¿QUÉ ES EL ENS? ¿DEBEN APLICARLO LAS EMPRESAS PRIVADAS?

En el artículo de hoy, hablamos del Esquema Nacional de Seguridad y en consecuencia, lo hacemos indudablemente de las Administraciones Públicas pero, ¿y el sector privado?.

Las Administraciones en su relación con los ciudadanos deben asegurar que la información manejada se custodiará adecuadamente, al fin y al cabo, la ciudadanía confía en que los servicios públicos disponibles por el medio electrónico, se presten en unas condiciones de seguridad equivalentes a las que se encuentran cuando acuden personalmente las oficinas.
El Esquema Nacional de Seguridad es el encargado de crear las condiciones necesarias a través de unos PRINCIPIOS BASICOS y unos REQUISITOS MINIMOS cuyo fin es garantizar a los ciudadanos que su información se custodiará y usará adecuadamente, creando un sistema de gestión de la seguridad de su información fiable.

Tal y como establece el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, la adecuación ordenada al ENS requiere abordar las siguientes cuestiones aplicando las medidas de seguridad correspondientes en cada caso:

Resulta evidente que la adecuación al ENS es un proceso complejo, que requiere de expertos cualificados en la materia, que logren una óptima gestión de los sistemas en lo que a verificación de riesgos y restablecimiento de la información se refiere.

Ámbito de aplicación.

Como ya comentábamos, cuando abordamos el tema del ENS y los sujetos obligados a su aplicación debemos incluir a las administraciones públicas. El ENS se encuentra regulado en el RD3/2010 modificado por el RD 951/2015 de 23 de octubre, de 8 de enero, cuyo ámbito subjetivo de aplicación encontramos recogido en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público comprendiendo en este caso a:

 La Administración General del Estado.

 Las Administraciones de las CCAA. 

 Las Entidades que integran la Administración Local.

 El sector público institucional. 

Este último punto, el sector público institucional, requiere entrar en detalle precisando los sujetos que engloba por ser una de las claves para resolver la duda suscitada al inicio de este artículo con respecto al sector privado, por ello, la Ley 40/2015 entiende como sector público institucional:

a. Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.

b. Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas.

c. Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.

Como observamos en el apartado b), a todos los efectos, las entidades de derecho privado vinculadas o dependientes de las AAPP adquieren la condición de sujeto obligado por el Esquema Nacional de Seguridad.

Asimismo, y vinculado con lo anteriormente expuesto, la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad en su capítulo VII dispone que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad”.

Por tanto, las entidades privadas que ejerzan como proveedores de servicios TI deberán contar con una gestión y un nivel de madurez de seguridad equivalente al que tiene implantado la entidad a la que prestan servicios y del mismo modo deben contar con la capacidad de acreditar de forma fehaciente su adecuación al ENS.

Nos encontramos pues, ante un requisito indispensable dentro del sector privado y más aún si tenemos en cuenta, que en los concursos públicos en los que se exija, una de las principales consecuencias de la negativa a cumplir con el ENS por parte de la entidades privadas supone una inobservancia del artículo 84 del Reglamento General de la Ley de Contratos de las Administraciones Públicas, provocando la imposibilidad de concurrir a la licitación.