Da igual si eres grande o pequeño, si trabajas habitual u ocasionalmente con la administración, si tus productos o servicios tienen como objeto las tecnologías y las Comunicaciones (TIC) o si utilizas elementos TIC no ya como el objeto principal sino como parte de la provisión del producto o servicio: debes saber que estás en el alcance del nuevo ENS.
Consecuentemente, si eres proveedor del sector privado de productos/servicios, los cuales incluyan activos de información como parte de la provisión a una entidad del sector público, deberás conocer tus obligaciones fijadas por el ENS.
El RD 311/2022 publicado en el BOE el 4 de Mayo por el que se regula el nuevo ENS incorpora expresamente en el alcance, como sujeto obligado, a las empresas del sector privado que trabajen para las entidades públicas.
¿Qué alcance subjetivo tiene el ENS?
Conforme al Artículo 2. Ámbito de aplicación, del citado RD
- Todo el sector público, en los términos en que este se define por el artículo 2 de la Ley 40/2015, de 1 de octubre, y de acuerdo con lo previsto en el artículo 156.2 de la misma.
- Sistemas que tratan información clasificada
- Sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.
¿Qué entendemos por sector público?
El RD 40/2015, de régimen jurídico del Sector público, recoge en su artículo 2 su ámbito Subjetivo:
- Al sector público que comprende:
- a) La Administración General del Estado.
- b) Las Administraciones de las Comunidades Autónomas.
- c) Las Entidades que integran la Administración Local y
- d) El sector público institucional.
- A su vez el sector público institucional se integra por:
- a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
- b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas.
- c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.
¿Sobre qué exigir?
Con la mirada puesta en los contratistas, el alcance objetivo de las obligaciones será para los productos y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias las entidades y sean provistos por contratistas.
¿Quién debe exigir?
Tal y como se indica en el artículo 2 del ENS:
“Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.”
Es decir, las entidades públicas deben exigir en sus licitaciones y consecuentemente los adjudicatarios cumplir y también estos, como veremos inmediatamente a continuación, exigir para poder cumplir.
En el artículo 2 se dice: “Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.”
¿Qué deben cumplir?
Conforme al Objeto del ENS deben proveer una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos, del objeto de la licitación.
Lo que incluye, no limitándose, a: una Política de seguridad que recoja al menos lo definido en el artículo 12 del RD 311/20222, dando cobertura a los principios básicos y requisitos mínimos, los análisis de riesgos y cuánta medida garantice la conformidad con el ENS.
Merece mención aparte la obligación recogida en el 13.5:
“En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio.
Dicho POC de seguridad será el propio Responsable de Seguridad de la organización contratada, formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios”
Es importante destacar que el texto contiene una errata pues dónde dice “prestataria” debe decir “prestadora”.
Ese POC será el interlocutor y enlace cualificado con el responsable de seguridad de la información de la entidad pública. Es quién conocedor de la práctica de la ciberseguridad debe responsabilizarse, de ahí que deba contar con el apoyo de su dirección, de que su empresa cumpla con lo que ha dicho que va a cumplir desde el momento mismo de presentarse a la licitación y por tanto de aceptar los requerimientos de ciberseguridad de las especificaciones técnicas. Por otro lado, canalizará ente su empresa y el responsable de seguridad, las comunicaciones de seguridad; por ejemplo, los incidentes de seguridad o la información de la gestión de las vulnerabilidades.
En el artículo 33, Capacidad de respuesta a incidentes de seguridad, se dice: “Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán al INCIBE-CERT, centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. (INCIBE) dependiente del Ministerio de Asuntos Económicos y Transformación Digital.”
La figura del POC tiene un papel relevante en un hipotético incidente de seguridad que se haya producido por ejemplo en un servicio proporcionado por su compañía a la entidad pública, tanto en la notificación a INCIBE , así como al responsable de seguridad del Organismo, como en la gestión del mismo.
Finalmente indicar que la medida op.ext.3 Protección de la cadena de suministro, para los sistemas de categoría de nivel ALTO obliga a la entidad a analizar el impacto que puede tener sobre el sistema un incidente accidental o deliberado que tenga su origen en la cadena de suministro, a estimar el riesgo sobre el sistema por el impacto de este y a tomar las medidas de contención necesarias.
¿Cómo demostrar que se cumple?
