RD 311 2022 BOE - Cómo afecta a las Empresas Privadas | Delete Technology

El RD 311/2022 publicado en el BOE, el 4 de mayo por el que se regula el nuevo Esquema Nacional de Seguridad, incorpora expresamente, como sujeto obligado, de cumplir, sin excepciones todas las empresas del sector privado que trabajen para las entidades públicas. de productos/servicios, los cuales incluyan activos de información como parte de la provisión a una entidad del sector público.

El objetivo de este cumplimiento es para la comercialización de los productos y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias a las entidades públicas.

Artículo 2 del ENS:

“Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.”

Es decir, las entidades públicas deben exigir, en sus licitaciones y consecuentemente a los adjudicatarios el cumplimiento del esquema y su acreditación. Los mismos requisitos que se exigen internamente a la Administración Pública son exigidos a cualquier proveedor que preste algún servicio relacionado con la seguridad de la información en estas entidades adoptando la condición de sujeto obligado por el ENS. Los proveedores deben contar con un nivel de seguridad similar al requerido por la entidad pública

Las entidades públicas deben proveer una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos, del objeto de la licitación.

Lo que incluye, una Política de seguridad que recoja al menos lo definido en el artículo 12 del RD 311/20222, dando cobertura a los principios básicos y requisitos mínimos, los análisis de riesgos y cuánta medida garantice la conformidad con el ENS

Así se extrae del artículo 2.3 que establece la directa aplicación del ENS empresas del sector privado:

• Cuando exista una relación contractual y presten servicios o provean soluciones a las entidades del sector público.
• Cuando los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector contemplen la necesidad de cumplir requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas.
• Cuando se exija en los procedimientos de contratación pública la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.
• Además, la aplicabilidad del ENS se extiende también a la Supply Chain de esas empresas privadas contratistas en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos, según establece el nuevo marco regulatorio.
• Para clarificar y enumerar las obligaciones de prestadores de servicios de TI en el marco del Esquema Nacional de Seguridad, el Centro Criptográfico Nacional (CCN) ha desarrollado varias publicaciones las cuales se resumen a continuación.

El CCN ha publicado un documento en el que se recogen las obligaciones de los prestadores de servicios a las entidades públicas, cuando tales servicios estén sujetos al cumplimiento del Esquema Nacional de Seguridad (ENS). Estas obligaciones se centran en ofrecer información útil a la administración pública sobre los servicios contratados. No resulta trivial determinar el papel que juega tanto la administración pública como su prestador de servicio en la responsabilidad y cumplimiento del Marco de Control del Esquema Nacional de Seguridad.

Ejemplos de servicios que los proveedores pueden prestar las administraciones públicas

Así pues, entre otras:

1. Contratación de servicios o software para facilitar, por medios electrónicos, el derecho de los ciudadanos a relacionarse electrónicamente con las Administraciones Públicas.
2. Contratación de servicios o software para facilitar, por medios electrónicos, los derechos de los ciudadanos, en su calidad de interesados en el Procedimiento Administrativo (arts. 13, 28, 53 y 66.1b de la LPACAP).
3. Contratación de servicios o software para facilitar el uso de los medios de identificación y firma electrónica de los interesados en el procedimiento administrativo, incluyendo su representación y los registros electrónicos de apoderamientos (arts. 9-11, 5 y 6 LRJSP).
4. Contratación de servicios o software para facilitar, por medios electrónicos, el derecho de los interesados a ser asistidos en el uso de los medios electrónicos en sus relaciones con las AA.PP. (arts. 12 y 13 LPACAP).
5. Contratación de servicios o software para facilitar a los ciudadanos, por medios electrónicos, el derecho de información (arts. 21.4, 27.3 y DA4 LPACAP).
6. El Archivo Electrónico de los procedimientos administrativos desarrollados, por ser un sistema de información para el desarrollo del procedimiento administrativo de la entidad.
7. El sistema de gestión de vacantes de un hospital público, por ser un sistema de información para el cumplimiento de deberes del hospital.
8. La gestión de los expedientes académicos de los alumnos de una Universidad Pública, por ser un sistema de información para el desarrollo de las funciones competenciales de la Universidad.
9. La gestión de las de las citas para la obtención del DNI, por ser un sistema de información para el cumplimiento de deberes de los ciudadanos.
10. La gestión de los procedimientos sancionadores, por ser un sistema de información para el desarrollo del procedimiento administrativo de la entidad.
11. La gestión del Padrón de un Ayuntamiento, por ser un sistema de información para el desarrollo de las funciones competenciales del Ayuntamiento
12. El perfil del contratante, por ser un sistema de información accesible electrónicamente por las empresas para el ejercicio de derechos.
13. La gestión de la contabilidad, por ser un sistema de información para el cumplimiento de deberes de la entidad.
14. La gestión de de recursos humanos, por ser un sistema de información para el ejercicio de derechos de los empleados.
15. La tramitación legislativa, por ser un sistema de información para el desarrollo de las funciones competenciales de la entidad.
16. La gestión tributaria, por se un sistema de información para el desarrollo de las funciones competenciales de la entidad. 

