Esquema Nacional de Seguridad

En el ámbito de la administración electrónica en España, el Esquema Nacional de Seguridad (ENS) es una normativa que tiene por objetivo establecer la política de seguridad en la utilización de medios electrónicos relacionados con la Administración Pública, y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Historia[editar]

El Esquema Nacional de Seguridad fue establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicio Públicos^[1] y regulado por el Real Decreto 3/2010, de 8 de enero.^[2] Posteriormente fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.^[3]

El 5 de mayo de 2022 entró en vigor una nueva versión del ENS.^[4] Los sistemas ya existentes tienen 24 meses para adaptarse a los cambios.

Ámbito de aplicación[editar]

El ámbito de aplicación del Esquema Nacional de Seguridad comprende:^[4]^[5]

· todo el Sector Público, en los términos previstos en el artículo 2 de la Ley 40/2015, de 1 de octubre.

· los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales.

· los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.

Artículo 2 de la Ley 40/2015. Ámbito Subjetivo. 1. La presente Ley se aplica al sector público que comprende: a) La Administración General del Estado. b) Las Administraciones de las Comunidades Autónomas. c) Las Entidades que integran la Administración Local. d) El sector público institucional. 2. El sector público institucional se integra por: a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas. b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas. c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley. 3. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2.

Objetivos[editar]

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:

· Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

· Promover la gestión continuada de la seguridad.

· Promover la prevención, detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.

· Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción, así como la comunicación de los requisitos de seguridad de la información de la Industria.

· Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones incluidas por la OCDE en el documento Digital Security Risk Management for Economic and Social Prosperity.

En el Esquema Nacional de Seguridad se concibe la seguridad como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información, excluyendo cualquier acción puntual o tratamientos coyuntura, debido a que la debilidad de un sistema determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas, pero deficientemente ensambladas.

Elementos del Esquema Nacional de Seguridad[editar]

Los elementos principales del ENS son los siguientes:

· Las disposiciones generales, objeto, ámbito de aplicación, sistemas de información que traten datos personales y definiciones (artículos 1 a 4).

· Los principios básicos a considerar en las decisiones en materia de seguridad (artículos 5 a 11).

· Los requisitos mínimos que permitan una protección adecuada de la información (artículos 12 a 27).

· El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (artículos 28, 40, 41, Anexo I y Anexo II).

· El uso de productos certificados y el papel del Organismo de Certificación OC-CCN (artículo 19 y Anexo II).

· El uso de infraestructuras y servicios comunes (artículo 29).

· Los perfiles de cumplimiento específicos (artículo 30).

· La auditoría de la seguridad que verifique el cumplimiento del ENS (artículo 31 y Anexo III).

· El informe del estado de la seguridad (artículo 32).

· La respuesta ante incidentes de seguridad (artículos 33 y 34).

· La conformidad con el ENS (artículos 35 a 38).

· La actualización permanente (artículo 39).

· La categorización de los sistemas de información (artículos 40 y 41).

· La formación (disposición adicional primera).

· Las instrucciones técnicas de seguridad (disposición adicional segunda).

· Las guías de seguridad (disposición adicional segunda).

· Respeto del principio de «no causar un perjuicio significativo» al medioambiente (disposición adicional tercera).

· Adecuación de sistemas (disposición transitoria única).

· Derogación normativa (Disposición derogatoria única): queda derogado el Real Decreto 3/2010, de 8 de enero.

El mandato principal del ENS es el establecido en el artículo 12 ‘Política de seguridad y requisitos mínimos de seguridad’, según el cual “cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente”, la cual “es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta” y se establecerá de acuerdo con los principios básicos y se desarrollará aplicando los requisitos mínimos, en proporción a los riesgos identificados en cada sistema.

Principios básicos del Esquema Nacional de Seguridad[editar]

El objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos

Seguridad como proceso integral.
Gestión de la seguridad basada en los riesgos.
Prevención, detección, respuesta y conservación.
Existencia de líneas de defensa.
Vigilancia continua.
Reevaluación periódica.
Diferenciación de responsabilidades.

Evolución[editar]

Desde la aprobación de la primera normativa reguladora del ENS se han venido produciendo notables cambios que han evidenciado la necesidad de revisar el marco normativo actual del ENS. Estos cambios han derivado de una progresiva transformación digital de la sociedad, de avances en las tecnologías de aplicación, de la creciente exposición a ciberataques de los sistemas de información y de la evolución normativa en este ámbito tanto a nivel nacional como europeo. Por tanto, la revisión integral del ENS ha dado lugar a la aprobación del Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad, como norma que ha actualizado el ENS para alinearlo con las tendencias en materia de ciberseguridad y normativas actuales.

