Recientemente se ha regulado la normativa de aplicación del Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica para los Contratos del Sector Público.
Eso significa que, en conformidad con el Esquema Nacional de Seguridad y teniendo en cuenta la obligación de cumplir con el Real Decreto 311/2022, de 3 de mayo por el que se regula, las Empresas Licitadoras deben de estar preparadas para su aplicación en el ámbito del sector público y en los sistemas de información de las entidades del sector privado cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las citadas entidades para el ejercicio de sus competencias y potestades administrativas.
El Esquema Nacional de Seguridad (ENS) es un conjunto de medidas, mecanismos, procesos y procedimientos destinados a ser garante de la seguridad de la información en la era digital que nos acontece en este momento (siendo ya axioma presente y no futuro predecible), con una aplicación contextualizada en el ámbito de la administración pública que usa medios electrónicos y sistemas de información
¿Qué es exactamente el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica para los Contratos del Sector Público?
El Real Decreto 311/2022, de 3 de mayo, en su Artículo 5 recoge los Principios básicos del Esquema Nacional de Seguridad cuando expresa:
“El objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:
a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades”.
Y el artículo 6 deja claro los ámbitos de aplicación internos en la estructura empresarial responsable de la seguridad en todos sus extremos:
“Artículo 6. La seguridad como un proceso integral.
1. La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.
2. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad”.
Para su aplicación en entornos Web o Plataformas digitales de desarrollo, existe la Guía de Seguridad de las TIC “CCN-STIC-812 Guía de seguridad en entornos y aplicaciones Web” que expone el objeto principal y las medidas a tomar en esta certificación empresarial en el ámbito del Esquema Nacional de Seguridad:
“Actuar como guía de referencia en la identificación y el análisis de los requisitos de seguridad asociados a las aplicaciones y entornos Web en el ámbito del Esquema Nacional de Seguridad, con el objetivo de reducir las posibles amenazas de seguridad asociadas a estos entornos y aplicaciones durante su diseño y antes de su paso a producción.
Existen dos procedimientos para mejorar la seguridad de las aplicaciones y entornos Web:
a) Durante el proceso de diseño y desarrollo de la aplicación, estableciendo unos requisitos y verificaciones de seguridad que debe cumplir toda aplicación Web.
b) Posteriormente, tras la puesta en producción, realizando el análisis de la aplicación Web mediante auditorías de seguridad, análisis de vulnerabilidades y pruebas de intrusión.
El objetivo del presente documento es proporcionar la información necesaria para la aplicación de ambos procedimientos, incluyendo una lista de recomendaciones que deberían ser aplicadas durante las fases de diseño, desarrollo y auditoría de la aplicación Web, dependiendo de la categoría del sistema”.
Dicho de manera sencilla (y como resumen de todo lo anterior), el Esquema Nacional de Seguridad (ENS) es un conjunto de medidas, mecanismos, procesos y procedimientos destinados a ser garante de la seguridad de la información en la era digital que nos acontece en este momento (siendo ya axioma presente y no futuro predecible), con una aplicación contextualizada en el ámbito de la administración pública que usa medios electrónicos y sistemas de información.
Su imprescindibilidad se ha tornado en obligatoria como un hecho subyacente del Estado y ha dejado de ser una opción para las Empresas y Órganos de Contratación que trabajan para el sector público español.
Buscar la fórmula de usar a un subcontratista que disponga de esta certificación no asegura su cumplimiento ya que quien debe cumplir con los requisitos es el Contratista que firma el contrato con la Entidad del Sector Público
¿Cómo se regulan las Categorías de Seguridad en los sistemas de información?
El Real Decreto 311/2022, de 3 de mayo, en su Artículo 40 recoge dicha regularización:
“Artículo 40. Categorías de seguridad.
1. La categoría de seguridad de un sistema de información modulará el equilibrio entre la importancia de la información que maneja y los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el principio de proporcionalidad.
2. La determinación de la categoría de seguridad se efectuará en función de la valoración del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, siguiendo el procedimiento descrito en el anexo I”.
En el ANEXO I se establecen las reglas que determinan la Categorización en base a los siguientes conceptos:
"1. Fundamentos para la determinación de la categoría de seguridad de un sistema de información.
