Ámbito de Aplicación. ¿Necesito la Declaración o la Certificación del Conformidad del ENS?

La guía técnica CCN-STIC-830 publicada por el Centro Criptológico Nacional precisa el ámbito de aplicación del Esquema Nacional de Seguridad, considerando la entrada en vigor de las leyes 39/2015, de 1 de Octubre, de Procedimiento Administrativo Común de las Administraciones Públicas y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Estas leyes derogan la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico del Sector Público y del Procedimiento Administrativo Común, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos y la Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado.

Tal y como detalla la guía CCN-STIC-830, el ámbito de aplicación del Real Decreto 3/2010 incluirá:

  • A quienes se aplica por razón de los sujetos o entidades a quien se dirige la norma (ámbito subjetivo de aplicación).
  • A quienes se aplica por razón de las materias que son objeto de regulación (ámbito objetivo de aplicación).

Ámbito Subjetivo de Aplicación

En virtud del artículo 2 de la Ley 40/2015, el ámbito subjetivo de aplicación de definirá del siguiente modo:

Artículo 2. Ámbito Subjetivo
1. La presente Ley se aplica al sector público que comprende:

a) La Administración General del Estado.
b) Las Administraciones de las Comunidades Autónomas.
c) Las Entidades que integran la Administración Local. d) El sector público institucional.

El sector público institucional se integra por:

a) Cualesquiera organismos públicos y entidades de derecho público vinculados o

dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.
Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2.

Adicionalmente, habrá que considerar las relaciones entre las Administraciones y los ciudadanos, completando el ámbito con el señalado en la Ley 39/2015, añadiendo el siguiente párrafo:

“4. Las Corporaciones de Derecho Público se regirán por su normativa específica en el ejercicio de las funciones públicas que les hayan sido atribuidas por Ley o delegadas por una Administración Pública, y supletoriamente por la presente Ley.”

Podemos resumir el ámbito subjetivo mediante el siguiente esquema detallado en la guía CCN-STIC-830:

audertis-ens-ambito-subjetivo

Ámbito Objetivo de Aplicación

El ámbito objetivo de aplicación vendrá determinado, conforme al Real Decreto 3/2010, por la necesidad de “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”.

Conforme a lo explicitado en la guía técnica CCN-STIC-830, bastará que el sistema de información en cuestión (cuando esté sustentado en medios electrónicos) se dirija a gestionar las competencias de la entidad pública correspondiente (que deberá estar incluida en su ámbito subjetivo de aplicación), para que le sea de aplicación el ENS.

Consideramos por tanto que el Esquema Nacional de Seguridad será de aplicación a todo lo relativo a:

  • Facilitar, por medios electrónicos, el derecho de los ciudadanos a relacionarse electrónicamente con las Administraciones Públicas.
  • Facilitar, por medios electrónicos, los derechos de los ciudadanos, en su calidad de interesados en el Procedimiento Administrativo (arts. 13, 28, 53 y 66.1b de la LPACAP).
  • Facilitar el uso de los medios de identificación y firma electrónica de los interesados en el procedimiento administrativo, incluyendo su representación y los registros electrónicos de apoderamientos (arts. 9-11, 5 y 6 LRJSP).
  • Facilitar, por medios electrónicos, el derecho de los interesados a ser asistidos en el uso de los medios electrónicos en sus relaciones con las AA.PP. (arts. 12 y 13 LPACAP).
  • Facilitar a los ciudadanos, por medios electrónicos, el derecho de información (arts. 21.4, 27.3 y DA4 LPACAP).
  • Los Registros electrónicos (art. 16 LPACAP).
  • El Archivo electrónico de documentos y expedientes (art. 17 LPACAP).
  • La tramitación electrónica de los procedimientos, incluyendo el cómputo de plazos, la notificación electrónica, la gestión electrónica de expedientes y la tramitación electrónica del procedimiento, en general (arts. 30, 41-43, 70 y Titulo IV de la LPACAP).
  • La relación, por medios electrónicos, entre las propias entidades de las AA.PP., sus órganos, organismos públicos y entidades vinculadas o dependientes (art. 3 LRJSP).
  • El Funcionamiento Electrónico de la Administración, incluyendo las sedes electrónicas y los portales de Internet, los sistemas de identificación y firma, y la actuación administrativa automatizada, el intercambio electrónico de datos en entornos cerrados, el aseguramiento de la interoperabilidad de la firma electrónica y el archivo electrónico de documentos (arts. 38, 39, 40-43, 44, 45 y 46 de la LRJSP).
  • Las relaciones electrónicas entre las Administraciones, incluyendo las transmisiones de datos entre AA.PP., los ENI y ENS, la reutilización de sistemas y aplicaciones y la transferencia de tecnologías (arts. 155, 156, 157 y 158 de la LRJSP).

Esquemáticamente, la guía técnica CCN-STIC-830 lo representa mediante el siguiente gráfico:

audertis-ens-ambito-objetivo

Consecuentemente, a modo de ejemplo estarán incluidas la siguiente tipología de sistemas:

  • Archivos electrónicos.
  • Gestión de Expedientes.
  • Gestión de Procedimientos.
  • Sedes Electrónicas y otros sistemas accesibles electrónicamente.
  • Sistemas de gestión interna y de soporte a funciones propias de las entidades públicas señaladas en el ámbito subjetivo.
  • Los Sistemas de Automatización Industrial (IACS) que sean propiedad de cualquiera de las entidades del sector público, independientemente de su arquitectura (SCADA, DCS -Sistemas de Control Distribuidos-, redes de PLCs).

Con carácter general, la guía CCN-STIC-830 resalta la conveniencia de aplicar el ENS a todos los sistemas de las entidades, incluidos los que contienen información de transparencia o pública a la que no apliquen restricciones de confidencialidad, dado que permite garantizar otras dimensiones de la seguridad de la Información y calidad en la prestación del Servicio.


 

Aplicación al Sector Privado

La guía CCN-STIC-830 explícitamente recoge lo siguiente:

  1. Las soluciones tecnológicas o los servicios comprendidos dentro del ámbito objetivo de aplicación del Esquema Nacional de Seguridad, cuando sean suministrados o prestados por organizaciones privadas, habrán de satisfacer las exigencias legales establecidas en el mismo.
  2. Por ello, las entidades a las que se destinan las soluciones o sean titulares de los servicios prestados, indicados en el párrafo anterior, exigirán a las organizaciones privadas suministradoras o prestadoras, respectivamente, la conformidad con el ENS de sus soluciones o servicios, en los términos establecidos en la Declaración o Certificación de Conformidad con el ENS, utilizando los criterios y procedimientos previstos en la Guía CCN-STIC-809 “Declaración y Certificación de Conformidad con el ENS y Distintivos de Cumplimiento”.
  3. Será responsabilidad de las entidades receptoras de las soluciones o titulares de los servicios indicados la notificación a los operadores del sector privado, que suministren las soluciones o presten el servicio, la obligación de que estas soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Declaraciones o Certificaciones de Conformidad según lo señalado en la Guía citada.

Puede encontrar más información en la página específica sobre aplicabilidad al Sector Privado de este mismo sitio web.