Además, el Real Decreto 311/2022, de 3 de mayo, es una de las medidas tomadas con carácter urgente en un contexto de evolución radical de los sistemas normativos, sociales y tecnológicos que han exigido la adopción de medidas para el mantenimiento de la seguridad para la Administración Digital.

En este sentido, la actualización del ENS se enmarca dentro del Plan de Digitalización de las Administraciones Públicas 2021-2025 (Reforma 9.3 “Una Administración Cibersegura”), así como en las reformas previstas en la Agenda España Digital 2025.

El ENS se elaboró a la luz del estado del arte y de los principales referentes en materia de seguridad de la información provenientes de la Unión Europea, OCDE, normalización nacional e internacional, actuaciones similares en otros países, etc.

El ENS es el resultado de un trabajo coordinado por el Ministerio de Asuntos Económicos y Transformación Digital junto con el Centro Criptológico Nacional (CCN) y la participación de todas las AA.PP., a través de los órganos colegiados con competencias en materia de administración digital. También se ha tenido presente la opinión de las asociaciones de la Industria del sector TIC.

El proceso de actualización permanente del ENS permite garantizar que las Administraciones Públicas pueden desarrollar su actividad normal con garantías de seguridad adecuadas en entornos digitales crecientemente amenazados por la aparición de riesgos.

AÑO	DESCRIPCIÓN	REGULACIÓN
2010	1ª versión	Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
2015	Modificación 1ª versión	Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
2022	Nueva versión	Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Principales novedades del VIGENTE Esquema Nacional de Seguridad[editar]

Para lograr sus objetivos y alinearse con las tendencias actuales en materia de ciberseguridad, el ENS introduce las siguientes novedades:

· El ámbito de aplicación del ENS se extiende a los sistemas que tratan información clasificada, así como a los sistemas de información de las entidades del sector privado que colaboren con el sector público.

· La política de seguridad se consagra como instrumento rector de la gestión y protección de la información por las organizaciones. Cada Administración Pública debe contar con una política de seguridad formalmente aprobada, inmersa en el Marco de Gobernanza de la Ciberseguridad de la entidad de que se trate.

· Se sustituye la seguridad por defecto por el criterio de mínimo privilegio, que supone incorporar a los sistemas de información nuevos aspectos operativos.

· Se permite el análisis de las comunicaciones entrantes y salientes para impedir el acceso no autorizado a redes y sistemas de información, detener los ataques de denegación de servicio y evitar la distribución malintencionada de código dañino.

· Se establecen perfiles de cumplimiento específicos que permiten implementar el ENS a determinadas entidades o sectores de actividad concretos para los que las medidas de seguridad resulten idóneas para una concreta categoría de seguridad.

· Asimismo, se crean esquemas de acreditación de entidades y validación de personas para permitir la implantación y configuración de soluciones o plataformas suministradas por terceros que garanticen su seguridad.

· Se establece la obligación de someter los sistemas de información a un procedimiento de determinación de conformidad con el ENS.

· Las Instrucciones Técnicas de Seguridad, de obligado cumplimiento, aprobadas por el Ministerio de Asuntos Económicos y Transformación Digital, a propuesta de la Comisión Sectorial de Administración Electrónica, desarrollarán el ENS.

· El nuevo ENS cumple con el principio medioambiental “no causar un perjuicio significativo”, así como de las condiciones de etiquetado climático y digital.

Adecuación al Esquema Nacional de Seguridad[editar]

Una adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones:

- Preparar y aprobar la política de seguridad, incluyendo los objetivos o misión de la organización, el marco regulatorio de las actividades, la definición de roles de seguridad, la estructura y composición del comité para la gestión y coordinación de la seguridad, las directrices de estructuración de la documentación de la seguridad, y los riesgos derivados del tratamiento de datos personales, todo ello dentro de un Marco de Gobernanza de la Ciberseguridad definido.

- Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.

- Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.

- Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.

- Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.

- Implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.

- Auditar la seguridad para verificar el cumplimiento de los requisitos del ENS.

- Obtener y publicitar la conformidad con el ENS.

- Informar sobre el estado de la seguridad.

La gestión de la seguridad de la información es un proceso sujeto a cambios constantes. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de nuestros sistemas.

Por ello es necesario implantar un proceso de actualización continua, que conllevará, entre otras acciones:

Revisión de la Política de Seguridad de la Información.
Revisión de la información y los servicios, y su categorización.
Actualización del análisis de riesgos, al menos anualmente.
Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento.
Realización de auditorías internas.
Revisión del Plan de Mejora.
Revisión de las medidas de seguridad.
Revisión y actualización de procedimientos.
Revisión del Estado de Seguridad.

Declaración y conformidad con el Esquema Nacional de Seguridad[editar]

Todas las entidades responsables de los sistemas de información afectados por el ENS serán objeto de un proceso para determinar su conformidad con el ENS. A tal efecto, los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad, mientras que los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad, sin perjuicio de que se puedan someter igualmente a una auditoria de certificación.

Categoría de seguridad de un sistema: es un grado, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema de información a fin de seleccionar las medidas de seguridad necesarias para el mismo, en función de los niveles de seguridad en cada una de las dimensiones de seguridad consideradas: disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad. La categoría de seguridad del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios

La Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad establece los criterios y procedimientos para la determinación de la conformidad, así como para la publicidad de dicha conformidad. Precisa los mecanismos de obtención y publicidad de las declaraciones de conformidad y de los distintivos de seguridad obtenidos respecto al cumplimiento del ENS. Asimismo, concreta los requisitos exigibles a las entidades certificadoras.

· Entidades de Certificación

Las Entidades de Certificación de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.

Estarán exentas del cumplimiento de los requisitos señalados anteriormente aquellas entidades, órganos, organismos y unidades vinculadas o dependientes de las Administraciones Públicas cuyas competencias incluyan el desarrollo de auditorías de sistemas de información, así conste en su normativa de creación o decretos de estructura y quede garantizada la debida imparcialidad.

Las Entidades de Certificación actualmente acreditadas se pueden consultar en el siguiente link: https://ens.ccn.cni.es/index.php/es/certificacion/entidades-de-certificacion

· CoCENS

Para velar por una adecuada implantación de la Certificación del ENS se dispone del Consejo de Certificación del Esquema Nacional de Seguridad (CoCENS). Es un órgano colegiado de los regulados en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y lo establecido en la Guía CCN-STIC 809 de Declaración y Certificación de Conformidad con el ENS.

Este órgano, incorpora a todas las partes concernidas y ayuda a la adecuada implantación del ENS y, en consecuencia, a la mejor y más garante prestación de los servicios públicos, objetivos últimos del Esquema Nacional de Seguridad. Este Consejo se reúne periódicamente para dar respuesta a las necesidades derivadas de su misión. Esta línea de trabajo busca crear sinergias y coordinar acciones en el ámbito del Esquema Nacional de Seguridad, con el objetivo de lograr una adecuada implantación del ENS.

Instrumentos para adecuación al Esquema Nacional de Seguridad[editar]

· Instrucciones Técnicas y Guías de Seguridad Para dotar de un elevado grado de seguridad a los sistemas de información en los que operan los sujetos obligados por el ENS se dispone de las instrucciones técnicas de seguridad y las guías de seguridad.

Las instrucciones técnicas de seguridad, de obligado cumplimiento, son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema y, particularmente, para indicar el modo común de actuar en aspectos concretos: Informe del estado de la seguridad; Notificación de incidentes de seguridad; Auditoría de la seguridad; Conformidad con el Esquema Nacional de Seguridad.
Las guías de seguridad, desarrolladas por el Centro Criptológico Nacional, denominadas guías CCN-STIC y disponibles en el Portal del CCN-CERT, ayudan al mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, en particular, de la colección de guías de la serie 800.

· Metodologías y herramientas Análisis y Gestión de Riesgos

Se dispone de metodologías y herramientas para la realización de análisis y gestión de riesgos de los sistemas de información conforme al principio de gestión de la seguridad basada en los riesgos:

MAGERIT – v3.0 Metodologías de Análisis y Gestión de Riesgos de los Sistemas de Información.

PILAR: La solución PILAR es una herramienta de Entorno de Análisis de Riesgos (EAR), que soporta el análisis y la gestión de riesgos de un sistema de información siguiendo la metodología Magerit.

· Soluciones y asistentes para la adecuación al ENS

El Centro Criptológico Nacional ha desarrollado el Asistente del Plan de Adecuación - INES y el Asistente de Implantación y Gestión de la Conformidad - AMPARO, como herramientas de apoyo para la Obtención y Gestión de la Declaración/Certificación de Conformidad en el ENS, que junto con EMMA y ANA permiten, además, realizar la Gestión Continua de la Seguridad.