No obstante lo anterior, por los importantes beneficios que se derivan de ello, siempre resulta conveniente aplicar el ENS a todos los sistemas de las entidades, incluso los que contenga información de transparencia o pública excluida de toda confidencialidad, toda vez que constituye la herramienta más adecuada para preservar las debidas garantías dimensiones que estos necesitan tales como la disponibilidad, integridad, trazabilidad y autenticidad que la actuación de cualquier entidad del sector público requiere.

Ello supone por tanto dotar de certeza jurídica al contenido, estructura y obligaciones de las Políticas de Seguridad que deben aprobar las empresas

Se introducen y regulan normativamente unos principios básicos que se pueden aplicar de forma universal como base para construir un sistema sólido de gobernanza de la seguridad digital.

• Seguridad como proceso integral.
• Gestión de la seguridad basada en los riesgos.
• Prevención, detección, respuesta y conservación.
• Existencia de líneas de defensa.
• Vigilancia continua.
• Borrado Seguro Certificado
• Reevaluación periódica.
• Diferenciación de responsabilidades.

Desde el punto de vista de la organización de las empresas, este último principio de diferenciación de responsabilidades es muy relevante, ya que por primera vez se ordenan de modo taxativo las diferentes funciones de los responsables: responsable de la información; responsable del servicio; el responsable de la seguridad y el responsable del sistema.

Además, la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información.

No podemos esperar que la administración que licite, a la luz de la documentación presentada como respuesta por el proveedor, audite su cumplimiento, es por ello por lo que el texto dice: “tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS”; es decir, es la propia empresa quien debe presentar los certificados de la propia empresa y de los servicios y/o productos que el contratista va a desarrollar/ integrar /suministrar /proveer u operar en su caso.

Otra línea de actuación del CCN ha estado relacionada con los servicios en la nube y como acompañar y guiar técnicamente la administración pública en el cumplimiento de sus obligaciones de seguridad en los servicios en la nube. 

En los últimos meses Microsoft, AWS (Amazon Web Services) y el Centro de Criptología han ido presentando guías de configuración de los principales servicios ofrecidos a la administración pública para cumplir con los requerimientos del ENS. Dichos documentos tienen como objetivo facilitar y guiar, con garantías, el cumplimiento de las responsabilidades de los administradores de servicios de la administración pública en la nube.

Cada una de las recomendaciones de seguridad establecidas en la guía CCN-STIC 823 (guía para aplicar el ENS a entornos de nube) se ha abordado, documentado, automatizado y revisado para los principales servicios cloud de Microsoft y AWS, dos de los principales líderes del mercado.

En definitiva, a través de estos nuevos requerimientos del BOE RD 311 2022, se solicita a los prestadores de servicios de TI, transparencia y soporte en el cumplimiento de los requisitos de cumplimiento del Esquema Nacional de Seguridad, en particular para aquellos controles sobre los cuales tanto la entidad pública como su proveedor de servicio tienen responsabilidad sobre el cumplimiento del control.

Delete Technology puede apoyar a su organización en el cumplimiento del RD 311/2022 publicado en el BOE, a través del uso de sus productos y servicios.

Autor,

Rafael Chust Calero | Director Delete Technology España y Portugal

REFERENCIAS:

1. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
2. Seguridad en el ámbito de la Administración Electrónica.
3. http://www.boe.es/buscar/doc.php?id=BOE-A-2010-1330
4. - Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
5. Administraciones Públicas.
6. https://boe.es/diario_boe/txt.php?id=BOE-A-2015-10565
7. - Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
8. https://boe.es/diario_boe/txt.php?id=BOE-A-2015-10566
9. - Guía CCN-STIC 809 Declaración y Certificación de Conformidad con el ENS y
10. Distintivos de Cumplimiento (accesible a través de www.ccn-cert.cni.es).
11. - Ley 50/2002, de 26 de diciembre, de Fundaciones.
12. https://www.boe.es/buscar/act.php?id=BOE-A-2002-25180.
13. - Censo de Entidades del Sector Público Estatal.
14. http://www.tcu.es/export/sites/default/.content/pdf/Censo-Entidades-Sector-Publico-Estatal.pdf