El Esquema Nacional de Seguridad en el marco de la cooperación público-social en Euskadi

Este breve analiza el Esquema Nacional de Seguridad (ENS) en el contexto de la cooperación público-social en Euskadi y su impacto en las entidades del Tercer Sector Social que participan en la provisión de servicios de responsabilidad pública. El texto presenta el marco general de la seguridad de la información en un entorno de creciente digitalización, explica la finalidad y lógica de aplicación del ENS y aclara en qué situaciones resulta exigible para las organizaciones del sector. Asimismo, aborda los niveles de seguridad previstos, los principales requisitos organizativos y técnicos y algunas cuestiones prácticas relacionadas con la contratación pública y la coordinación entre administraciones.

Digitalización e intervención social

La progresiva digitalización de los sistemas de bienestar y de los servicios de responsabilidad pública ha transformado de manera profunda las condiciones en las que se desarrolla la intervención social. La gestión de expedientes, el acceso a prestaciones, el seguimiento de itinerarios de inclusión, la coordinación entre sistemas y la evaluación de políticas públicas descansan hoy, de forma creciente, sobre infraestructuras digitales y sobre el tratamiento intensivo de información. En este contexto, la información deja de ser un mero soporte administrativo para convertirse en un elemento estructural de la acción pública.

En el ámbito de la intervención social, esta transformación adquiere una especial relevancia. Las entidades que operan en este campo trabajan habitualmente con datos de carácter personal y, en muchos casos, con información especialmente sensible: datos relativos a la salud, a la situación socioeconómica, a la discapacidad, a la dependencia, a la protección de la infancia o a trayectorias vitales marcadas por situaciones de vulnerabilidad o exclusión. La calidad de la intervención, la continuidad del servicio y la garantía de derechos dependen, en buena medida, de la integridad, disponibilidad y confidencialidad de esta información.

La digitalización ha permitido avances significativos en términos de eficiencia, coordinación interinstitucional y capacidad de respuesta, pero también ha introducido nuevos riesgos (fallas de seguridad, acceso no autorizado a datos privados, etc.). que pueden tener consecuencias graves, no solo desde el punto de vista organizativo o jurídico, sino también en términos de impacto directo sobre las personas usuarias de los servicios. En el ámbito social, estos impactos se amplifican, al afectar a colectivos que, por definición, se encuentran en situaciones de especial fragilidad.

Tradicionalmente, la preocupación por la información en las organizaciones se ha canalizado fundamentalmente a través de la protección de datos de carácter personal. Sin embargo, el proceso de digitalización ha puesto de manifiesto que la protección de datos, siendo imprescindible, resulta insuficiente si no se aborda de forma integrada la seguridad de los sistemas de información en su conjunto. La seguridad ya no se limita al cumplimiento de obligaciones formales, sino que se vincula directamente con la capacidad de garantizar la prestación continuada y fiable de servicios públicos.

En este escenario, la seguridad de la información y de los sistemas se configura como una condición básica de la responsabilidad pública. No se trata únicamente de prevenir incumplimientos normativos, sino de asegurar que los servicios esenciales puedan prestarse de manera estable y confiable. Esta exigencia afecta a todas las organizaciones que participan en la provisión de servicios de responsabilidad pública, con independencia de su naturaleza jurídica, y adquiere una especial relevancia en aquellos modelos —como el vasco— que descansan de forma significativa en la colaboración público-social.

Es en este contexto donde cobra sentido el Esquema Nacional de Seguridad. Su aparición y desarrollo responden a la necesidad de dotar al conjunto del sector público y a sus proveedores de un marco común que permita gestionar los riesgos asociados a la digitalización de manera sistemática, proporcionada y coherente con la protección de los derechos de la ciudadanía.

El Esquema Nacional de Seguridad (ENS): finalidad y lógica de aplicación

El Esquema Nacional de Seguridad (ENS) es el marco normativo que establece los principios, requisitos y medidas necesarios para garantizar la seguridad de los sistemas de información utilizados por las administraciones públicas y por las entidades que prestan servicios o gestionan información por cuenta de estas. Su finalidad principal es asegurar que el uso de medios electrónicos en la acción pública se realice de forma segura y fiable, protegiendo tanto la información como los servicios que dependen de ella.

El ENS se configura, por tanto, como un instrumento de política pública orientado a la protección de derechos y a la garantía de la continuidad y calidad de los servicios públicos en un entorno crecientemente digitalizado. No se trata únicamente de prevenir accesos indebidos o brechas de seguridad, sino de asegurar que los sistemas de información puedan resistir incidentes, recuperarse de ellos y seguir prestando los servicios esenciales de los que depende la ciudadanía.

El marco actualmente vigente está regulado por el Real Decreto 311/2022, que actualiza y sustituye al anterior Esquema Nacional de Seguridad aprobado en 2010. Esta actualización responde a la evolución tecnológica, al incremento de los riesgos asociados a la digitalización y a la necesidad de alinear la seguridad de los sistemas públicos con los estándares y enfoques europeos e internacionales.

Desde el punto de vista de su lógica de funcionamiento, el ENS no establece un conjunto uniforme de obligaciones idénticas para todas las organizaciones y sistemas. Por el contrario, se articula sobre el principio de proporcionalidad. Esto significa que las medidas de seguridad exigibles deben adecuarse al nivel de riesgo asociado a cada sistema de información, teniendo en cuenta factores como el tipo de servicio prestado, la naturaleza de la información tratada y el impacto potencial de un incidente de seguridad.

Uno de los elementos centrales del ENS es la categorización de los sistemas de información en distintos niveles de seguridad: bajo, medio y alto. Esta categorización se realiza a partir del análisis del impacto que tendría un incidente sobre la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información y de los servicios. En función del nivel asignado, se determinan los requisitos organizativos y técnicos que deben implantarse para gestionar adecuadamente los riesgos identificados.

El ENS se apoya asimismo en una serie de principios básicos que orientan su aplicación. Entre ellos destacan la gestión continuada de la seguridad, la prevención, la detección y respuesta ante incidentes, la recuperación y la mejora permanente de los sistemas (ver capítulo II de la ley). La seguridad deja de concebirse como un estado estático o como un cumplimiento puntual, para entenderse como un proceso dinámico que debe integrarse en la gestión ordinaria de las organizaciones.

En cuanto a su ámbito de aplicación (artículo 2), el ENS es de obligado cumplimiento para todas las administraciones públicas. Asimismo, se extiende a aquellas organizaciones privadas que prestan servicios o gestionan información por cuenta de una administración pública, en la medida en que participan en la provisión de servicios públicos o en el tratamiento de información vinculada a estos. Este elemento resulta especialmente relevante en contextos, como el de la intervención social, en los que la provisión de servicios descansa de forma significativa en modelos de colaboración público-social.

Conviene subrayar que el ENS no exige necesariamente la certificación formal de todos los sistemas o entidades, ni impone de manera automática los niveles más altos de seguridad. Su aplicación se concreta a través de las relaciones jurídicas y funcionales entre administraciones y proveedores, y se materializa en función de los servicios efectivamente prestados y de los sistemas de información utilizados. En este sentido, el ENS opera como un marco de referencia común que orienta las políticas de seguridad, las exigencias contractuales y los procesos de adaptación progresiva de las organizaciones. Para el Tercer Sector Social, comprender qué es el ENS y cómo funciona resulta un paso imprescindible para situar correctamente sus implicaciones reales.

Cuándo resulta obligatorio el cumplimiento del ENS para las entidades del Tercer Sector Social

Como ya se ha mencionado, el cumplimiento del ENS resulta obligatorio para aquellas entidades que, sin formar parte del sector público, prestan servicios o gestionan información por cuenta de una administración pública. Por ejemplo, en el caso de organizaciones del TSSE, cuando intervienen en la gestión directa de servicios como recursos residenciales, dispositivos de atención a personas con discapacidad, servicios de inclusión social, etc.).

