilidad.
- Los perfiles de cumplimiento específicos son un conjunto de medidas de seguridad que resultan de aplicación a una entidad.
- El CCN validará y publicará los perfiles de cumplimiento específicos que se definan.
- Adaptaran los requisitos de seguridad que exige el ENS a aquellas necesidades más específicas de determinados colectivos como es el caso de las entidades locales.
- El catálogo de medidas a implantar no deja de ser una referencia
-  En casos muy concretos y excepcionales, se podría asumir un riesgo residual mayor o menor en función de los recursos disponibles

### Plan de Mejora de la Seguridad
- Se basa en un informe de insuficiencias, reflejando el nivel de madurez de las medidas de seguridad.
- Identifica los riesgos residuales que deben ser aceptados formalmente.
- Incluye medidas necesarias para garantizar el cumplimiento normativo sobre la protección de datos.
- Incluirá el plazo estimado de ejecución y las tareas que deben subsanar las deficiencias de sistemas.
- Se plasma en un documento denominado Plan de Mejora de la seguridad aprobado por el comité de seguridad.
- Se lleva a cabo las tareas con el objetivo final de superar el proceso de Certificación del sistema, iniciando así el ciclo de mejora.

### Implementación de Medidas de Seguridad
- Tras el Plan de Adecuación, se implementan las medidas de seguridad.
- Es necesario realizar la correspondiente auditoría de seguridad cuyo objetivo es sustentar la confianza es verificar las medidas de seguridad implementadas.
- La auditoría de seguridad es un proceso sistemático, independiente y documentado
- La política de seguridad define los roles y funciones de los responsables del sistema.
- Existen procedimientos para resolución de conflictos entre dichos responsables.
- Se han designado personas para dichos roles
- Se ha realizado un análisis de riesgos
- Que se cumplen las recomendaciones de protección descritas en el Anexo II del ENS
- Se basa en la presencia de evidencias que permitan comprobar de manera objetiva el cumplimiento de lo siguiente.
- En los sistemas de información de categoría Básica el resultado de la autoevaluación debe indicar documentadamente las medidas de seguridad implantadas.
- En los sistemas de categorías Media y Alta, es obligatoria la auditoría de seguridad.
- La auditoría de seguridad se realiza de manera ordinaria regularmente, al menos cada dos años,
- Si se produjeran modificaciones sustanciales en los sistemas de información que puedan repercutir en las medidas de seguridad se realizará una auditoría extraordinario.
- Es necesario realizar una planificación preliminar para la realización de la auditoría.
- Los hallazgos de no conformidad encontrados por parte del equipo auditor, se clasificarán según los siguientes grados:
  - No conformidad menor
  - No conformidad mayor
- El informe incluirá los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría.
- Los hallazgos se presentarán al responsable del sistema.
- Y el resultado del informe seria:
  - Favorable
  - Favorable con no conformidades
  - Desfavorable
- Tras la emisión del informe de los resultados se realizará el Informe del estado de seguridad donde las entidades deberán recopilar datos comunicarlos a la Administración General del Estado, el Estado pone a disposición de todas las administraciones públicas la herramienta INES

### Conformidad con el ENS
- La finalidad última es la obtención de la conformidad con el ENS.
- Se trata de ofrecer garantías de seguridad de la información adecuadas y seguras.
- En relación con la consecución de la conformidad con el ENS la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad que establece los criterios.
- La Declaración de la Conformidad es solamente aplicable a los sistemas de información de categoría BÁSICA.
- La Certificación de Conformidad con el Esquema Nacional de Seguridad es aplicable a los sistemas de información con categorías MEDIA y ALTA.
- Plazo de dos años que podrá extenderse durante tres meses cuando concurran impedimentos de fuerza mayor no imputables.
- Auditorias internas en la organización cuya finalidad es confirmar la eficacia del sistema de gestión u obtener información que permita alcanzarla.
- La Declaración de Conformidad es expedida por la propia entidad.
- La Certificación de Conformidad es expedida por la entidad de certificación.
### Conformidad Provisional.
- Aprobación Provisional de Conformidad (APC) para sistemas de información de categorías Básica y Media, siendo emitada por el CCN a petición.
- Siempre que persiga la emisión del primer Certificado de Conformidad del sistema de información auditado, y el Plan de Acciones Correctivas, por razones requiere un período de ejecución superior a tres (3) meses y si no se hayan detectado No Conformidades Mayores.

### Ciclo de Mejora
- Cualquier sistema de información de categoría MEDIA y ALTA requiere disponer de un SGSI.
- El ciclo de mejora se inicia mediante la revisión y mejora continua.
- Para ello, se aplicarán los criterios y métodos reconocidos en la práctica de la gestion de gestion de seguridad.
- Tiene en cuenta la información basada en el ciclo de mejora, Planificar, Hacer, Verificar y Actuar (Ciclo de Deming).

### Respuesta y Notificación de Incidentes de Seguridad
- Un ciberincidente segun la normativa es aquel incidente relacionado con la seguridad.
- Y un incidente de seguridad se trata de un suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de la información.
- Se notificarán los incidentes de seguridad que tales incidentes tengan un impacto significativo.
- Los ciberincidentes necesitan una clasificación para la erradicación.
- La gestión de los ciberincidentes consta de fases segun la Resolución de 13 de abril:
  - Detección
  - Clasificación
  - Procedimientos de análisis
  - Comunicación
  - Registro
- Deberá clasificarse de acuerdo con la tabla de Criterios del nivel de impacto potencial.
- Y se analizarán y recopilarán evidencias de dicho incidente, documentando y custodiadas.
- En la notificación de incidentes de seguridad, es obligatorio la notificación al CCN de los incidentes de impacto significativo.
- Se entiende por impacto significativo los niveles Alto, Muy Alto y Crítico, según los artículos 33 y 34 del ENS.
- Si un incidente afecte a datos personales se realizará con independencia del nivel de impacto según el artículo 33 del Reglamento General de Protección de Datos.
- El CCN ha desarrollado una herramienta denominada LUCIA con la finalidad de automatizar los mecanismos de notificación.
- El ENS no prevé sanciones por incumplimiento.