Nuevos escenarios de

Normalización en Seguridad
y Resiliencia
Informes de Normalización
 índice
1 Introducción al papel
de la NORMALIZACIÓN 3

2 Escenario internacional
ISO/TC 292 SECURITY AND RESILIENCE 4

3 Escenario europeo
•  CEN/TC 391 Social and Citizen Security
•  CEN/TC 439 Private security Services 8

4 Ciberseguridad 12

5 Riesgos derivados de no participar

en los trabajos de NORMALIZACIÓN 14

La Agenda para el fortalecimiento del

sector industrial en España, contempla
la necesidad de promover la presencia
nacional en los foros de normalización
y estandarización para defender los
intereses de la industria española.
La Asociación Española de Normalización
y Certificación, AENOR, entidad española, El Informe del comercio mundial
privada, independiente, sin ánimo 2013 de la Organización Mundial del
de lucro, reconocida en los ámbitos comercio indica que “La convergencia
nacional, comunitario e internacional, es de las medidas no arancelarias, como
el organismo legalmente responsable del las normas, es esencial para establecer
desarrollo y difusión de las normas técnicas unas condiciones igualitarias en el
en España. futuro…”

Como miembro de los organismos El Plan estratégico de

europeos de normalización, CEN, CENELEC internacionalización de la Economía
y ETSI y de los organismos internacionales Española 2014-2015 contempla la
ISO e IEC su actividad contribuye a coherencia de las normas y acuerdos
mejorar la calidad y competitividad de las internacionales como una orientación
empresas, sus productos y servicios. de sus principios rectores.

Informes de Normalización
1 Introducción al papel de la Normalización
La Normalización ha venido siendo una herramienta y cuyos resultados pueden contribuir a la consecución
de apoyo al sector de la seguridad desde hace de los objetivos de la Estrategia Nacional
décadas, evolucionando para pasar de ser, en una de Seguridad y a la Estrategia Nacional
primera fase, una herramienta puramente técnica que de Ciberseguridad, por lo que se considera necesario
contribuyó a la racionalización de la producción y a aumentar la participación e implicación tanto de
la mejora de la seguridad industrial, a una segunda la industria nacional como de la Administración
fase de mecanismo de desregulación mediante el española en los mencionados órganos de trabajo,
que se facilita el cumplimiento de la legislación, tanto siendo esta la vía para garantizar la alineación
europea como nacional, pasando a una tercera fase, y preparación del mercado nacional ante las
en el momento actual, en el que la Normalización futuras normas europeas y normas internacionales
se ha convertido en un apoyo estratégico para el actualmente en desarrollo.
posicionamiento en el mercado global y la inter-
nacionalización, ayudando a los gobiernos y a las El modelo de trabajo de los organismos
organizaciones a afrontar los retos que les presenta internacionales y europeos de normalización
el concepto de seguridad en el siglo XXI, para cubrir se replica a nivel nacional a través de comités
todos los ámbitos a los que el actual concepto de nacionales de normalización, constituidos
seguridad debe dar cobertura, como la seguridad del en el seno de AENOR, lo que posibilita el acceso
Estado y de sus ciudadanos, la estabilidad económica y la capacidad de influir en el contenido
y financiera, la gestión de emergencias o la protección de los resultados europeos e internacionales,
de las infraestructuras críticas. así como la asunción de liderazgo en determinadas
iniciativas propuestas desde España. 3
A continuación se hace referencia a una serie
de entornos, documentos y órganos de trabajo Es de esta manera como AENOR representa
funcionando a nivel internacional y a nivel europeo y canaliza los intereses de las empresas
que son el referente de actuación en lo que respecta y la sociedad española en los organismos
a la normalización en el ámbito de la SEGURIDAD, de normalización europeos e internacionales.

Informes de Normalización
 2  Escenario internacional
ISO/TC 292 SECURITY
AND RESILIENCE
En el seno del Organismo Internacional de
Normalización (ISO), hasta hace muy poco
coexistían un gran número de órganos de
trabajo, en formato de estructura desagregada,
dedicados a diferentes aspectos que cubre el
concepto de “seguridad”: cadena de suministro,
continuidad, resiliencia, emergencias, servicios de
seguridad, seguridad nacional… En junio de 2014,
en un intento de alinear los distintos proyectos
en desarrollo y las revisiones de las normas ya
publicadas y con el objetivo de conseguir dar una
cobertura integral a la seguridad, se aprueba la
propuesta de reestructurar los grupos existentes
bajo un nuevo comité, de carácter horizontal y
organizado en diferentes grupos que abordarán
cada uno de los aspectos específicos, pero bajo un
4 enfoque armonizado, y estableciéndose además
un mecanismo de eficaz coordinación con todo
el marco internacional de ciberseguridad, al que
dedicamos un capítulo en este informe.

