La transformación digital del Sector Público ha de ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada y los servicios prestados, proporcionadas a los riesgos provenientes de acciones malintencionadas o ilícitas, particularmente de las ciberamenazas, errores o fallos y accidentes o desastres.
El artículo 156 de la Ley 40/2015 recoge el Esquema Nacional de Seguridad (ENS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.
Estos principios básicos son la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la re-evaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad de la información.