Noticias

Comienza el contenido principal

Para presentarse a licitaciones con la Administración las empresas están obligadas a certificarse en ciberseguridad

| Noticias | LegalTech

Vicente Moret, Of Counsel de Andersen, explica en Confilegal las novedades del Real Decreto 311/2022 por el que se reforma el Esquema Nacional de Seguridad (ENS)

Para presentarse a licitaciones con la Administración las empresas están obligadas a certificarse en ciberseguridad.

Esto va a ser así para siempre. Las empresas tienen que tenerlo muy presente. Lo explican muy bien Vicente Moret, letrado en Cortes y «Of Counsel» de Andersen, y Francisco Pérez Bes, socio de derecho digital de Ecix Group y exsecretario general del Instituto Nacional de Ciberseguridad de España (INCIBE).

“En los pliegos, se deberán contemplar todos los requisitos necesarios para asegurar la conformidad con el Esquema Nacional de Seguridad (ENS) de los sistemas de información en los que se sustenten los servicios prestados por los contratistas”, afirma Moret.

Así lo establece el artículo 2.3 de la norma que en procedimientos de licitación de contratos públicos. Con lo que se deberán presentar las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.

Es la consecuencia de la publicación, el pasado 3 de mayo, del Real Decreto 311/2022 por el que se reforma el Esquema Nacional de Seguridad (ENS), derogando la anterior normativa, que databa de 2010.

Desde el punto de vista de Moret, “el cambio del marco regulador es sustancial y se recomienda a todas las empresas incluidas en el ámbito de aplicación, que evalúen de inmediato el impacto de esta norma en su negocio, así como su nivel de alineamiento con el nuevo ENS”.

Para este jurista “la gran novedad es precisamente la extensión de su ámbito de aplicación, que sale del estricto alcance anterior limitado al sector público. A partir de ahora una gran cantidad de empresas privadas se verán obligadas a cumplir con las regulaciones incluidas en el ENS”.

En cuanto a los aspectos que el nuevo ENS demanda, Moret indica que “será exigible a estas empresas privadas la aprobación de una Política de Seguridad por el órgano que ostente las máximas competencias ejecutivas, con el contenido mínimo y requisitos que marca el artículo 12 del nuevo ENS”

En su opinión, “esto dotará de certeza jurídica al contenido, estructura y obligaciones de las Políticas de Seguridad que deben aprobar las empresas”.

Se introducen y regulan normativamente unos principios básicos que se pueden aplicar de forma universal como base para construir un sistema sólido de gobernanza de la seguridad digital.

Moret señala que esos principios son ”los de seguridad como proceso integral, gestión de la seguridad basada en los riesgos, prevención, detección, respuesta y conservación”.

Al mismo tiempo se tendrán en cuenta otros principios como “la existencia de líneas de defensa; la vigilancia continua, así como la reevaluación periódica y la diferenciación de responsabilidades”.

Con la diferenciación de responsabilidades, “por vez primera se ordenan de modo taxativo las diferentes funciones de los responsables: responsable de la información; responsable del servicio; el responsable de la seguridad y el responsable del sistema”, subraya.

También destaca que “la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información”.

Este jurista también revela que “se asienta el principio de que la seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización y por ello deberá ser conocida por todas las personas que formen parte de la organización”.

En el caso de servicios de seguridad digital externalizados, «la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado”.

Puede leer el artículo completo en Confilegal.

Fin del contenido principal