En este escenario entra en funcionamiento

el pasado 1 de enero de 2015, el nuevo
comité internacional ISO/TC 292 “Security
and Resilience”, absorbiendo las líneas de
trabajo abiertas y ubicándolas en la siguiente
estructura de grupos específicos:

Informes de Normalización
 U R ITY 5
Se
gu 2 S EC
rid
ad / T C 29 ENCE
Na
cio ISO RESILI
Res
ilie
ncia
na
l AND
Gestión
de eme
rgencia
s

Fraude

l ne gocio
nuid ad de
Conti dad
ri
segu
s de
ro

icio
t
nis

v
Ser
i
s um
a de
d en
Ca

Informes de Normalización
 2  ISO/TC 292 SECURITY AND RESILIENCE
Continuity and
A Listado 1 Listado 2
R resilience
ISO 22315:2014 Societal security
Emergency management
and public and community Listado 2 •  Mass evacuation
U

resilience •  Guidelines for planning

T

Private security services

C

Listado 3
and operations
ISO 22320:2011 Societal security
U

•  Emergency management
R

Supply Chain
and security management Listado 4 •  Requirements for incident
T
S

Corruption, Fraud, and ISO 22324:2015 Societal security

Listado 5
E

Counterfeiting •  Emergency management

•  Guidelines for colour-coded

Listado 1
ISO 22397:2014 Societal security
ISO 22300:2012 Societal security •  Guidelines for establishing
•  Terminology partnering arrangements
6
ISO 22301:2012 Societal security
•  Business continuity ISO 22398:2013 Societal security
management systems •  Guidelines for exercises
•  Requirements

ISO 22311:2012 Societal security

•  Video - surveillance ISO 22319* Societal security
•  Export interoperability •  Guidance for involving
volunteers in the response to
ISO/TR Societal security major incidents
22312:2011 •  Technological capabilities
ISO 22325* Societal security
ISO 22313:2012 Societal security •  Emergency management
•  Business continuity •  Guidelines for emergency
management systems
•  Guidance
ISO 22326* Societal security
ISO 22316* Societal security
•  Emergency management
•  Organizational resilience
•  Guidance for monitoring of
•  Principles and guidelines

ISO 22317* Societal security

ISO/TR 22351* Societal security
•  Business continuity
management systems •  Emergency management
•  Business impact analysis (BIA) •  Message structure for exchange

ISO 22318* Societal Security

ISO 22322* Societal security
•  Business continuity
management systems •  Emergency management
•  Guidance for supply chain •  Guidelines for public warning
continuity

* en elaboración

Informes de Normalización
Listado 3 Listado 5

ISO 18788* •  Management system for private ISO 12931:2012 Performance criteria for authen-
security operations tication solutions used to combat
•  Requirements with guidance counterfeiting of material goods
Terminology
ISO 16678:2014 Guidelines for interoperable
object identification and related
Listado 4 authentication systems to deter
counterfeiting and illicit trade
ISO 28000:2007 Specification for security
management systems for the ISO/TS 18482* Security management system
supply chain
•  Guidance for use
ISO 28001:2007 Security management systems for •  Fraud risk assessment guidance
the supply chain
•  Best practices for implementing ISO 34001* Security management system
supply chain security, •  Fraud countermeasures and
assessments and plans
controls
•  Requirements and guidance
ISO 18641* Fraud countermeasures and
ISO 28002:2011 Security management systems for control
the supply chain
•  Development of resilience in •  Terminology
the supply chain
•  Requirements with guidance ISO 19564* Product fraud countermeasures
for use and control
7
•  General principles
ISO 28003:2007 Security management systems for
the supply chain
ISO 19998* Requirements for the content,
•  Requirements for bodies security and issuance of excise tax
providing audit and
stamps
certification of supply chain
security management systems
ISO 20229* Guidelines for establishing
ISO 28004-1:2007 Security management systems for interoperability among object
the supply chain identification systems to deter
•  Guidelines for the implementa- counterfeiting identification and
tion of ISO 28000 illicit trade
•  Part 1: General principles