ADECUACIÓN AL ENS	SOLUCIÓN	ENLACE
Plan de Adecuación del Sistema		https://www.ccn-cert.cni.es/soluciones-seguridad/ines.html
Implantación de Seguridad		https://www.ccn-cert.cni.es/soluciones-seguridad/amparo.html
Conformidad
Gestión Continua de la Seguridad		https://www.ccn-cert.cni.es/soluciones-seguridad/ines.html https://www.ccn-cert.cni.es/soluciones-seguridad/amparo.html https://www.ccn-cert.cni.es/soluciones-seguridad/emma.html https://www.ccn-cert.cni.es/soluciones-seguridad/ana.html

ISO/IEC 27001 Y ENS[editar]

La norma ISO/IEC 27001, es una norma de “gestión” que contiene los requisitos para la construcción de un Sistema de Gestión de Seguridad de la Información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad (pública o privada) mediante un proceso de auditoría realizado por un auditor certificado externo.

Este estándar internacional especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información según el conocido “Ciclo de Deming”: denotado por las siglas PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). La norma 27001 es una norma internacional, de gestión, de cumplimiento voluntario y certificable.

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS, tiene como objetivo establecer la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. El ENS trata la “protección” de la información y los servicios, contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión. El ENS es una regulación nacional de obligado cumplimiento para las entidades incluidas en su ámbito de aplicación y se enmarca dentro del ordenamiento jurídico derivado de la Ley 40/2015, de 1 de octubre.

Por tanto, el Esquema Nacional de Seguridad y la norma ISO/IEC 27001 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen.

El ENS es un esquema inspirado en la familia de estándares ISO 27000 y más concretamente en la Norma ISO/IEC 27001 (al igual que el estándar internacional ISO/IEC 27001, se manejan varias dimensiones de seguridad), por lo que su estructura y aplicación responde al modelo de Ciclo PDCA-Mejora continua, considerando el análisis de riesgos para la implantación de medidas/controles donde sea necesario y adecuado. Esto permite una integración muy clara, pues ambas herramientas son complementarias y constituyen un binomio perfecto para la ciberseguridad. Ambos sistemas son compatibles, si bien su ámbito de aplicación difiere y debe realizarse un análisis detallado para garantizar una adecuada implantación de los mismos.

A través de la Guía CCN-STIC-825 se establecen los aspectos comunes y diferenciadores entre la ISO/IEC 27001 y ENS pudiendo abordar, dentro de un mismo alcance para los sistemas de información, la certificación integrada de ambos referenciales. Esto permite dar cumplimiento a un Real Decreto Español y disponer de un Sistema de Gestión de Seguridad de reconocimiento internacional ISO.

Adicionalmente, la Guía CCN-STIC 852 Aplicación del ENS en Organismos Pagadores, compara el ENS con las normas de gestión de la seguridad de la información ISO/IEC 27001 e ISO/IEC 27002, de forma que se garantice que el ENS satisface los requisitos de seguridad establecidos en dichas normas. En caso de que el ENS no cubra todos los aspectos definidos en ISO/IEC 27001 y 27002, esta guía proporciona las salvaguardas adicionales que deben ser implantadas con el objetivo de obtener una equivalencia entre el ENS e ISO 27001/27002.

Véase también[editar]

Referencias[editar]

↑ «Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos». Boletín Oficial del Estado (150): 27150-27166. 23 de junio de 2007. ISSN 0212-033X. BOE-A-2007-12352.
↑ «Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica». Boletín Oficial del Estado (25): 8089-8138. 29 de enero de 2010. ISSN 0212-033X. BOE-A-2010-1330.
↑ «Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica». Boletín Oficial del Estado (264): 104246-104267. 4 de noviembre de 2015. ISSN 0212-033X. BOE-A-2015-11881.
↑ ^a ^b «Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad». Boletín Oficial del Estado (106): 61715-61804. 4 de mayo de 2022. ISSN 0212-033X. BOE-A-2022-7191.
↑ «Esquema Nacional de Seguridad - ENS». Portal Administración Electrónica. Consultado el 8 de noviembre de 2022.

Enlaces externos[editar]

Principales cambios Real Decreto 311/2022 "ENS 2022".

Datos: Q5840457

[L11/2007-1] «Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos». Boletín Oficial del Estado (150): 27150-27166. 23 de junio de 2007. ISSN 0212-033X. BOE-A-2007-12352.

[RD3/2010-2] «Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica». Boletín Oficial del Estado (25): 8089-8138. 29 de enero de 2010. ISSN 0212-033X. BOE-A-2010-1330.

[RD951/2015-3] «Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica». Boletín Oficial del Estado (264): 104246-104267. 4 de noviembre de 2015. ISSN 0212-033X. BOE-A-2015-11881.

[RD311/2022-4] «Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad». Boletín Oficial del Estado (106): 61715-61804. 4 de mayo de 2022. ISSN 0212-033X. BOE-A-2022-7191.

[pae-5] «Esquema Nacional de Seguridad - ENS». Portal Administración Electrónica. Consultado el 8 de noviembre de 2022.

[1]

[2]

[3]

[4]

[5]