¿Tengo que hacer el Esquema Nacional de Seguridad?

ADMINISTRACIONES PÚBLICAS

¿Es obligatorio para una Administración Pública securizar sus sistemas de información siguiendo el ENS – Esquema Nacional de Seguridad?

La respuesta es Sí. Toda empresa pública que cuente con más del 51% del capital público, debe implementar el ENS. La obligatoriedad la establece el propio RD 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad de cuando señala en su Artículo 2. Ámbito de aplicación:

  1. El presente real decreto es de aplicación a todo el sector público, en los términos en que este se define por el artículo 2 de la Ley 40/2015, de 1 de octubre, y de acuerdo con lo previsto en el artículo 156.2 de la misma.

El sector público, por tanto, se define en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público,  como:  Artículo 2. Ámbito Subjetivo.

  1. La presente Ley se aplica al sector público que comprende: 
  1.                                   a) La Administración General del Estado. 
  1.                                   b) Las Administraciones de las Comunidades Autónomas. 
  1.                                   c) Las Entidades que integran la Administración Local. 
  1.                                   d) El sector público institucional. 
  1. El sector público institucional se integra por: 
  1.                                   a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas. 
  1.                                   b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades  administrativas. 
  1.                                   c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley. 
  1. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2.

¿A quién puedo consultar para re-confirmar que el Esquema Nacional de Seguridad es obligatorio?

  1. En la Sindicatura de Cuentas que además, hacen ENS y Auditoría
  2. La Consejería
  3. Centro Criptológico Nacional

En  su guía “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” detalla el ámbito de aplicación, tanto desde el punto subjetivo, que hace referencia expresa a todas las entidades locales, como desde el punto de vista material, que señala el alcance a los sistemas de información manejados:

En concreto se establece:

  1. El ámbito de aplicación subjetivo, en el apartado 2, concretando qué entidades están obligadas.
  2. El ámbito material de aplicación, en el apartado 3, concretando sobre qué sistemas se debe aplicar. En el apartado 3.2 cita algunos ejemplos, entre los que se encuentran:
    1. La gestión de la contabilidad, por ser un sistema de información para el cumplimiento de deberes de la entidad.
    2. La gestión de recursos humanos, por ser un sistema de información para el ejercicio de derechos de los empleados.
    3. La tramitación legislativa, por ser un sistema de información para el desarrollo de las funciones competencias de la entidad.
    4. La gestión tributaria, por ser un sistema de información para el desarrollo de las funciones competencias de la entidad.

En su apartado 2.2.6, ejemplos de ENTIDADES DE DERECHO PRIVADO VINCULADAS O DEPENDIENTES DE LAS COMUNIDADES AUTÓNOMAS.

Para la Comunidad Autónoma de Canarias se mencionan:

  • Cartográfica de Canarias, S.A.
  • Gestión de Servicios para la Salud y Seguridad en Canarias, S.A.
  • Instituto Tecnológico y de Energías Renovables, S.A.
  • Promotur Turismo Canarias, S.A.
  • Sociedad Canaria de Fomento Económico, S.A. (PROEXCA).
  • Radio Televisión de Canarias.

¿Es obligatorio en los procesos de licitación pública solicitar a la empresa proveedora de servicios que cuente con el ENS?

La aplicación del ENS a sistemas de información de entidades del sector privado y a su cadena de suministro cuando presten servicios o provean soluciones, se establece, también en el propio RD 311/2022 cuando señala, en su artículo 2 apartado 3:

  1.  Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones                                                          a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

      La política de seguridad a que se refiere el artículo 12 será aprobada en el caso de estas entidades por el órgano que ostente las máximas competencias ejecutivas.

     Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.

 Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.

En el tercer párrafo se hace mención expresa a la inclusión del ENS en los pliegos de las licitaciones. Como comentamos la no inclusión del ENS sería causa de anulación del proceso. Adjunto documento con decreto de anulación del Servicio de Contratación del Cabildo de Gran Canaria.

El Cabildo de Gran Canaria cuenta con su Registro de Actividades publicado en su página web, esto también es cumplir con la PROTECCIÓN DE DATOS, es de obligado cumplimiento contratar un Delegado de Protección de Datos por parte de las Administraciones Públicas y, deben estar comunicados en el plazo de 10 días máximo a la Agencia Española de Protección de Datos.

PROVEEDORES DE SERVICIOS QUE TRABAJAN CON LAS ADMINISTRACIONES PÚBLICAS