ISO 28004-3:2014 Security management systems for

the supply chain
•  Guidelines for the implementa-
tion of ISO 28000
•  Part 3: Additional specific
guidance for adopting ISO
28000 for use by medium and
small businesses (other than
marine ports)

ISO 28004-4:2014 Security management systems for

the supply chain
•  Guidelines for the implementa-
tion of ISO 28000
•  Part 4: Additional specific
guidance on implementing
ISO 28000 if compliance with
ISO 28001 is a management
objective

* en elaboración

Informes de Normalización
 3  Escenario europeo

Mandato M/487 “Security Standards”
CEN/TC 391 Social and Citizen Security
CEN/TC 439 Private security Services
En el marco europeo, desde la puesta en marcha
del denominado “Nuevo Enfoque”, que apuesta
por refundir la armonización técnica en la Unión
Europea (UE) sobre una nueva base, limitándose a
armonizar exclusivamente las exigencias esenciales
de los productos y aplicando la «referencia a las
normas» y el principio de reconocimiento recíproco,
de manera habitual se reciben en los comités
europeos de normalización, CEN (Comité Europeo
de Normalización), CENELEC (Comité Europeo de
Normalización Electrotécnica) y ETSI (Instituto
Europeo de Normas de Telecomunicación),
Mandatos emitidos por la Comisión Europea para
el desarrollo de programas de normalización, en su
calidad de organismos competentes para elaborar
normas europeas armonizadas en el ámbito de
8 aplicación de una Directiva o Reglamento.

En el ámbito que nos ocupa se han puesto en

marcha varios órganos técnicos y de estrategia en
el marco de CEN, CENELEC y ETSI, cuyo objetivo es
dar respuesta a varios Mandatos de Normalización
y otros que puedan llegar en el corto plazo, a través
de la elaboración de normas, informes y otros
entregables (especificaciones o informes técnicos)

urity Standa
7 “Sec rds
/48 ”
:C
M

EN
ato

/TC 3
Mand

Actuaciones
91

momento
actual
C 43 9
s
R e e g u ri

icio
de S

uc
str

N /T
rv

Se
e

tur
a ció n d e los
CE

da o
dP
riv a d u ev
a en un N

Informes de Normalización
 Mandato M/487
Han transcurrido algo más de dos años desde
“Security Standards”
la publicación de las normas internacionales del
Con el objetivo de apoyar la implantación de modelo ISO 22300, durante los que ha ido creciendo
la DIRECTIVA 2008/114/CE de Protección de su importancia a nivel mundial tanto en empresas
Infraestructuras Críticas, la Comisión Europea lanza de Tecnologías de la Información y Comunicaciones 9
un Mandato de Normalización a CEN-CLC-ETSI (TIC) como en todas aquellas que dependen, en
para el desarrollo de un programa de normas en el mayor o menor medida, de dichas tecnologías; la
ámbito de la Seguridad, el denominado M/487. banca es un buen ejemplo de ellas. Este aumento
de la concienciación ha derivado en la decisión
Para dar respuesta al MANDATO DE SEGURIDAD, del Comité Europeo CEN/TC 391 de adoptar las
se crea el comité europeo CEN/TC 391 “Protección normas de la serie ISO como normas europeas.
y seguridad de los ciudadanos”, que tras una A su vez, todos los organismos nacionales de
primera fase de trabajo, ha elaborado un estudio normalización miembros de CEN las han adoptado
del escenario actual, en el que se identifican 4 en sus países respectivos. Es el caso de España, que
objetivos de actuación prioritarios: se han publicado, en enero de 2015, las Normas
UNE-EN ISO 22301 y UNE-EN ISO 22313. Disponer
• Seguridad de los Ciudadanos, de estas normas en el ámbito europeo y nacional
• Seguridad en Fronteras, acercará los Sistemas de Gestión de la Continuidad
• Seguridad de Infraestructuras y Servicios del Negocio (SGCN) a las organizaciones, y en
• Gestion de Emergencias. especial a las pymes.

En la segunda fase de respuesta al M/487 y para Tradicionalmente, los Planes de Continuidad,

la consecución de los objetivos prioritarios de que complementan a los antiguos Planes de
actuación, el TC 391 se va estructurando en grupos Contingencia Tecnológica, se han asociado a
responsables de áreas específicas. En el momento grandes compañías que necesitan reaccionar
actual cuenta ya con 5 documentos publicados y de forma inmediata ante cualquier evento que
varios proyectos en su programa de trabajo. interrumpa sus servicios. La realidad es que
cualquier organización puede sufrir un incidente
El último grupo creado en la estructura del TC 391 que afecte a su continuidad y, dependiendo de
es el encargado del ámbito de gestión de crisis y la forma en que se gestione dicho incidente, las
protección civil, para dar cobertura a la necesidad consecuencias pueden ser más o menos graves.
de contar con normas europeas en este campo. Últimamente se ha popularizado el término
Dentro de este área de actuación, la continuidad resiliencia para referirse a la capacidad de
del negocio se ha convertido en un objeto de recuperación ante desastres conseguida por una
preocupación cada vez más común. organización gracias a su SGCN.

Informes de Normalización
 CEN/TC 391 Societal and Citizen Security

Healthcare
Listado 1
E S T R U C T U R A
Facilities

CBRN Listado 2

Crisis management
Listado 3
/civil protection

Listado 1

CEN/TS 16850 •  Societal and Citizen Security - Guidance for

managing security in healthcare facilities*
*en elaboración

Futuros desarrollos: •  Full Facepiece Air Purifying Respirators

10

Listado 2

CEN/TS 16595:2013 •  CBRN - Vulnerability Assessment and Protection of

People at Risk

Futuros desarrollos: •  Glossary for the CBRN-E area

•  Streamlining education, exercise and training in the
CBRN-E area

Listado 3

EN ISO 22300:2014 •  Societal security – Terminology

EN ISO 22301:2014 •  Societal security - Business continuity management

systems – Requirements

EN ISO 22311:2014 •  Societal security - Video-surveillance - Export

interoperability

EN ISO 22313:2014 •  Societal security - Business continuity management

systems – Guidance

Futuros desarrollos: •  Glossary for Crisis Management

•  Debrief principles for Pan-European exercises and
cross-border crises
•  Guidance for emergency response Planning
•  Map objects and geospatial based information.

Informes de Normalización
 Reestructuración de los
desarrollos en el campo de los
Servicios de Seguridad Privada
En el mes de febrero, se ha aprobado la nueva
organización de varios grupos europeos que
venían trabajando en el campo de los servicios de
seguridad privada, bajo un nuevo comité europeo,
que además establecerá una coordinación con los
trabajos en desarrollo en el comité CEN/TC 391,
con objeto de alinear el conjunto de los trabajos NEW CEN/TC 439
normativos europeos bajo el marco de la seguridad. Private security 11
El nuevo comité CEN/TC 439 absorbe los anteriores
services
órganos técnicos para dar respuesta a las demandas
de normalización en los ámbitos de servicios
de seguridad en diferentes sectores: aviación,
marítimo, financiero, grandes eventos, logística
y transporte, entre otros.

Airport and aviation

security services
EN 16082:2011
Airport and aviation
security services.

Maritime and port

Security services security services
EN 15602:2008 EN 16747:2015
Security services. Maritime and port
Providers. security services.
Terminology.

Informes de Normalización
0 1 0 0 1 0 1 1 0 0
1
1 0 0 0 1 1 0
0 1 1 0
0
1
0
0 0 0 0
0 0 0 0 00 0
0
1

Cc Ii Bb Ee Rr Ss Ee
0
1 0 0
1 0 1
1 1 1
0 0 1 0

0 0 0 1 0
1 0
0
1 0
0 0 0

04
0 0
0 1 0 0 0 0
1 1

0 Cibers1egurid 1
ad
0 1
0
0 1
0
0 1 0 1 0
1
0
1
1 0
0 1 0
0 0 1
0 y cuyos0objetivos
1 0
Se dedica un 0 0
capítulo a la Ciberseguridad1debido
1 0 1 a0 0 de la Estrategia0 de Ciberseguridad
1 las Tecnologías1de la Información,
0 resultados
0
la aprobación 1
pueden 0 a la consecución de los
contribuir
0 1
0 0 0
Nacional, a finales de 2013, que1 ha puesto en
1 el Consejo
marcha
1 0
de Ciberseguridad Nacional,
0
0 Digital0para España
Agenda
1 1 0 1
de la Estrategia0Nacional de Ciberseguridad y de la
0
1 1 y ha permitido0elaborar el Plan0Nacional de
0 1 0 0 1
0 Ciberseguridad
1
0 y articular las acciones de los 0
Actuaciones
0
1 a nivel
1 Europeo:
0 1 por1solicitudes emitidas por0la Comisión
0
0
distintos actores
1 con competencias en esta materia
1 Nacional de
con el fin de construir un Sistema
Las actuaciones0 a nivel europeo están dirigidas
su mayoría
en

