El Esquema Nacional de Seguridad y la contratación pública

Inma Cons Pombo, consultora jurídica,  KALAMAN CONSULTING

---

Con anterioridad, el Real Decreto 3/2010, de 8 de enero, establecía en su artículo 1.2 que el ENS “está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información y será aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”, y el propio RD disponía que asimismo, debía desarrollarse y perfeccionarse manteniéndose actualizado de forma permanente conforme al progreso de los servicios de la administración electrónica, de la evolución de la tecnología, de los nuevos estándares internacionales sobre seguridad y auditoría, y la consolidación de las infraestructuras que le sirven de apoyo.

El nuevo Real Decreto 311/2022 señala tres grandes objetivos que hacen necesario actualizar el ENS. Desde la alineación con el marco normativo y el contexto estratégico para garantizar la seguridad en la administración digital, hasta facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua.

La aprobación de este real decreto se incardina en la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025, uno de los instrumentos principales para el cumplimiento del Plan de Recuperación, Transformación y Resiliencia y su Componente 11 denominado «Modernización de las Administraciones Públicas», así como para el desarrollo de las inversiones y reformas previstas en la agenda España Digital 2025. 

Dicho lo anterior, llamamos la atención sobre su ámbito de aplicación, puesto que el RD es de aplicación a todo el sector público, y ello implica, en línea con lo ya dispuesto en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, que también resulte de aplicación a los sistemas de información de las entidades del sector privado, “cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.”

En este sentido, el artículo 3 del RD 311/2022, establece que

“Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto, contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.” Y continúa, “esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.”

Por todo ello, conviene recordar la obligatoriedad de que los sistemas de información de las empresas licitadoras mediante los cuáles presten sus servicios y/o se empleen para la gestión de los equipos suministrados por las mismas, cumplan con las categorías (básica, media o alta) establecida para los sistemas y equipos de la entidad contratante y se encuentren en disposición de poder acreditarlo.

En los últimos tiempos hemos visto como la adecuación al ENS se ha recogido en los PCAP, con diferente naturaleza, atribuyéndole desde la condición de solvencia técnica, o requisito específico de aptitud, hasta conceptuarla como un criterio de adjudicación.

A este respecto, la Resolución nº 228/2021 de 5 de marzo, del TACRC, entiende que la adecuación al ENS no puede ser requerido como un requisito de solvencia, (lo que no excluye que si pueda ser una condición o requisito de ejecución) y que por tanto el mismo, no puede ser suplido por la clasificación como contratista de servicios porque dicha adecuación al cumplimiento del ENS, “es obligatoria para los operadores del sector privado que presten servicios o provean soluciones a las entidades públicas” 

En este sentido, en el Informe 12/2020, de 2 de octubre, de la Junta Consultiva de Contratación Administrativa de la Generalitat de Catalunya sobre las Consecuencias para las empresas licitadoras de la falta de acreditación del cumplimiento de conformidad con el Esquema Nacional de Seguridad, se formulan las siguientes conclusiones:

En caso de que resulte exigible el cumplimiento de conformidad con el Esquema Nacional de Seguridad para el servicio o la solución tecnológica que una entidad del sector público tenga que contratar, los pliegos respectivos pueden incluir dicha exigencia como prescripción técnica o como obligación de la empresa contratista, exigiendo la Declaración o la Certificación de Conformidad con el ENS en función del sistema de que se trate, o bien un compromiso de futuro, de disponer de una o la otra, en caso de convertirse en contratista y en ejecución del contrato, circunstancia esta última que consideran como una opción más favorecedora de la concurrencia que la exigencia de acreditación en la propia oferta, y, por tanto, más conveniente, siempre que sea adecuado al objeto del contrato, y atendidas las circunstancias concurrentes.

Consideran también que, la falta de aportación del compromiso como la falta de acreditación del cumplimiento de conformidad con el ENS, se entienden subsanables, ya que no suponen un cambio de la voluntad declarada inicialmente por las empresas licitadoras en sus ofertas, si bien puede comportar la exclusión, en caso de no producirse la subsanación o que de la descripción técnica contenida en la oferta se constate un incumplimiento expreso de una prescripción del pliego respectivo, por ser esta incongruente u oponerse al cumplimiento.

Por todo ello, queremos recordar la necesidad de adecuar los sistemas de información con los que prestamos servicios y los de los equipos que suministramos al ENS, para evitar la pérdida de oportunidades en las licitaciones que vendrán.