Novedades del ENS para la contratación pública: nuevo PCE para el sector sanitario

Se acerca el plazo para la plena adaptación de los proveedores al Esquema Nacional de Seguridad (ENS) de las administraciones públicas españolas. El PEC para el Sector Sanitario acaba de ser anunciado. Pero no sólo es necesario obtener las correspondientes autorizaciones/declaraciones, sino tener habilitada toda la arquitectura del proveedor para poder ser adjudicatario de contratos o poder ejecutar el servicio o suministro que se adjudique.

1. El Esquema Nacional de Seguridad (en lo sucesivo, el “ENS”) está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por todo el sector público y por el sector privador que preste servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

Tiene por objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

El ENS se encuentra actualmente regulado en el Real Decreto 311/2022, de 3 de mayo, que actualiza la primera versión del ENS aprobado en el año 2010, adaptándolo a los cambios legislativos experimentados desde su primera versión (RGPD y nueva normativa europea y ciberseguridad). En su nueva versión, el ENS prevé que el 4 de mayo de 2024 tanto el sector público como el sector privado tienen que alcanzar su plena adecuación al ENS. Y esta obligación se extiende igualmente a la cadena de suministro de los contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.

2. La plena conformidad al ENS se manifestará con la exhibición del correspondiente distintivo de conformidad que establezcan los pliegos de prescripciones administrativas o técnicas, que establecerán la necesidad de presentar las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS, según los sistemas de información sean de categoría BÁSICA (solo requerirán de una autoevaluación ) o MEDIA O ALTA (en cuyo caso precisarán de una auditoría formal bianual realizada por personal cualificado, e independiente del servicio/sistema que esté auditando), conforme los modelos documentales contenidos en la Instrucción Técnica de Seguridad de 13 de octubre de 2016.

Es importante recordar que dicha clasificación deberá ser proporcional a la naturaleza de la información que se maneja, de los servicios que se prestan y de los riesgos a los que están expuestos, debiendo justificarse en la documentación administrativa de la licitación.

Precisamente buscando esa proporcionalidad, este mes se ha publicado una nueva Guía CCN-STIC 891 sobre Perfil de Cumplimiento Específico (PCE) para Salud y Prestación Sanitaria a Pacientes (Atención Primaria y Atención Especializada). Este documento pretende facilitar la conformidad con el ENS a este sector, incluyendo un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 311/2022, pero que, tras su preceptivo análisis de riesgos, resultan de aplicación en este ámbito y garantizan un nivel mínimo de seguridad.

3. Finalmente interesa recordar que, como han señalado los tribunales administrativos de contratos, la conformidad al ENS no puede ser suplida por la clasificación como contratista de servicios, al no ser un requisito de solvencia, sino como característica que ha de reunir el producto o servicio en cuestión, sin perjuicio de que también puede configurarse como una condición de ejecución del contrato (pero no de adjudicación del mismo).

Surge la duda si a partir de dicha fecha bastaría el compromiso de futuro, de disponer de una o la otra, en caso de convertirse en contratista y en ejecución del contrato, circunstancia esta última que consideran como una opción más favorecedora de la concurrencia que la exigencia de acreditación en la propia oferta, y, por tanto, más conveniente, siempre que sea adecuado al objeto del contrato, y atendidas las circunstancias concurrentes. Algún informe de Junta de Consultiva apoya esta posibilidad si se trata de una condición de ejecución, posibilidad que debe recalibrarse a la vista de la terminación del periodo transitorio el próximo 4 de mayo.

4. Desde Fieldfisher, prestamos asesoramiento en el control de legalidad estos requerimientos desde la perspectiva de contratación pública, y a través de nuestro equipo de Tech&Data, y en colaboración con auditores de sistemas de información con plena experiencia en la materia, ayudamos a las organizaciones en todos los estadios de implementación de Sistemas de Gestión de la Seguridad de la Información basados en estándares de mercado, incluido el ENS (Gap Analysis, implementación, auditoría y acompañamiento en la certificación).