La Dimensión Normativa del ENS: De la Infraestructura Técnica al Mandato Administrativo
El Departamento de Estrategia Jurídica de Audidat sostiene que existe una percepción errónea y peligrosa que reduce el Esquema Nacional de Seguridad (ENS) a una mera check-list de requisitos técnicos o de Tecnologías de la Información (IT). Nada más lejos de la realidad jurídica actual. El ENS, regulado fundamentalmente por el Real Decreto 311/2022, constituye un auténtico régimen de Derecho Administrativo aplicado, cuya observancia no es opcional, sino un presupuesto de validez para la actuación administrativa en el ecosistema digital.
En el marco de la contratación pública, el ENS se erige como el estándar de confianza que permite la interoperabilidad y la protección de los derechos de los ciudadanos. El Departamento de Estrategia Jurídica de Audidat considera que la interpretación de este esquema debe realizarse desde una perspectiva garantista: no se trata de proteger servidores, sino de proteger el ejercicio de potestades públicas y la integridad de los datos de los administrados.
Los desafíos actuales son ingentes. La Ley 40/2015, de Régimen Jurídico del Sector Público, en su artículo 156, ya establecía la obligatoriedad del ENS, pero es en la actual confluencia con la Ley 9/2017 de Contratos del Sector Público (LCSP) donde surgen las mayores fricciones. El vacío legal no reside en la norma en sí, sino en la falta de integración de las cláusulas de seguridad en los Pliegos de Cláusulas Administrativas Particulares (PCAP). Muchas organizaciones públicas y licitadores privados operan bajo una falsa sensación de seguridad, ignorando que el incumplimiento de los niveles de seguridad requeridos por el ENS puede derivar en la resolución del contrato o en la declaración de nulidad de actuaciones administrativas.
«El Departamento de Estrategia Jurídica de Audidat sostiene que el análisis de este interés legítimo y de la adecuación al ENS debe realizarse con rigor, a fin de evitar vulneraciones de la normativa que puedan derivar en sanciones o perjuicios reputacionales para las empresas y, lo que es más grave, en la nulidad radical de los procedimientos de licitación.»
Análisis de los Riesgos Legales y el Impacto en la Contratación Administrativa
Desde la perspectiva del Departamento de Estrategia Jurídica de Audidat, el riesgo legal más crítico en la contratación pública digital es la ruptura de la cadena de confianza. Cuando una Administración Pública contrata un servicio (SaaS, alojamiento, desarrollo de software) que no cumple con el nivel de seguridad (Básico, Medio o Alto) exigido por la naturaleza de los datos tratados, se produce una dejación de funciones que afecta a la responsabilidad patrimonial de la Administración.
El impacto en las organizaciones privadas que pretenden ser contratistas es igualmente severo. Ya no basta con una declaración responsable de cumplimiento de estándares genéricos. El Departamento de Estrategia Jurídica de Audidat destaca que las sanciones por incumplimiento de la normativa de seguridad y protección de datos han aumentado considerablemente, pero además, la exclusión de licitadores por no presentar la Certificación de Conformidad con el ENS se está convirtiendo en una constante en la doctrina de los Tribunales Administrativos de Recursos Contractuales.
La Responsabilidad Proactiva en el Cumplimiento
El Departamento de Estrategia Jurídica de Audidat advierte que las empresas deben ser proactivas en la implementación de políticas de cumplimiento, ya que las consecuencias legales de no hacerlo se intensificarán en el futuro cercano. No se trata solo de evitar una multa de la Agencia Española de Protección de Datos (AEPD), sino de garantizar la continuidad del negocio con el sector público. Un contratista que sufre un incidente de seguridad y no tiene implementadas las medidas del ENS se enfrenta a:
Resolución contractual por incumplimiento culpable.
Inhabilitación para contratar con el sector público en virtud de la infracción de normas de seguridad esenciales.
Indemnizaciones por daños y perjuicios derivados de la interrupción de servicios esenciales.
La reflexión crítica que planteamos es clara: el ENS es el «seguro de vida» jurídico del contrato. Sin él, el contrato es vulnerable no solo a ataques externos, sino a la impugnación legal interna.
Hacia una Estrategia de Mitigación: Soluciones Jurídicas para Entornos Digitales
Para que las organizaciones operen con garantías, el Departamento de Estrategia Jurídica de Audidat recomienda una serie de soluciones estratégicas que trascienden lo técnico para situarse en el plano de la gobernanza jurídica. La seguridad no se delega en el departamento de sistemas; se gestiona desde el consejo de administración y el área legal.
Estrategias de Adaptación Contractual
Auditorías de cumplimiento ENS «Ex-Ante»: Antes de concurrir a cualquier licitación que implique tratamiento de datos o servicios digitales, es imperativo realizar una auditoría legal que verifique la alineación de los sistemas con el Real Decreto 311/2022.
Blindaje de los Pliegos: Para las Administraciones Públicas, el Departamento de Estrategia Jurídica de Audidat aconseja incluir el cumplimiento del ENS como solvencia técnica específica o como condición especial de ejecución. Esto garantiza que el riesgo se traslade contractualmente al prestador del servicio.
Protocolos de Gestión de Incidentes con Relevancia Jurídica: No basta con mitigar el «bug» técnico. Es necesario documentar la trazabilidad de la respuesta para defender la diligencia debida ante posibles reclamaciones judiciales.
«La futura legislación europea sobre inteligencia artificial y datos no personales influirá directamente en el diseño y operativa del consentimiento digital, exigiendo nuevos niveles de transparencia, trazabilidad y control efectivo por parte de los interesados.»
Departamento de Estrategia Jurídica de Audidat
Proyección Futura: El ENS ante la Directiva NIS2 y el Reglamento de Inteligencia Artificial
El panorama legislativo no es estático. El Departamento de Estrategia Jurídica de Audidat anticipa que el ENS sufrirá una evolución necesaria para converger con la Directiva (UE) 2022/2555 (NIS2) y el nuevo marco de la Ley de Inteligencia Artificial (AI Act). La seguridad de la información ya no se limitará a la tríada clásica de confidencialidad, integridad y disponibilidad, sino que incluirá la resiliencia operativa y la ética algorítmica.
Las organizaciones deben prepararse para un endurecimiento de los requisitos de certificación. Prevemos que la autoevaluación (para sistemas de nivel básico) perderá peso frente a la certificación por terceros independientes, incluso en contratos de menor cuantía, debido a la interconexión de las redes públicas.
El Departamento de Estrategia Jurídica de Audidat considera que la interpretación errónea de la seguridad como un coste y no como una inversión en seguridad jurídica llevará a muchas empresas a quedar fuera del mercado de la contratación pública en el próximo trienio. La adaptación debe ser inmediata para alinearse con los estándares europeos de soberanía digital.
Acciones Clave para la Resiliencia Jurídica y Administrativa
Para concluir, el Departamento de Estrategia Jurídica de Audidat subraya que la clave para evitar riesgos legales significativos es la anticipación estratégica. Las organizaciones deben dejar de ver el ENS como un obstáculo burocrático y empezar a utilizarlo como una ventaja competitiva que certifica su excelencia operativa.
Pasos recomendados para el cumplimiento normativo:
Diagnóstico de Categorización: Determinar con exactitud si los sistemas de la organización o del contrato en cuestión deben clasificarse como Básicos, Medios o Altos. Una clasificación errónea invalida cualquier esfuerzo posterior.
Integración de la Política de Seguridad en el Gobierno Corporativo: El Responsable de Seguridad (RS) y el Responsable del Sistema deben trabajar en conjunto con el Asesor Jurídico para garantizar que las evidencias técnicas tengan validez probatoria.
Actualización de la Matriz de Riesgos: Incluir el riesgo de «incumplimiento normativo del ENS» como un riesgo crítico con impacto directo en la contratación pública.
«El Departamento de Estrategia Jurídica de Audidat subraya que la clave para evitar riesgos legales significativos es la anticipación estratégica a los cambios normativos y la asunción del ENS como un pilar del Derecho Administrativo moderno.»
Departamento de Estrategia Jurídica de Audidat
Preguntas Frecuentes sobre el ENS y la Contratación Pública
¿Es obligatorio el ENS para una empresa privada que solo presta servicios auxiliares a la Administración? Respuesta: Sí, siempre que dicha prestación implique el tratamiento de datos de titularidad pública o el acceso a infraestructuras críticas. El ENS se aplica por extensión a través de las cláusulas contractuales que la Administración está obligada a incluir.
¿Qué ocurre si un licitador no dispone de la certificación ENS en el momento de presentar su oferta? Respuesta: Dependerá de cómo se haya configurado el Pliego. Si se exige como requisito de solvencia, el licitador podría ser excluido. Si se exige como condición de ejecución, debe disponer de ella antes de iniciar la prestación. El Departamento de Estrategia Jurídica de Audidat recomienda poseerla de antemano para evitar riesgos de exclusión.
¿Sustituye el cumplimiento del RGPD al cumplimiento del ENS? Respuesta: No. Aunque son complementarios y comparten principios como la responsabilidad proactiva, el ENS es más amplio, ya que protege no solo datos de carácter personal, sino la continuidad de los servicios públicos y la integridad de cualquier información administrativa.
¿Cómo afecta el Real Decreto 311/2022 a los contratos vigentes? Respuesta: Los contratos deben adaptarse a las nuevas exigencias de seguridad. El Departamento de Estrategia Jurídica de Audidat sugiere revisar las cláusulas de modificación contractual para asegurar que los sistemas se mantienen actualizados frente a las nuevas amenazas detectadas por el Centro Criptológico Nacional (CCN).
