Informazioaren segurtasuna bermatzeko, software-tresnak eta tresna digitalak kontratatzean kontuan hartu beharreko zenbait betebehar ezartzen ditu Segurtasunaren Eskema Nazionalak (ENS).

2022an, administrazio publikoen aurkako zibererasoek % 455 egin dute gora, Aiuken zibersegurtasun-enpresa espainolak Zibererasoei Erantzuteko Behatokiko datuetan oinarrituta ohartarazi duenez. Hori dela eta, informazioaren segurtasun-maila handitu behar da tresna digitalak erabiltzen eta kontratatzen dituzten administrazio publikoetan.

Iaz, 311/2022 Errege Dekretua argitaratu zen, eta haren xedapenak sektore publikoari eta sektore pribatuko haien hornitzaile teknologikoei aplikatzen zaizkie. Haren arabera, sektore publikoko erakundeei zerbitzuak edo soluzioak ematean, segurtasun-politika bat izan beharko da, eta, hori frogatzeko, dagokion adostasun-bereizgarria erakutsiko da. Halaber dio Kriptologia Zentro Nazionaleko (CCN) Ziurtapen Erakundea arduratuko dela ziurtagiri edo ebaluazio gehigarriei dagokienez IKTetako segurtasuneko produktu edo zerbitzu bakoitzari eska dakizkiokeen betebeharrak zehazteaz.

Eskumen horietan oinarrituta, CCNk Informazioaren eta Komunikazioaren Teknologietako Segurtasun Produktu eta Zerbitzuen Katalogo bat (CPSTIC) eskaintzen du, administrazioko erakunde guztiei IKTetako segurtasunean erreferentzia diren eta erosteko xedearekin erlazionatutako segurtasun-funtzioak ziurtatuta dauzkaten produktu edo zerbitzu batzuk eskaintzeko.

CCN-STIC 105 gidarako sarbidea. Informazioaren eta Komunikazioaren Teknologietako Segurtasun Produktuen Katalogoa, CPSTIC

Sareetako edo informazio-ekosistemetako elementu edo elementu-multzo gisa aipatzen ditu Errege Dekretuak IKTetako produktuak. Informazio-sistema horietako bat komunikazio elektronikoen sareak dira. Horrenbestez, SaaS (hodeikoa) eta on-premise (lokala) softwareari eta euskarri-zerbitzuei aplikatzen zaie araua. Hala ere, ez zaie aplikatzen hardware- edo lizentzia-erosketei (segurtasun-produktu eta -zerbitzuak salbu).

Zer gertatzen da administrazio publikoek zerbitzuak emateko erabiltzen dituzten lehengo soluzio informatikoekin?

Errege Dekretuak dio 2024ko maiatzaren 2a izango dela ENSera erabat egokitzeko azken eguna.

Eta IKTetako ondasun eta zerbitzu erosi berriekin?

EDak dio erakunde publiko kontratatzaileen erantzukizuna dela sektore pribatuko hornitzaileei jakinaraztea ematen dituzten soluzio eta zerbitzuek ENSekin bat etorri behar dutela, eta hau dio administrazio-baldintzen edo baldintza teknikoen agiriei buruz: “kontratistek emandako zerbitzuen euskarri diren informazio-sistemak ENSekin bat datozela ziurtatzeko beharrezko betebehar guztiak bilduko dituzte; besteak beste, ENSekin bat etortzeari buruzko adierazpenak edo ziurtagiriak.”  Eta, gero, hau: “zuhurtzia hori kontratista horien hornidura-kateari ere aplikatuko zaio, behar den heinean eta dagokion arrisku-analisiaren emaitzen arabera.”

Praktikan, era askotara jaso da baldintza-agirietan ENSera egokitzeko behar hori. Hala ere, ez da gomendagarria lehia mugatzen duen kaudimen teknikoko baldintza bihurtzea. Hobe da eskakizun hori baldintza tekniko gisa jasotzea baldintza-agirietan, produktu edo zerbitzu batek izan behar dituen gutxieneko ezaugarriak definitzen dituen betebehar bat den heinean. Bestalde, kontratua betearazteko baldintza gisa ere konfigura daiteke.

ENSen webguneko maiz egiten diren galderen atalean (https://ens.ccn.cni.es/es/que-es-el-ens/faq), zerbitzu eta soluzio digital horiek kontratatzeko baldintza-agiri batean jasotzeko adibide posible bat ematen da:

“311/2022 Errege Dekretuak, maiatzaren 3koak, Segurtasunaren Eskema Nazionala arautzen duenak, 2. artikuluan dio ENSen errege-dekretuaren aplikazio-eremuan sartutako sektore publikoko erakundeek egiten dituzten kontratuen administrazio-baldintzen edo baldintza teknikoen agiriek kontratistek emandako zerbitzuen euskarri diren informazio-sistemak ENSekin bat datozela ziurtatzeko beharrezko betebehar guztiak bilduko dituztela; besteak beste, ENSekin bat etortzeari buruzko adierazpenak edo ziurtagiriak. Zuhurtzia hori kontratista horien hornidura-kateari ere aplikatuko zaio, behar den heinean eta dagokion arrisku-analisiaren emaitzen arabera.

Ondorioz, ERAKUNDE KONTRATATZAILEAK beharrezkotzat jotzen du lizitazioan parte hartuko duten hornitzaileek Segurtasunaren Eskema Nazionalarekin bat etortzeari buruzko ziurtagiria aurkeztea; hala ere, halakorik ezean, ENSekin bat etortzeari buruzko adierazpen bat aurkeztu beharko da, soil-soilik lizitazioko sistema OINARRIZKO kategoriakoa baldin bada.

Horrenbestez, aurrekoan oinarrituta, eta lizitazioaren xede diren hornidura eta zerbitzuek dituzten arriskuen analisia kontuan hartuta, ERAKUNDE KONTRATATZAILEAK beharrezkotzat jotzen du ERAKUNDE LIZITATZAILEAK Segurtasunaren Eskema Nazionalarekin bat etortzeari buruzko adierazpena edo ziurtagiria aurkeztea adierazitako zerbitzuak emateko behar diren sistemei dagokienez, [adierazi KATEGORIA] segurtasun-kategoriarako edo goragoko kategoriarako, baita kontratua indarrean den bitartean sistema horiek ENSekin bat etortzen jarraitzea ere. ENSekin bat etortzeari buruzko adierazpen edo ziurtagiri horrek kontratazioaren xede den eremua hartu behar du barnean, gutxienez.

Kontratua indarrean den bitartean adjudikaziodunak ez badu lortzen sistemek ENSekin bat etortzen jarraitzea (bat etortzeari buruzko ziurtagiria galdu duelako, kendu egin zaiolako edo eten egin zaiolako, edo bat etortzeari buruzko adierazpenari eutsi ezin izan diolako), berehala eta atzerapen bidegaberik gabe eman behar dio horren berri ERAKUNDE KONTRATATZAILEARI, eta hura arduratuko da horrek kontratuaren xede diren zerbitzuetan zer eragin duen aztertzeaz.”

ANIMSA 2019tik dago ziurtatuta, eta bezeroei aholkularitza ematen die arlo honetan.