lawandtrends.com

LawAndTrends



La seguridad informática y electrónica de los proveedores de bienes y servicios al Sector Público se ha convertido en una exigencia ineludible. Primero fue la obligación de que las Entidades Públicas -definidas en los términos de la Ley 40/2015, de 1 de octubre, del Régimen del Sector Público. Segundo, la más problemática – desde la perspectiva aplicativa- es la previsión que se contiene en el artículo 2º del RD 311/2022, de 3 de mayo por el que se regula el Esquema nacional de Seguridad.

Específicamente el precepto en cuestión señala que <<…3. Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, incluida la obligación de contar con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

La política de seguridad a que se refiere el artículo 12 será aprobada en el caso de estas entidades por el órgano que ostente las máximas competencias ejecutivas.

Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.

Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos…>>.

Por tanto, una norma pensada, esencialmente, en clave interna porque el ENS arranca de una previsión interna contenida en la Ley 40/2015 se convierte en una exigencia para los contratistas y proveedores de servicios de información a las Administraciones Públicas.

La introducción de un requisito de capacidad, de solvencia o de cualificación profesional (apasionante debate sobre la naturaleza jurídica de la acreditación exigida en el ámbito de la relación de provisión de bienes y servicios) plantea problemas de interpretación porque la propia norma no configura la seguridad como un elemento único que establece la idea de que se posee o no, sino que se proyecta sobre diferentes categorías jurídicas que operan en función de la previa evaluación de riesgos.

Es cierto, sin embargo, que lo que parece tan sencillo -hacer coincidir los niveles de seguridad exigibles con los riesgos detectados se convierte en un elemento muy complejo no solo para las dificultades reales de esta planificación sino, adicionalmente, por la imposibilidad de objetivar y publicar dicho debate o reflexión sobre los riesgos.

Esta insuficiencia general de un esquema que admite con muchas dificultades la publicidad y la exigencia de una clasificación del riesgo como requisito para la contratación administrativa introduce en este marco una dificultad adicional consistente en determinar los criterios para que un determinado grado de seguridad se incluya como exigencia de los pliegos y de la contratación.

Sin una cohesión general entre el riesgo (desconocido) y los requisitos de seguridad para su adveración, el juicio de los órganos administrativos se convierte en aleatorio y con una fundamentación ciertamente escasa. Esta circunstancia introduce un elemento de confrontación en la exigencia de los órganos administrativos que tendrá que ser reconducida por la doctrina de los tribunales contencioso-administrativos por la vía de la proporcionalidad y los criterios generales.

En este mismo sentido, los esquemas de acreditación de procesos y de productos son, igualmente, heterogéneos y el mismo debate que se ha planteado puede multiplicarse exponencialmente.

Cuando aún no estamos repuestos de las incógnitas que se plantean estamos ante un nuevo reto. Fue en el año 2016 cuando la Unión Europea aprobó la directiva NIS, que en la legislación de nuestro país se vio reflejada en el Real Decreto Ley 12/2018.NIS estaba pensada para obligar a establecer medidas de ciberseguridad a las empresas de servicios esenciales.

En este marco se aprobó la Directiva NIS2 que entró en vigor el 16 de enero de 2023 y que tiene el 17 de enero de 2025 como fecha máxima de entrada en vigor.( Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2)…>>.

Según el artículo 2 de la misma <<…1.   La presente Directiva se aplicará a las entidades públicas o privadas de alguno de los tipos mencionados en los anexos I o II que sean consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo, y que presten sus servicios o lleven a cabo sus actividades en la Unión..>>. Esta referencia se concreta en el Anexo I (Sectores de alta criticidad- energía, transporte, banca, infraestructura de mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC, Entidades la Administración Pública, administraciones regionales, espacio-) y en el Anexo II(Otros sectores críticos – servicios postales y de mensajería; -gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción de alimentos, fabricación, proveedores de servicios digitales, investigación- ). En su aspecto aplicativo, la Directiva diferencia, posteriormente, entre entidades esenciales e importantes estableciendo algunas diferencias en el marco de las obligaciones.

Lo característico es que el cumplimiento de las obligaciones de ciberseguridad se somete a criterios de acreditación – tendencialmente en el marco europeo de certificación- que, de nuevo reproduce el problema de su inserción vía capacidad, solvencia o requisitos profesional en la contratación administrativa, cuestión que, claro está, no se prejuzga desde la normativa de ciberseguridad.

El problema, una vez más, es que la Directiva no estará transpuesta al Ordenamiento Español y que en enero reabriremos nuevos-viejos debates sobre la aplicación directa de la normativa comunitaria por producir efectos reales y verticales en la capacidad de los contratistas públicos.

Esto nos permite indicar que la aplicación real de las técnicas de ciberseguridad a la contratación administrativa está lejos de estar aclarada y que se incrementan las exigencias y los niveles de certificación y eso introduce una problemática específica en la capacidad de contratación con las Administraciones Públicas.

Pulsa en la imagen para inscribirte




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad