La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a la seguridad entre los principios de actuación de las administraciones públicas y recoge el Esquema Nacional de Seguridad (ENS), de aplicación a todo el Sector Público, que ofrece un planteamiento común de principios básicos, requisitos mínimos y medidas de seguridad.

Por su parte, el Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos concreta en diferentes preceptos la obligación del cumplimiento de las medidas de seguridad previstas en el ENS.

El Esquema Nacional de Seguridad, que ha sufrido un proceso de evolución continua desde su primer desarrollo en 2010 (RD 3/2010, de 8 de enero, RD 951/2015 y RD 311/2022), establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.

El Esquema Nacional de Seguridad (ENS) es un conjunto normativo que posibilita crear y mantener las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, para facilitar el ejercicio de derechos y cumplimiento de deberes a través de estos medios.

Para las entidades públicas de su ámbito de aplicación, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.

Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.

Desde la entrada en vigor de la Ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de Régimen Jurídico del Sector Público, ambas de 1 de octubre, (que derogaron la Ley 11/2007, de Acceso de los ciudadanos a los Servicios Públicos), el ámbito de aplicación subjetivo del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), es coincidente con el señalado en la Ley 40/2015: el Sector Público, tal y como se encuentra definido en el art. 2 de dicha norma.

Así pues, el ámbito de aplicación del ENS se extiende, en general, a todas aquellas actividades que las entidades del Sector Publico puedan desarrollar conforme al Derecho Público, bien porque se trate de entidades de las Administraciones Públicas o de actividades de entidades que ejerzan potestades administrativas, bien porque desarrollen sus funciones en base al Derecho Público. Todo ello está recogido en la Guía CCN-STIC 830: Ámbito de aplicación del ENS.

De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), las Entidades de Certificación de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.

Estarán exentas del cumplimiento de los requisitos señalados anteriormente aquellas entidades, órganos, organismos y unidades vinculadas o dependientes de las Administraciones Públicas cuyas competencias incluyan el desarrollo de auditorías de sistemas de información, así conste en su normativa de creación o decretos de estructura y quede garantizada la debida imparcialidad.

Como señala el RD 3/2010 (ENS), los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.

Además, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de esta auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.

Por otro lado, como señala la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, la Certificación de la Conformidad con el ENS de los sistemas de información con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero.

Esta misma Instrucción Técnica de Seguridad señala que la Certificación de Conformidad con el ENS se basará en el resultado de la antedicha auditoría, disponiendo de una validez efectiva de dos años, siempre que, por lo señalado, no sea necesario acometer una auditoría extraordinaria con anterioridad.

Por todo lo dicho, la «Fecha de renovación de la certificación de conformidad» que aparezca en la Certificación de Conformidad nunca podrá superar los dos años naturales desde la «Fecha de certificación de conformidad inicial» (que debe entenderse como la fecha en la que el órgano de certificación de la entidad decide otorgar dicha Certificación), pudiendo ser menor si las circunstancias así lo exigen.

Por todo ello, la auditoría se deberá planificar convenientemente de modo que la decisión de certificación subsiguiente se pueda tomar dentro del período de validez de la certificación precedente.