Con este serie de tres artículos pretendemos abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Se basa en la experiencia práctica adquirida auditando y certificando la conformidad respecto a las disposiciones del ENS a diferentes organizaciones de esta naturaleza. Me permito apuntar posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad, que siempre deben ser tomadas con las correspondientes cautelas ante el caso particular.

Jamás un artículo de ámbito general debe sustituir a la labor de asesoramiento que realizan consultoras especializadas.

  1. Ámbito de aplicación del ENS (sujetos obligados). Fundamentos jurídicos.

Por un lado, el ENS se encuentra legislado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre. Su ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) que, focalizando en el sector privado señala en su apartado 1 “La presente Ley se aplica al sector público que comprende: (…) d) El sector público institucional”, continuando en el apartado 2 “El sector público institucional se integra por: (…) b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas”.

Vemos así que las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas adoptan la condición de sujeto obligado por el ENS, a todos los efectos.

Por otro lado, el capítulo “VII. Soluciones y servicios prestados por el sector privado” de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad [1], dispone que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad”.

Es un requisito que ya se está viendo materializado en los pliegos de condiciones para los diferentes concursos públicos, con la solicitud de los correspondientes Certificados de Conformidad como condición ineludible de contratación.

Vemos así que los proveedores de las Administraciones Públicas, con incidencia relevante en los servicios prestados por éstas, adoptan también la condición de sujeto obligado por el ENS, a todos los efectos.

  1. Doble vía de obligación para organizaciones pertenecientes al Sector Privado.

Hemos deducido, a partir de los fundamentos jurídicos anteriores, que las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, en igual medida que las pertenecientes al Sector Público, dependiendo de:

  • Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
  • Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea Admiración Pública u organización vinculada o dependiente.

2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones

Hemos visto a partir de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad la obligación inferida a los operadores del Sector Privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS por ser relevantes pasa los servicios públicos ofrecidos a la ciudadanía.

Un caso particular, bastante habitual en la práctica, son las cadenas de subcontratación de proveedores, en la que un proveedor presta servicios a otro que a su vez se encuentra en la situación del último punto anterior. En este escenario, todos los proveedores que forman parte de la cadena deben estar Certificados de Conformidad respecto a las disposiciones del ENS (Para categoría de sistemas MEDIA y ALTA).

Una alternativa, si uno de ellos todavía no está en posesión de la correspondiente certificación de conformidad acreditada, impidiendo de facto la certificación de las demás organizaciones que dependen de ella, consiste en que la entidad de certificación lo audite por cuenta de quién desea certificarse y no puede debido a que su proveedor no lo está. Viene a ser algo así como una auditoría de certificación (tercera parte) con formato de auditoría de proveedor (segunda parte).

Figura 1. Necesidad de auditar al proveedor

Figura 1. Necesidad de auditar al proveedor

Pongamos un ejemplo para aclarar conceptos: Imaginemos un desarrollador de software que trabaja para la Administración mediante su plataforma imaginaria “GESPADM”. Dicha plataforma se entrega en modalidad SaaS de prestación de servicios en la Nube, que se apoya en un tercer proveedor de IaaS. Si el desarrollador de “GESPADM” desea certificarse, pero el proveedor de IaaS no dispone de la certificación de conformidad con el ENS, deberá acordar con ambos -su proveedor de IaaS y la entidad de certificación- que se extienda el alcance de la auditoría también al proveedor de IaaS, aunque éste no opte de momento a la certificación.

Este proceder es común para proveedores en España, pero algo bastante más difícil de materializar para proveedores en otros países del mundo.

2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas

Como se detalla en la Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” [2] hay que tener especial consideración, por suscitar posibles dudas, con las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, siendo como son sujetos obligados por el RD 3/2010:

  • Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
  • Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
  • Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
  • Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

En próximas semanas abordaremos un próximo artículo de esta serie en el que hablaremos sobre el concepto de servicio y de Sistema.

José Luis Colom Planas
Director de Auditoría y Cumplimiento Normativo