Se acerca el plazo para la plena adaptación de los proveedores al Esquema Nacional de Seguridad (ENS) de las administraciones públicas españolas. El PEC para el Sector Sanitario acaba de ser anunciado. Pero no sólo es necesario obtener las correspondientes autorizaciones/declaraciones, sino tener habilitada toda la arquitectura del proveedor para poder ser adjudicatario de contratos o poder ejecutar el servicio o suministro que se adjudique.
Tiene por objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
El ENS se encuentra actualmente regulado en el Real Decreto 311/2022, de 3 de mayo, que actualiza la primera versión del ENS aprobado en el año 2010, adaptándolo a los cambios legislativos experimentados desde su primera versión (RGPD y nueva normativa europea y ciberseguridad). En su nueva versión, el ENS prevé que el 4 de mayo de 2024 tanto el sector público como el sector privado tienen que alcanzar su plena adecuación al ENS. Y esta obligación se extiende igualmente a la cadena de suministro de los contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
Es importante recordar que dicha clasificación deberá ser proporcional a la naturaleza de la información que se maneja, de los servicios que se prestan y de los riesgos a los que están expuestos, debiendo justificarse en la documentación administrativa de la licitación.
Precisamente buscando esa proporcionalidad, este mes se ha publicado una nueva Guía CCN-STIC 891 sobre Perfil de Cumplimiento Específico (PCE) para Salud y Prestación Sanitaria a Pacientes (Atención Primaria y Atención Especializada). Este documento pretende facilitar la conformidad con el ENS a este sector, incluyendo un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 311/2022, pero que, tras su preceptivo análisis de riesgos, resultan de aplicación en este ámbito y garantizan un nivel mínimo de seguridad.
Surge la duda si a partir de dicha fecha bastaría el compromiso de futuro, de disponer de una o la otra, en caso de convertirse en contratista y en ejecución del contrato, circunstancia esta última que consideran como una opción más favorecedora de la concurrencia que la exigencia de acreditación en la propia oferta, y, por tanto, más conveniente, siempre que sea adecuado al objeto del contrato, y atendidas las circunstancias concurrentes. Algún informe de Junta de Consultiva apoya esta posibilidad si se trata de una condición de ejecución, posibilidad que debe recalibrarse a la vista de la terminación del periodo transitorio el próximo 4 de mayo.