2. Dimensiones de la seguridad.
3. Determinación del nivel de seguridad requerido en una dimensión de seguridad.
4. Determinación de la categoría de seguridad de un sistema de información.
5. Secuencia de actuaciones para determinar la categoría de seguridad de un sistema".
Las Empresas licitadoras podrán comenzar el proceso con las Auditoras acreditadas por la ENAC (Entidad Nacional de Acreditación) conforme a la norma UNE-EN ISO/IEC 17065:2012 (Evaluación de la conformidad y de requisitos para organismos que certifican productos, procesos y servicios), para la certificación y conformidad con el Esquema Nacional de Seguridad (ENS) para así conseguir su certificación en base a los estándares y categorizaciones anteriores.
¿Qué formula de presentación empresarial pueden usar los Contratistas cuando la prestación de sus servicios exija el cumplimiento del Esquema Nacional de Seguridad (ENS)?
En el artículo anterior sobre Licitación electrónica en España se recordaba la importancia de que “la empresa debe de estar preparada para poder asumir los requerimientos de homologación.”
En consecuencia, la empresa adjudicataria debe estar en condiciones de presentar la correspondiente Declaración de Conformidad con el citado ENS, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el ENS, cuando se trate de sistemas de categorías MEDIA o ALTA.
El posicionamiento en el Sector pasa por seguir creciendo en soluciones que integren software y analítica para la gestión del agua
Buscar la fórmula de usar a un Subcontratista que disponga de esta certificación no asegura su cumplimiento ya que quien debe cumplir con los requisitos es el Contratista que firma el contrato con la Entidad del Sector Público.
Así lo expresa el Real Decreto 311/2022, de 3 de mayo en su Artículo 2.3 al decir:
“Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.
Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos”.
Por tanto, estas Declaraciones y Certificaciones son de obligado cumplimiento por parte del presunto Contratista antes de formalizar la firma del contrato, ya sea por parte de una única empresa o de varias que conformen una Unión Temporal de Empresas (UTE) donde al menos uno de sus componentes debería de poder aportar este requerimiento.
En base a lo dispuesto anteriormente, cada Mesa de Contratación procederá a un análisis de riesgos a los que está expuesto el servicio objeto de la licitación que regulan, para establecer como necesario que la empresa adjudicataria deberá estar en condiciones de exhibir, como mínimo, la correspondiente documentación en la fase de presentación de oferta:
- Certificación de Conformidad con el Esquema Nacional de Seguridad (teniendo que especificar la CATEGORÍA del sistema de información en cuestión).
- Declaración de Conformidad con el Esquema Nacional de Seguridad o, en su defecto, podrían dar aplicación a lo que se indica en la Guía de Seguridad de las TIC “CCN-STIC-812 Guía de seguridad en entornos y aplicaciones Web”, de nuevo, teniendo que especificar la CATEGORÍA del sistema de información en cuestión.
En último término, es responsabilidad de la mesa de Contratación del Órgano público determinar el alcance del cumplimiento de este requerimiento analizando la fórmula de presentación de la Empresa Licitadora para que, una vez se convierta en Contratista adjudicatario, pueda asumir todos los extremos expuestos en el proceso de suministro a intervenir.
¿Qué responsabilidades asume la Empresa Licitadora al certificar el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica para los Contratos del Sector Público?
En la mayoría de los supuestos (y durante la ejecución del contrato), la Empresa adjudicataria tendrá la obligación de mantener la conformidad vigente durante todo el ciclo de vida del contrato.
Así lo establece la Guía de Seguridad de las TIC “CCN-STIC-812 Guía de seguridad en entornos y aplicaciones Web”; expone el objeto principal de esta certificación empresarial en el ámbito del Esquema Nacional de Seguridad al decir:
“El presente documento establece unas pautas de carácter general enfocadas a las características propias de las aplicaciones y servicios web para establecer una política de seguridad en dichos sistemas teniendo en cuenta los requerimientos establecidos en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Se espera que cada organización las particularice para adaptarlas a su entorno singular”.
Entre otras figuras, (tal y como establece el Artículo 6 al decir que “Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad”), la Empresa deberá nombrar una serie de responsables durante la ejecución del Contrato como son, algunos de ellos, el responsable de Servicio, Sistema y Seguridad cada uno con responsabilidades específicas a su ámbito de aplicación.
