Vanessa Fernández Ferré - HispaColex
Empresas obligadas a disponer del Esquema Nacional de Seguridad para contratos públicos
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, establecía el 2 de mayo de 2024 como fecha límite para que las empresas se ajusten al Esquema Nacional de Seguridad (en adelante, ENS) si quieren ser contratistas de la administración pública. El ENS tiene como objetivo garantizar la seguridad de los sistemas de información, lo que incluye la protección de datos sensibles y la prevención de posibles ataques informáticos.
Este Real Decreto regula el ENS establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y se aplica también a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad necesaria cuando en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por éstas de sus competencias y potestades administrativas.
La política de seguridad de la información es el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. A tal efecto, el instrumento que apruebe dicha política de seguridad deberá incluir, como mínimo, los siguientes extremos:
a) Los objetivos o misión de la organización.
b) El marco regulatorio en el que se desarrollarán las actividades.
c) Los roles o funciones de seguridad, definiendo para cada uno, sus deberes y responsabilidades, así como el procedimiento para su designación y renovación.
d) La estructura y composición del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad y la relación con otros elementos de la organización.
e) Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
f) Los riesgos que se derivan del tratamiento de los datos personales.
En España, el ENS es obligatorio para cualquier empresa que participe en contratos públicos, tanto directa como indirectamente, si su trabajo implica el manejo de información pública o servicios relacionados con la administración electrónica. Esto incluye empresas que proporcionan servicios de telecomunicación, sistemas de información accesibles electrónicamente, o cualquier otro servicio que pueda afectar la seguridad de la información pública.
Por lo tanto, además de las empresas que proporcionan servicios y soluciones tecnológicas a las administraciones públicas también están obligadas a cumplir con el ENS cualquier empresa que participe en contratos con las administraciones públicas, directa o indirectamente, si su trabajo implica el manejo de información pública.
Los pliegos de cláusulas administrativas o prescripciones técnicas de los contratos que celebren las entidades del sector público contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS. Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
La falta de cumplimiento de esta norma puede conllevar la exclusión de las ofertas en las licitaciones públicas, ya que, el ENS garantiza la seguridad de los sistemas de información de la administración pública y de las empresas que trabajan con ella.
Se encuentra vencido el plazo que establecía el citado Real Decreto desde hace más de un año para la plena adaptación de los proveedores al ENS de las administraciones públicas españolas, por lo que, no sólo es necesario obtener las correspondientes autorizaciones/declaraciones, sino tener habilitada toda la arquitectura del proveedor para poder ser adjudicatario de contratos o poder ejecutar el servicio o suministro que se adjudique.
En conclusión, el ENS es de cumplimiento obligatorio para los contratistas de la administración pública, incluso aunque no se menciona específicamente en los pliegos de la licitación si el contrato implica el manejo de sistemas de información. Se trata de un requisito implícito para cualquier contratista que gestione sistemas de información para la administración pública y no se puede obviar su obligación a la hora de presentar oferta para un contrato público.
Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario