La contratación pública de productos y servicios afectados por el Esquema Nacional de Seguridad (Real Decreto 311/2022 de 3 de mayo, ENS en adelante) está generando situaciones rocambolescas, impugnaciones de concursos y una inseguridad manifiesta para licitadores y licitantes.
LAS EMPRESAS PRIVADAS Y EL ENS DENTRO DEL ENS
En el artículo 2-Ámbito de aplicación del ENS se incluyen explícitamente requerimientos de cumplimiento del ENS para “los sistemas de información de las entidades del sector privado, …, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público …”.
Dentro de esta mismo artículo se enlaza directamente con la contratación pública cuando se requiere que:
“…los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS…”
La necesidad de contemplar el ENS en la contratación pública queda así explicitada en el propio texto normativo, con poco margen para la interpretación, pero esto no es todo.
LAS EMPRESAS PRIVADAS Y EL ENS DENTRO DE LA LOPDGDD
La Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) intenta resolver en su Disposición adicional primera una “carencia” del Reglamento (UE) 2016/679 (RGPD) en cuanto a la concreción de las medidas de seguridad a aplicar.
Recordemos que el Real Decreto 1720/2007, Reglamento de desarrollo de la antigua Ley 15/1999 (LOPD), contenía en su Titulo VIII un conjunto de medidas de seguridad concretas que orientaban su implementación y, con ello, facilitaban el cumplimiento del requerimiento de securización. En la redacción de la LOPDGDD el legislador optó por señalar el ENS como marco de referencia para las medidas de seguridad a implantar, incluyendo una previsión para el sector privado:
“… En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad”.
La intención del legislador era elogiable al ofrecer un marco normativo con un amplio conjunto de medidas de seguridad enumeradas en su Anexo…
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.