0 1 0
Ciberseguridad.
0 1
Europea a los organismos europeos de normalización
1 0 o en
1 A0continuación se hace referencia a una serie de
para el desarrollo de programas de normas y
1 de apoyo a legislación existente
documentos
0 1
documentos y órganos de trabajo funcionado a nivel desarrollo. 1
internacional que son el referente de actuación en El siguiente cuadro resume los actuales desarrollos e
0 lo que respecta a la normalización en el ámbito de iniciativas aprobadas:

1 Directiva / Reglamento / Iniciativa Mandato de Normalización Actuaciones CEN-CENELEC-ETSI

0 Smart Grid Coordination

1 Futura DIRECTIVA del Parlamento

Group-Working Group
“Security” (WG SGIS):
• Security of Smart Grid
12 europeo y del Consejo relativa a M/490 Mandato de normalización en apoyo
applications
medidas para garantizar un elevado al desplieque de las Smart Grid en Europa • Information Security
nivel común de seguridad de las • Privacy
redes y de la información en la Unión • Assess of information
security risks
(Directiva NIS)
Futuro Mandato de normalización en apoyo
A la espera
a la implementación de la Directiva NIS

• Cyber Security standardization ACTION CEN-CENELEC-ETSI

PLAN: Este Action Plan recoge un total Cybersecurity Coordination
de 9 recomendaciones (entre ellas, por Group:
ejemplo la R5: petición a la CE de la • White Paper No. 01’Recom-
autorización al CSCG para coordinar los mendations for a strategy
trabajos de normalización necesarios para on European Cyber Security
la creación de un sello de cyber seguridad standardization
para los productos y servicios TIC,)”
• Otras recomendaciones CE: Establishing
a Cyber Security Standards roadmap

• ACTION PLAN for establish a Trusted

Cloud in Europe:
• Data Protection in Cloud Services
• Service Level Agreement (SLA)
• Security Certification Schemes
Mandato de normalización en apoyo a la CEN/CLC-JWG 8 “Privacy
implantación de sistemas gestión de la Management”
privacidad en el diseño y desarrollo, en
los procesos de producción y provisión de
Futuro REGLAMENTO europeo
servicios de TI
de protección de datos
y privacidad Posibilidad de emisión de Mandato
de Normalización a CEN/CENELEC/ETSI en
A la espera
apoyo al futuro Reglamento europeo de
Protección de Datos

Informes de Normalización
0
0

Gg Uu Rr Ii Dd Aa Dd
0
0

Marco Internacional IEC (Comisión Electrotécnica Internacional), además

En el marco internacional el referente para los de mantener una estrecha coordinación con la UIT
desarrollos y producción de normas es el comité (Unión Internacional de Telecomunicaciones).
denominado ISO/IEC JTC1 “Tecnologías de la
Información”, comité internacional, conjunto entre Este comité es el responsable de los modelos y
los dos organismos internacionales de normalización series de normas internacionalmente reconocidas
ISO (Organismo Internacional de Normalización) e cómo las que se indican a continuación:

13
Seguridad de las TIC
Modelo ISO 27000 Gestión de la seguridad de la Información (SGSI)
Serie ISO 27032 Directrices para ciberseguridad
Serie ISO 27033 Seguridad de las redes
Serie ISO 18028 Seguridad de las redes de TI
Serie ISO 27034 Seguridad de las aplicaciones
Serie ISO 27035 Gestión de incidentes de seguridad de TI
Serie ISO 27050 Gestión de los procesos de investigación (e-Discovery)
Serie ISO 27040 Gestión de evidencias digitales
Serie ISO 27036 Gestión de la seguridad de la información en relaciones con terceros
Serie ISO 24760 Gestión de la identidad y privacidad
Serie ISO 29190 Modelo de evaluación de la privacidad
Serie ISO 17789 Arquitectura de servicios CLOUD

Gestión y Gobierno de TIC

Modelo ISO 20000 Gestión de los servicios de TI (SGSTI)
ISO 20000-7 Gestión de los servicios de Cloud
Serie ISO 38500 Gobierno corporativo de las TI

Ingeniería del Software y los Sistemas

Serie ISO 15408 Criterios de evaluación de la seguridad de TI (Common Criteria)
Modelo ISO 33000 Evaluación de procesos de software (SPICE)
(antes serie ISO 15504)
Serie ISO 19770 Gestión de activos de software (SAM)
Serie ISO 25000 Calidad de producto software (SQuaRE)
Serie ISO 29119 Pruebas de software

Informes de Normalización
 5  Riesgos derivados de no participar
en los trabajos de Normalización
Beneficios de la Normalización las normas para proteger los intereses de los
usuarios y de los mercados, y para apoyar las
¿Por qué participar? políticas públicas. Las normas desempeñan un
Las normas técnicas se desarrollan mediante papel central en la política de la Unión Europea
la participación de una amplia gama de partes para el Mercado Único.
interesadas en las actividades de normalización
a nivel nacional en los Comités Técnicos de • Interoperabilidad - La capacidad de los
Normalización de AENOR y a través de estos, dispositivos para funcionar en conjunto se
como delegaciones y expertos nacionales, fundamenta en que los productos y servicios
también a nivel europeo. Estos grupos de cumplan con las normas.
interés son: representantes de las empresas y la
industria (incluidas las PYME); las organizaciones • Ventajas para la empresa - La normalización
de consumidores; los colegios profesionales; proporciona una base sólida sobre la que
organismos de certificación , ensayos e inspección; desarrollar nuevas tecnologías y mejorar
organizaciones ambientales y sociales; las las prácticas existentes. Específicamente las
autoridades públicas y los organismos encargados normas:
de hacer cumplir la legislación, las asociaciones • Facilitan el acceso al mercado
sectoriales, sindicatos, instituciones educativas, • Proporcionan economías de escala
14 centros de investigación, etc. La participación en • Fomentan la innovación
las actividades de normalización permite a estos • Aumentan el conocimiento de iniciativas y
grupos de interés: avances técnicos.

• Adquirir conocimiento detallado de las normas

y de esta manera, anticipar las necesidades y
tendencias.
• Influir en el contenido de las normas y
garantizar que sus necesidades específicas se
tienen en cuenta.
• Establecer contactos con otras partes
interesadas, los expertos y los reguladores,
tanto a nivel nacional como europeo.
• Contribuir a la elaboración de normas que
garanticen una mayor seguridad, prestaciones,
eficiencia e interoperabilidad de los productos
y/o servicios.

Las normas proporcionan:

• Seguridad y fiabilidad - El cumplimiento de
las normas ayuda a garantizar la seguridad, la
fiabilidad y el cuidado del medio ambiente.
Como resultado, los usuarios perciben los
productos y servicios estandarizados como más
fiables - esto a su vez aumenta la confianza
del usuario, contribuyendo al aumento de
las ventas y a la asimilación de las nuevas
tecnologías.

• Apoyo a las políticas públicas y a la legislación
El legislador, con frecuencia hace referencia a

Informes de Normalización
 • Para el consumidor - Las normas constituyen • Mediante el cumplimiento de estas normas,
la base para nuevas características y opciones, los fabricantes y los proveedores pueden
lo que contribuye a la mejora de nuestra vida demostrar que cumplen con la legislación
cotidiana. La producción en masa basada en pertinente, facilitándose así su acceso a la
normas proporciona una mayor variedad de totalidad del mercado europeo.
productos accesibles a los consumidores.
El papel de las normas en el logro
Las Normas Europeas permiten a los de la interoperabilidad
fabricantes y proveedores acceder a los Uno de los motivos principales para el
mercados europeos desarrollo de normas de TIC es el de facilitar
• La Comisión Europea armoniza los requisitos la interoperabilidad entre los productos en
de obligado cumplimiento para los productos y un entorno multi - proveedor , multi - red
servicios TIC a través de directivas, reglamentos y multi- servicio. Las propias normas deben
y decisiones. diseñarse y verificarse para garantizar que
los productos y servicios que cumplan con
• Para el desarrollo de dichos requisitos, así como ellas garantizan la interoperabilidad.
para apoyar el despliegue de sus políticas, la
Comisión envía mandatos a los organismos Los productos y sistemas complejos se basan
europeos de normalización CEN, CENELEC y a menudo en múltiples estándares de varias
ETSI, con propuestas para desarrollar normas organizaciones productoras de normas,
europeas. o sobre los requisitos publicados por los foros
industriales privados. Por lo tanto, resulta
• Estas normas, elaboradas por los expertos de gran importancia garantizar la coordinación
nacionales designados por los organismos y la coherencia en los desarrollos normativos
nacionales de normalización, proporcionan los de los diferentes organismos, en particular 15
detalles técnicos necesarios para dar soporte a cuando su objeto sea contribuir al despliegue
dichas políticas o legislaciones. de políticas públicas.