Por tanto, hay que señalar de entrada y en sentido inverso, los supuestos en los que NO resulta exigible para las entidades del tercer sector social el cumplimiento del ENS:

1. Un primer supuesto es el de las subvenciones públicas destinadas a financiar actividad propia de las entidades, cuando estas no implican la prestación de un servicio público externalizado ni el tratamiento de información por cuenta de la administración concedente. En estos casos, la entidad desarrolla su actividad con autonomía organizativa y funcional, utilizando sus propios sistemas de información y gestionando datos cuya responsabilidad no corresponde a la administración. La mera financiación pública, por sí sola, no activa la aplicación del ENS.
2. Un segundo supuesto es el de aquellas actividades de iniciativa social no integradas en sistemas públicos de información, aun cuando se desarrollen en ámbitos coincidentes con políticas públicas. Proyectos comunitarios, acciones de sensibilización, acompañamientos informales o iniciativas piloto impulsadas por entidades del Tercer Sector Social pueden implicar el tratamiento de datos personales, pero no por ello quedan automáticamente sujetas al ENS si no existe una integración en sistemas de información de titularidad pública.
3. También quedan fuera del ámbito de aplicación directa del ENS aquellas actividades en las que la entidad no accede a sistemas públicos ni actúa como encargada del tratamiento, sino que trata información bajo su propia responsabilidad y con fines propios. En estos supuestos, las obligaciones en materia de seguridad se rigen fundamentalmente por la normativa de protección de datos, sin que resulte exigible la adopción de las medidas específicas previstas en el Esquema Nacional de Seguridad.

Conviene subrayar, no obstante, que la no exigibilidad directa del ENS no implica ausencia de obligaciones en materia de seguridad. Todas las entidades del Tercer Sector Social deben garantizar un nivel adecuado de protección de la información que gestionan, especialmente cuando se trata de datos sensibles. La diferencia radica en que, en estos supuestos, el marco de referencia no es el ENS, sino, como acabamos de señalar, la normativa general de protección de datos y las buenas prácticas organizativas en materia de seguridad de la información.

Además, en la práctica, una misma entidad del Tercer Sector Social puede encontrarse, simultáneamente, en situaciones distintas respecto al ENS. Determinadas actividades propias, no integradas en la provisión de servicios de responsabilidad pública, pueden quedar fuera de su ámbito de aplicación, mientras que otras actividades desarrolladas por encargo de una administración pública sí pueden estar sujetas a los requisitos del Esquema.

Veamos a continuación aquellos contextos en los que dicho cumplimiento SÍ resulta exigible:

La aplicación del ENS en el ámbito de la cooperación público-social plantea algunas dudas frecuentes. A continuación, se recogen varias preguntas que ayudan a delimitar en qué contextos puede resultar exigible su cumplimiento para las entidades del Tercer Sector Social.Principio del formularioFinal del formulario

1. En el ámbito de la intervención social, pueden darse actuaciones de interés general impulsadas por las administraciones públicas vascas con el concurso de entidades del TSS que queden al margen, por ejemplo, de la cartera de servicios y prestaciones del Sistema Vasco de Servicios Sociales. Por ejemplo, programas y actuaciones que una administración decide ofrecer para mejorar la atención en su territorio, pero que no son exigibles como un derecho (programas de carácter innovador, experimental, preventivo, etc.) ¿En estos casos se considera que el ENS es exigible? El ENS será exigible cuando se produzca un acceso a sistemas públicos o cuando exista un encargo de tratamiento de datos personales cuyo responsable sea la administración pública.

2. ¿Qué ocurre cuando servicios de responsabilidad pública son gestionados por entidades del TSSE, pero pueden estar financiados por administraciones publicas diferentes? ¿La administración referente para aplicar el ENS es la que ostenta la titularidad del servicio o programa o afecta también a las otras administraciones implicadas? La entidad del TSSE deberá disponer del ENS con el nivel de la administración que les haya contratado el servicio. Si son varias, deberá acreditar el nivel más alto de las exigidas por las administraciones participantes.

3. ¿Qué ocurre en servicios que puedan implicar sistemas de información interconectados en los que el TSS es uno de los prestadores? La entidad del TSSE deberá disponer el ENS con el nivel de la administración que le haya contratado el servicio.

Niveles de seguridad del ENS y su impacto real en el Tercer Sector Social

Como ya hemos mencionado, tal y como establece el Real Decreto 311/2022, el ENS se articula a partir de un proceso de categorización de los sistemas de información, que constituye el punto de partida para determinar las medidas de seguridad exigibles.

