¿Cómo afecta el Esquema Nacional de Seguridad a la contratación pública?
En un entorno en el que los ciberataques contra las Administraciones Públicas han aumentado un 455% en 2022, según ha alertado la firma de ciberseguridad española Aiuken con datos de su Observatorio de Respuesta contra Ciberataques, es preciso aumentar el nivel de seguridad de la información en las Administraciones Públicas que utilizan y contratan herramientas digitales. El Esquema Nacional de Seguridad (ENS) establece requisitos a tener en cuenta al contratar herramientas de software y digitales para garantizar la seguridad de la información.
El año pasado se publicaba el Real Decreto 311/2022, cuyas disposiciones aplican tanto al sector público, como a sus proveedores tecnológicos del sector privado. Se impone la obligación de contar con una política de seguridad cuando se presten servicios o provean soluciones a las entidades del sector público, circunstancia que se manifestará con la exhibición del correspondiente distintivo de conformidad. Y se establece que el Organismo de Certificación del Centro Criptológico Nacional (CCN) será el responsable de determinar los requisitos exigibles a cada producto o servicio de Seguridad TIC en materia de certificaciones y/o evaluaciones adicionales.
En base a estas competencias, el CCN ofrece un Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC), con la finalidad de ofrecer a los organismos de la Administración un conjunto de productos o servicios STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas.
El Real Decreto se refiere a productos TIC como elemento o grupo de elementos de las redes o los sistemas de información, siendo sistemas de información las redes de comunicaciones electrónicas. Por lo tanto, la norma aplica tanto a software SaaS (en la nube) y on-premise (en local), como a servicios de soporte. Sin embargo, no aplica a compras de hardware o licencias (a excepción de productos y servicios de seguridad).
¿Qué sucede con las soluciones informáticas preexistentes con las que prestan servicios las Administraciones Públicas?
El Real Decreto establece el 2 de mayo de 2024 como plazo máximo para alcanzar su plena adecuación al ENS.
¿Y respecto a las nuevas adquisiciones de bienes y servicios TIC?
El RD traslada la responsabilidad a las entidades públicas contratantes de notificar a los proveedores del sector privado la obligación de que las soluciones y servicios que provean sean conformes al ENS y hace referencia a que los Pliegos de Prescripciones Administrativas o Técnicas “contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.” Y continúa, “esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.”
En la práctica, esta adecuación al ENS se ha venido recogiendo en los Pliegos de diferentes maneras. Sin embargo, no es recomendable hacerlo condición de solvencia técnica que limita la concurrencia. Es preferible incluir dicha exigencia en los pliegos como prescripción técnica, en la medida en que se trata de un requisito que define las características mínimas que ha de reunir un producto o servicio. Por otro lado, también puede configurarse como una condición de ejecución del contrato.
En el apartado FAQ de la web del ENS (https://ens.ccn.cni.es/es/que-es-el-ens/faq) se aporta un posible ejemplo de inclusión en un pliego para la contratación de estos servicios y soluciones digitales:
“El artículo 2 del vigente Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, dispone que los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación del real decreto del ENS contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el mismo de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS. Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
En consecuencia, la ENTIDAD CONTRATANTE, considera necesario que los proveedores que vayan a concurrir a la licitación deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, aceptándose en su lugar, no obstante, una Declaración de Conformidad con el ENS, únicamente cuando se haya declarado categoría BÁSICA del sistema para el que concurren.
Así pues, en base a lo anterior, y al análisis de los riesgos a los que están expuestos los suministros y servicios objeto de la licitación, la ENTIDAD CONTRATANTE establece como necesario que la ENTIDAD LICITADORA deberá estar en condiciones de exhibir la correspondiente Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad, para la categoría de seguridad [indicar la CATEGORÍA], o superior, de los sistemas que intervengan en la prestación de los servicios indicados, así como mantener la conformidad en vigor durante la vigencia del contrato. Dicha declaración, o certificado, de conformidad con el ENS se entiende que debe abarcar en su alcance, como mínimo, el ámbito objeto de la contratación.
En el supuesto de que el adjudicatario no pudiera mantener la conformidad con el ENS durante la vigencia del contrato -por pérdida, retirada o suspensión de la Certificación de Conformidad o imposibilidad de mantener la Declaración de Conformidad-, deberá comunicar esta circunstancia, de forma inmediata y sin dilación indebida, a la ENTIDAD CONTRATANTE, quien considerará el impacto de dicha circunstancia en la prestación objeto del contrato”.
Asimismo, el CCN ofrece en su web una relación donde pueden consultarse los organismos certificados
sean Administraciones públicas o empresa privada:
- Administraciones Públicas: Certificados (cni.es)
- Empresas privadas: Empresas Certificadas en el ENS (cni.es)
ANIMSA está certificada desde 2019 y asesora a sus clientes en esta materia.