La infección masiva de móviles de políticos mediante el malware Pegasus o el ciberataque sobre el SEPE han puesto de manifiesto la necesidad de reforzar las capacidades de defensa del sector público contra las ciberamenazas.
El Consejo de Ministros ha aprobado un Real Decreto a través del cual se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica. De esa manera, se actualiza el que estaba vigente hasta el momento (aprobado en enero de 2010, y modificado posteriormente en 2015), y se da forma a lo contemplado dentro del paquete de actuaciones urgentes en materia de ciberseguridad que el Gobierno aprobó en mayo de 2021, después del grave ciberataque sufrido por el Servicio Público de Empleo Estatal (SEPE). El objetivo de éstas, era reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público, así como sobre las entidades que suministran tecnologías y servicios al mismo.
La creación del ENS estaba encaminada a establecer y proporcionar las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas de diversa índole que deben garantizar la protección de los sistemas, datos, comunicaciones y servicios electrónicos. Desde la entrada en vigor del Real Decreto 3/2010, del 8 de enero, el ENS es de obligado cumplimiento por parte de todas las Administraciones públicas, si bien todavía existen muchas organizaciones gubernamentales que siguen sin adecuarse a él.
Una situación que cambia con la actualización del ENS, pues no sólo introduce cambios en las medidas de seguridad y nuevos controles, sino que también obliga a la adecuación a sus requisitos por parte las empresas privadas proveedoras a la Administración, centrándose, sobre todo, en aquellas que ofrezcan servicios donde haya intercambios de información.