El ENS distingue tres niveles de seguridad —básico, medio y alto— en función del impacto que tendría un incidente de seguridad sobre las dimensiones fundamentales de la información y de los servicios: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. El criterio determinante no es la probabilidad del incidente, sino la gravedad de sus consecuencias.

El nivel bajo se aplica a aquellos sistemas cuyo fallo o compromiso tendría un impacto limitado sobre la prestación del servicio o sobre los derechos de las personas. El nivel medio corresponde a sistemas cuyo compromiso podría afectar de forma significativa a la continuidad del servicio o a derechos relevantes de la ciudadanía. El nivel alto se reserva para sistemas críticos, en los que un incidente tendría consecuencias muy graves, ya sea por la naturaleza del servicio prestado o por el tipo de información tratada.

La normativa insiste en que esta categorización debe realizarse de forma justificada y documentada, atendiendo al contexto concreto del sistema y evitando tanto la infracategorización como la sobredimensión innecesaria de los niveles de seguridad. La categorización depende del impacto conjunto sobre distintas dimensiones y del papel que el sistema desempeña en la provisión del servicio.

A continuación se recogen algunas preguntas que ayudan a clarificar qué niveles se están aplicando o se prevé aplicar en los servicios de responsabilidad pública y qué implicaciones puede tener para las organizaciones.

1. ¿Cuál es el nivel ENS (básico, medio, alto) que se está aplicando o se va a aplicar mayoritariamente en los sistemas de información vinculados a servicios sociales en Euskadi? ¿Hay algún nivel que se prevea como “estándar”? La categoría de los sistemas de EJGV certificado en ENS es el MEDIO. Por lo tanto, ese será el nivel de referencia a aplicar en las contrataciones. Nunca se podrá aceptar un ENS de nivel BÁSICO. Y, salvo justificación expresa de una necesidad concreta, no se exigirá ENS nivel ALTO a ninguna contratación.

2. ¿Qué niveles son previsibles en los servicios de titularidad pública habitualmente gestionados del Tercer Sector Social? Por ejemplo, ¿qué nivel de seguridad ENS se considera previsible para servicios como centros residenciales, centros de día, atención domiciliaria, intervención socioeducativa, protección a la infancia, etc.? ¿Dependerá del caso particular de cada servicio o programa? La categoría de los sistemas de EJGV certificado en ENS es el MEDIO. Por lo tanto, ese será el nivel de referencia a aplicar en las contrataciones, sin distinción de servicios.

3. ¿Se está exigiendo o se va a exigir que las entidades proveedoras se adapten íntegramente al nivel del sistema o solo a determinadas medidas? Las entidades proveedoras deberán establecer cuál es el alcance a acreditar y certificar en el cumplimiento de las medidas del ENS para que, al menos, esté cubierto todo lo que vaya a sustentar el servicio a prestar. Por ejemplo, si no desarrollan código fuente no se les exigirá acreditar las medidas vinculadas al “desarrollo de código”.

Requisitos organizativos y técnicos exigibles

Una vez determinado el nivel de seguridad de un sistema, el ENS establece un conjunto de medidas organizativas y técnicas que deben implantarse de forma proporcionada. Conviene subrayar que una parte sustancial de estas medidas no son estrictamente tecnológicas, sino que afectan a la organización interna, a los procesos de trabajo y a la gestión de la seguridad.

Entre los requisitos organizativos destacan la definición de una política de seguridad, la asignación de responsabilidades, la gestión de accesos, la formación y sensibilización del personal, la existencia de procedimientos de gestión de incidentes y la documentación de las medidas adoptadas. Para muchas entidades del Tercer Sector Social, estos requisitos suponen más un ejercicio de sistematización y formalización que una transformación radical de sus prácticas.

En cuanto a los requisitos técnicos, estos incluyen medidas como la realización de copias de seguridad, la protección frente a malware, el registro de actividades o la gestión de la continuidad del servicio. El alcance y complejidad de estas medidas varía en función del nivel de seguridad, pero en muchos casos pueden apoyarse en soluciones ya existentes o en servicios proporcionados por la propia administración titular del sistema.