No podemos esperar que la administración que licite, a la luz de la documentación presentada como respuesta por el proveedor, audite su cumplimiento, es por ello por lo que el texto dice: “tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS”; es decir, certificando los servicios y/o productos que el contratista va a desarrollar/ integrar /suministrar /proveer u operar.
El texto del RD 311/2022 ¿ha incluido por primera vez una referencia al cumplimiento del ENS por el sector privado?
No, de una forma más básica ya encontramos referentes tanto en la Ley Orgánica 3/2018 (LOPDyGDD), como en el RD 43/2021 que desarrolla RD 12/2018 (transposición NIS); las cuales no son tan claras y especificas como las que se especifican en este nuevo ENS.
Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi .
El cumplimiento del ENS por el sector privado ya se requería en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad. Texto concreto:
VII. Soluciones y servicios prestados por el sector privado
VII.1 Cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas.
VIII.2 Es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la presente Instrucción Técnica de Seguridad.
….
De hecho, el RD 311/2022 recoge y desarrolla estos puntos.
Por otra parte, las certificaciones actuales del ENS certifican «sistemas de información». Existe una primera Guía de productos certificados, CCN-STIC 105, y se admiten también las certificaciones Common Criteria para productos.
Saludos.
Renato Aquilino Pujol
Muchas gracias Renato por tu comentario y efectivamente siendo exhaustivos y exactos, así debería haberlo incluido en el último párrafo, si bien el foco lo ponía a nivel de rango de Ley.
Efectivamente ya existía la obligación a nivel de instrucción técnica. La gran diferencia, al menos para mí, es que ahora está en un texto con rango de Ley y eso es lo que he querido destacar. El actual texto va incluso más allá y hace referencia a la obligación (en la medida que sea necesario) en la cadena de suministro, no quedándose en el adjudicatario directo.
Los que llevamos años exigiendo en las licitaciones ese compromiso del proveedor, sabemos del enorme desierto que teníamos ante nosotros por esa falta de visibilidad en rango de Ley: ni se pedía (salvo raras excepciones) ni se ofrecía y por tanto, aquellas entidades (muy pocas) que lo requerían en las especificaciones técnicas su cumplimiento, se encontraban con que en muchas ocasiones tenías que dejar desierta la adjudicación pues ni un solo licitador cumplía con el ENS; es decir, te encontrabas con la situación nada deseada de tener que volver a publicar sin esos requerimientos (pues la necesidad seguía existiendo).Espero que al estar en una redacción tan explicita en la Ley (que por cierto no estaba en los primeros borradores) todos lo tengamos mucho más presente.
Creo que es relevante en la actual redacción que de una forma clara exige que las entidades públicas requieran en todas sus licitaciones su cumplimiento. El cambio de redacción frente a la instrucción es sutil, pero creo que el uso del término “requerir” frente a “notificar” 8la seducción de las palabras) , junto con la construcción del párrafo, refuerza que: la obligación de que los adjudicatarios y por ende todos los que se presenten a las licitaciones cumplan con el ENS, debe nacer de una forma proactiva, y sin dudas, en el licitador (la Administración Pública).
Finalmente la adopción de un producto Common Criteria como producto cualificado para el ENS no es directa. El CCN dice al respecto:
“El hecho de que, tradicionalmente, en las certificaciones Common Criteria eran los propios fabricantes quienes decidían qué funcionalidades de seguridad incluían en sus certificaciones y el nivel de garantía de la certificación, hizo que nos planteásemos crear un nuevo proceso: la cualificación.
La cualificación: cuando se certifica de acuerdo a nuestros criterios.
Son productos de seguridad TIC que han superado con éxito un proceso de certificación que cumple con los requisitos establecidos por el CCN en la guía CCN-STIC-140 para la familia o familia de productos a la que pertenezca. Por todo ello, estos productos son aptos para ser utilizados en sistemas bajo el alcance del ENS cuya categoría sea, como máximo, la categoría para la cual se han cualificado (ALTA o MEDIA/BÁSICA). Todos los productos que han finalizado el proceso de cualificación poseen, además, un Procedimiento de Empleo Seguro. Mediante la cualificación se garantiza que la funcionalidad de seguridad que incluye el producto es la más adecuada para su uso en la Administración.
Podrás encontrar el listado de Productos Cualificados en el Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC) que publica el CCN (CCN-STIC-105 o en https://www.ccn.cni.es/cpstic).”
Muchas gracias por enriquecer la discusión de este tema.