Informes de Normalización
 5  Riesgos derivados de no participar
en los trabajos de Normalización
Riesgos derivados de no participar En este marco, los riesgos para España derivados de
en los trabajos de Normalización no participar en los trabajos de Normalización serían,
Teniendo en cuenta el creciente peso de los entre otros,
organismos europeos e internacionales en la • La no consideración en las normas europeas de:
co-regulación de un gran número de actividades, • Desarrollos reglamentarios nacionales ya
resulta evidente la necesidad de asegurar que los existentes o de condiciones nacionales
representantes españoles en los mismos cuenten particulares,
con todos los medios necesarios para realizar una • La tecnología desarrollada por las empresas
defensa firme de los intereses del sector, reforzando nacionales,
la coordinación entre los organismos competentes • Las necesidades de las Pyme y consumidores
y orientando las acciones a la consecución de los españoles, con mayores dificultades
objetivos económicos e industriales. Al igual que para participar directamente en foros o
hacen otros países de nuestro entorno, España consorcios privados,
tiene la oportunidad de hacer valer su peso político • El conocimiento que existe y se está
e institucional para garantizar el desarrollo de su generando constantemente a nivel nacional
industria, muy especialmente en el marco de la en diferentes entidades, públicas o privadas,
Unión Europea. en los ámbitos cubiertos por las políticas
16 públicas europeas,
En la actualidad son numerosas las iniciativas de
normalización europea promovidas por la Comisión • La falta de influencia en el desarrollo de
Europea a través de mandatos de normalización mandatos de la Comisión Europea a los
a los organismos europeos de normalización, Organismos Europeos de Normalización, CEN,
CEN, CENELEC y ETSI cuyo objeto es dar apoyo al CENELEC y ETSI,
despliegue de las políticas europeas en materia de
seguridad. • La falta de coordinación entre las partes
interesadas, con particular importancia entre
La utilización por la Comisión Europea de este las diferentes Administraciones Públicas
mecanismo de desregulación, al que los actores con competencias en materias específicas
del sector pueden no están habituados, unido a relacionadas con la seguridad y en particular con
la escasez de recursos disponibles por parte de la ciberseguridad,
los mismos, ha generado, lamentablemente, que
la participación y por lo tanto la influencia de los • La ausencia de interoperabilidad para productos/
intereses españoles en estos procesos, esté lejos de servicios españoles desarrollados de acuerdo a
ser la deseable para el peso de nuestro país. normas europeas en cuyo desarrollo no se haya
participado,

• El riesgo de utilizar en apoyo a reglamentaciones

o licitaciones públicas normas europeas en cuyo
desarrollo no se haya participado (o no se haya
garantizado la oportunidad de que todas las
partes interesadas hayan podido hacerlo),

• Los fuertes se hacen más fuertes (Alemania,

Francia, Reino Unido, lideran activamente
a través de la influencia de sus organismos
nacionales de normalización, DIN
(Ciberseguridad), AFNOR (Seguridad privada,
Smartcities…), BSI (TIC)

Informes de Normalización
 Para minimizar dichos riesgos se hace público-privada que representa el sistema
imprescindible desarrollar vías que optimicen de normalización y en particular a AENOR
y garanticen la participación de los intereses como organismo legalmente responsable
españoles en los desarrollos de normalización de la elaboración de normas UNE,
europea e internacional, mediante el impulso y como miembro español de los organismos
sostenible del mecanismo de colaboración europeos e internacionales de normalización.

17

Informes de Normalización
 AENOR es el organismo COPANT
de normalización español en:
(+34) 914 326 007 - normalizacion@aenor.es

www.aenor.es