En España, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su principal objeto es establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Administración Pública (junto a sus organismos autónomos y empresas públicas), está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Para poder situar normativamente el desarrollo del Esquema Nacional de Seguridad debemos atender a sus precedentes normativos. La Ley 30/1992, de 26 de noviembre de régimen jurídico de las Administraciones Públicas y del procedimiento administrativo común, ya recogía en su primera versión (artículo 45) el impulso y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, por parte de la Administración en el desarrollo de su actividad y el ejercicio de sus competencias, permitiendo a los ciudadanos relacionarse con las Administraciones con los medios técnicos de que dispongan.
Esa previsión, junto con la de la informatización de registros y archivos del artículo 38 de la misma Ley en su versión originaria y, especialmente, en la redacción que le dio la Ley 24/2001 de 27 de diciembre, permitiendo el establecimiento de registros telemáticos para la recepción o salida de solicitudes, escritos y comunicaciones por medios telemáticos, abría el paso a la utilización de tales medios para relacionarse con la Administración, modificándose también el artículo 59 permitiendo la notificación por medios telemáticos si el interesado hubiera señalado dicho medio como preferente o consentido expresamente. Cabe destacar otras modificaciones realizadas en la Ley General Tributaria para permitir también las notificaciones telemáticas, la actuación administrativa automatizada o la imagen electrónica de los documentos.
En nuestros días, el desarrollo de la administración electrónica es todavía insuficiente, la causa la encontramos en los artículos 38, 45 y 59 de la citada Ley de régimen jurídico de las Administraciones Públicas, la implantación de dichas medidas queda en manos de las propias Administraciones, quienes determinaran si los ciudadanos pueden, de forma efectiva, relacionarse por medios electrónicos con ellas.
El Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en su artículo primero, establece como objeto del mismo, determinar la política de seguridad que se debe de aplicar en la utilización de los medios electrónicos a los que se refiere la Ley 11/2007. Por ello el Esquema Nacional de Seguridad será aplicado por las Administraciones Públicas. La disposición adicional segunda habilita al Ministerio de la Presidencia para dictar las disposiciones necesarias para la aplicación y desarrollo de lo establecido en el citado Real Decreto sin perjuicio de las competencias de las CCAA en esta materia.
El Esquema Nacional de Seguridad persigue crear las condiciones de seguridad necesarias para generar confianza en el uso de los medios electrónicos, a través de medidas encaminadas a garantizar la seguridad de los sistemas, los datos, las comunicaciones, así como los servicios electrónicos empleados, que permitan el ejercicio de derechos y el cumplimiento de deberes a través de estos medios; en su redacción se tienen en cuenta los criterios SNC, las guías CCN-STIC del Centro Criptológico Nacional, la metodología de análisis y gestión de riesgos MAGERIT o el Esquema Nacional de Interoperabilidad, entre otros, teniéndose en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes y los estándares que sean de uso generalizado por los ciudadanos.
En el desarrollo de la norma se definen sus principios inspiradores: la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad, teniendo en cuenta la trazabilidad de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.
Se recomienda el uso de las infraestructuras y servicios comunes, como lo son la Red Sara y sus servicios horizontales como manera de mejorar la seguridad de los sistemas propios y se designa al Centro Criptológico Nacional como responsable de la elaboración y difusión de guías en materia de seguridad en el ámbito de las tecnologías de la información y comunicación, definiendo las condiciones bajo las cuales las Administraciones públicas podrán declarar determinados sistemas como excluidos de la aplicación del Esquema Nacional de Seguridad. Estas guías no dejan de ser un símil de los controles y checklist que se producen al implantar y certificar una ISO 27001, pero no hay que olvidar que el legislador español ha optado por la creación de un sistema novedoso y específico para evaluar los sistemas de gestión de seguridad de la información, cuando lo que podía haber hecho es obligar por ley a las Administraciones Públicas a someterse a la certificación de una ISO 27001.
Otros elementos a destacar del Esquema Nacional de Seguridad, son los Requisitos mínimos que permitan una protección adecuada de la información; la categorización de los sistemas para la adopción de medidas de seguridad proporcionadas a la naturaleza de la información, del sistema y de los servicios a proteger y a los riesgos a los que están expuestos; la elaboración de auditorías de seguridad que verifiquen el cumplimiento del Esquema Nacional de Seguridad; la respuesta a incidentes de seguridad mediante la estructura CCN-CERT que actuará sin perjuicio de las capacidades de respuesta que pueda tener cada administración pública, y de su función como coordinador a nivel nacional e internacional, prestando los servicios de soporte y coordinación, investigación y divulgación, formación e información; así como la certificación como aspecto a considerar al adquirir productos de seguridad, citando al Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las TIC (el propio Centro Criptológico Nacional).