LICITACIÓN – ENS

Voy a realizar una licitación en la UMH, ¿debe llevar mi pliego las cláusulas del Esquema Nacional de Seguridad?

Introducción

El Esquema Nacional de Seguridad (ENS) establece un marco común de requisitos mínimos de seguridad para el tratamiento de la información en el ámbito de la Administración Electrónica. Su cumplimiento es fundamental para garantizar la confidencialidad, integridad y disponibilidad de los datos, así como la protección de los sistemas y servicios informáticos.
La inclusión de cláusulas de ENS en un pliego de contratación dependerá de la naturaleza del servicio o artículo a contratar y del nivel de interacción de este con los sistemas de información de la universidad.

¿Cuándo es obligatorio incluir las cláusulas del ENS?

Es obligatorio incluir las cláusulas del ENS en un pliego de contratación cuando:

A) El objeto del contrato implica el tratamiento de datos de carácter personal.

En este caso hay que ponerse en contacto con la Delegada de Protección de Datos, quien proporcionará el anexo correspondiente que incluirá la cláusula del ENS ().

B) El objeto del contrato implica la conexión o acceso a sistemas de información de la universidad.

Estos son los sistemas de información de la universidad declarados en la Política de Seguridad de la Información de la UMH

    • Sistema Institucional
      • Gestión Académica
      • Gestión Económica
      • Gestión Personal
      • Gestión de la Investigación
      • Campus Virtual
    • Sistema de Administración Electrónica
      • Sede Electrónica
    • Sistema web institucional

De este modo, siempre que el objeto del contrato implique la conexión o acceso a sistemas de información de la universidad, se deberá incluir la cláusula del ENS.

A continuación se proporcionan algunos de los ejemplos más comunes, pero la variedad de casos posibles es amplia y dependerá de la naturaleza del pliego:

    • Actividades de desarrollo de software para los sistemas de información.
    • Implantación de sistemas de información
    • Prestación de servicios de mantenimiento, independientemente de que se trate de un acceso directo o indirecto, en los sistemas de información.
    • Adquisición de hardware y software, que se conecten con los sistemas de información de la universidad.

 

Cláusula que debe adjuntarse en el pliego para los casos contemplados en el apartado B

ESQUEMA NACIONAL DE SEGURIDAD:

En cumplimiento con lo dispuesto en el artículo 2 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS), el adjudicatario, siendo prestador de servicios de una Administración Pública, aportará todos aquellas evidencias necesarias para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios que presta.

El adjudicatario asumirá el cumplimiento de lo establecido en el ENS y  tendrá en cuenta la aplicación de las medidas de seguridad establecidas en el Anexo II del ENS, a una o varias dimensiones de seguridad y según el nivel determinado en cada caso. Dichos niveles de seguridad vendrán determinados conforme a lo establecido en el Anexo I del ENS por el órgano competente sobre la valoración e importancia de la información que se maneja y los servicios prestados.

De acuerdo al artículo 19 del ENS, el adjudicatario incluirá referencia precisa, documentada y acreditativa de que sus productos de seguridad, equipos, sistemas, aplicaciones o sus componentes, han sido previamente certificados por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información.

En el caso de que no exista la certificación indicada en el párrafo anterior, o esté en proceso, se incluirá, igualmente, referencia precisa, documentada y acreditativa de que son los más idóneos aportando certificados de la funcionalidad de seguridad relacionada con el objeto de su adquisición, de acuerdo con las normas y estándares de mayor reconocimiento internacional.

Respecto a la instalación y configuración de los sistemas, el adjudicatario asumirá el cumplimiento del Artículo 20 del Esquema Nacional de Seguridad, Mínimo privilegio. Así, la instalación y configuración de los sistemas deberá realizarse otorgando los mínimos privilegios necesarios para su correcto funcionamiento. En los casos en los que existan guías CCN-STIC serie 800 de aplicación para el equipamiento o servicio objeto de este documento de contratación, se tendrán en cuenta dichas guías para la instalación, configuración y ejecución.

¿Qué puede ocurrir si no se incluyen las cláusulas del ENS?

La falta de inclusión de cláusulas de ENS en un pliego de contratación puede tener las siguientes consecuencias:

    • Incumplimiento de la normativa: La universidad podría incurrir en una infracción administrativa si no garantiza la seguridad de la información que trata.
    • Riesgos para la seguridad: La información tratada en el marco del contrato podría estar expuesta a riesgos de pérdida, alteración, divulgación o acceso no autorizado al no garantizar el cumplimiento de los principios básicos y requisitos mínimos de seguridad.
    • Dificultades en la ejecución del contrato: La falta de claridad en materia de seguridad puede generar conflictos y retrasos en la ejecución del contrato.