En consecuencia, si durante el periodo del mismo, el adjudicatario perdiera la correspondiente conformidad (certificación), o se haya retirado temporalmente la misma, tendrá que asumir la responsabilidad de comunicarlo de manera inmediata y sin dilación indebida a la Entidad Contratante. Al hacerlo, el adjudicatario deberá comunicar los datos de contacto de la persona designada como Punto o Persona de Contacto (POC), según lo dispuesto en el Artículo 13.5 del Real Decreto 311/2022, de 3 de mayo al mencionar:
“En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio”.
Dicho POC de seguridad será el propio responsable de Seguridad de la organización contratada, formando parte de su área y tendrá comunicación directa con la misma; todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.
La Entidad Contratante, una vez recibida dicha notificación, deberá considerar el impacto en contrato de tal condición y tomará las medidas oportunas que crea conveniente a tenor de lo expresado en el PLIEGO DE CLÁUSULAS ADMINISTRATIVAS. PARTICULARES (PCAP).
Es evidente, por tanto, que la Empresa que pueda aportar el Esquema Nacional de Seguridad (ENS) en base a la Certificación de Conformidad con el Esquema Nacional de Seguridad y la Declaración de Conformidad con el Esquema Nacional de Seguridad, lo haga bajo una metodología de certificación reconocida por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Ciberseguridad de las Tecnologías de la Información y la comunicación (aplicable también a servicios suministrados por terceros) para que dicha certificación cumpla con los requisitos funcionales de seguridad y de aseguramiento de acuerdo a lo establecido en el Artículo 19 del Real Decreto 311/2022, de 3 de mayo:
“Artículo 19. Adquisición de productos de seguridad y contratación de servicios de seguridad.
En la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en los sistemas de información del ámbito de aplicación de este real decreto, se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición
¿Es verdaderamente urgente para la Empresa Licitadora la implementación del Esquema Nacional de Seguridad (ENS) para licitar?
La respuesta es Sí. Sin esta certificación la Empresa no podrá licitar o quedará excluida de la licitación (tras su clasificación por la mesa de Contratación en la apertura, normalmente, del SOBRE 1) al no poder certificar que podrá prestar servicios en el ámbito del sector público (la administración) y en los sistemas de información de las entidades, incluso, del sector privado.
En último término, es responsabilidad de la mesa de Contratación del Órgano público determinar el alcance del cumplimiento de este requerimiento analizando la fórmula de presentación de la Empresa Licitadora para que, una vez se convierta en Contratista adjudicatario, pueda asumir todos los extremos expuestos en el proceso de suministro a intervenir
En este caso específico no es exagerado afirmar que, la falta de conformidad en esta certificación cierra automáticamente las puertas a las Empresas del sector del agua en su presentación a las licitaciones y a la captación de oportunidades de negocio. Es por ello que esta insuficiencia legal pone en riesgo la continuidad y el crecimiento de la empresa en el mercado de la digitalización, un mercado cada vez más impulsado por el Ministerio de Asuntos Económicos y Transformación Digital que impulsa el Plan nacional de Recuperación, Transformación y Resiliencia.
¿Cuál es el ámbito de aplicación del Esquema Nacional de Seguridad (ENS) dentro del territorio español?
Todas las administraciones del sector público español, incluyendo todas las administraciones generales del Estado, tanto las autonómicas como las locales, deben de cumplir con esta legislación; por lo que todas las adjudicaciones que otorguen a las empresas para el desarrollo e implementación de los servicios en los sistemas de información deben estar bajo su amparo.
Como conclusión, el Esquema Nacional de Seguridad (ENS) es una certificación fundamental para las Empresas del Sector del Agua que ofrezcan, entre otras cosas, plataformas de soluciones digitales integradas que combinen tecnologías, sistemas y servicios inteligentes.
El posicionamiento en el Sector pasa por seguir creciendo en soluciones que integren software y analítica para la gestión del agua. De hecho, la transformación digital que estamos viviendo en el sector del agua pasa por ayudar a las empresas de servicios públicos a avanzar más rápido y para que puedan maximizar cada una de sus inversiones en beneficio de toda la ciudadanía.
Fuentes:
- B.O.E.: Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Guía de Seguridad: TIC “CCN-STIC-812 Guía de seguridad en entornos y aplicaciones Web”.
- Ministerio de Economía, Comercio y Empresa: Plan de Recuperación, Transformación y Resiliencia.