Un elemento clave para el Tercer Sector Social es comprender que el ENS no exige que todas las entidades dispongan de infraestructuras propias complejas ni de certificaciones formales. Lo que exige es que, en relación con los sistemas y servicios concretos en los que participan, se adopten las medidas necesarias para garantizar un nivel adecuado de seguridad, en coherencia con la categorización realizada y con las exigencias contractuales o convencionales establecidas por la administración.

En este contexto, pueden surgir diversas dudas sobre qué tipo de medidas organizativas y técnicas pueden resultar exigibles en la práctica para las entidades del Tercer Sector Social. A continuación, se recogen algunas preguntas frecuentes que ayudan a clarificar los principales requisitos que pueden derivarse de la aplicación del Esquema Nacional de Seguridad.

1. ¿Se exige a las entidades proveedoras disponer de una política formal de seguridad alineada con el ENS? Sí, es la primera medida a adoptar
2. ¿Es obligatorio designar responsable de seguridad o figuras equivalentes en todas las entidades que gestionan servicios públicos? El ENS establece la obligatoriedad de definir 4 roles: responsable de servicio, responsable de sistemas, responsable de información y responsable de seguridad. Pueden coincidir varios en una sola persona, pero hay incompatibilidades (por ejemplo, no puede ser la misma persona responsable de seguridad y de sistemas).
3. ¿Se está requiriendo o se prevé requerir formación específica en ENS al personal de las entidades? Es obligatorio para ciertos roles, no para todo el personal. Siempre es recomendable. La formación del ENS es gratuita a través de la plataforma ANGELES del Centro Criptológico Nacional
4. ¿Qué documentación debe poder acreditar una entidad del TSSE ante la administración correspondiente? Ante la administración solo valdría el certificado ENS
5. En caso de utilizar sistemas proporcionados por la propia administración pública, ¿qué responsabilidades recaen en la entidad y cuáles en la Administración? Si los sistemas son de la administración, a priori, la entidad será responsable de las personas, equipos que se vayan a usar, las comunicaciones y de las instalaciones desde las que se dé el servicio. Se debería analizar cada caso.
6. ¿Es obligatorio disponer de auditorías externas de seguridad de conformidad con el ENS? Para obtener el certificado de conformidad, sí (para Nivel Medio y Alto es requisito realizar la auditoría externa).

Más allá de los requisitos organizativos y técnicos asociados directamente al cumplimiento del ENS, existen otras cuestiones que pueden resultar de interés para las entidades del Tercer Sector Social, especialmente en relación con los procesos de contratación pública, los conciertos sociales y la coordinación entre administraciones. Las preguntas que se presentan seguidamente permiten aclarar cómo se está abordando la aplicación del ENS en estos ámbitos y qué implicaciones puede tener para las organizaciones del sector.

Contratación pública y conciertos sociales

1. ¿Se está incorporando de forma sistemática el cumplimiento del ENS como cláusula en contratos y conciertos sociales? En Gobierno Vasco se van a exigir cláusulas de cumplimiento ENS en los pliegos de contratación …
2. ¿Se prevé que en el futuro el cumplimiento del ENS sea un requisito obligatorio para contratar o concertar servicios sociales? Sí. En Gobierno Vasco, cumplimiento ENS.
3. ¿Existen plazos o procesos graduales de adaptación para entidades que aún no cumplen plenamente los requisitos? Se dio un plazo de 24 meses pero para los sistemas que ya disponían de conformidad según el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Coordinación interinstitucional

1. ¿Existe coordinación entre las diferentes administraciones vascas (autonómica, foral, local) para homogeneizar criterios de aplicación del ENS al TSSE? Se trata de una norma estatal.
2. ¿Se prevén criterios comunes en materia de exigencias ENS para evitar disparidades territoriales? Se trata de una norma estatal.
3. ¿Cómo se gestionan los casos en los que una entidad trabaja simultáneamente con varias administraciones con posibles niveles ENS distintos? La entidad deberá disponer del ENS con el nivel de la administración que les haya contratado el servicio. Si son varias, deberá acreditar el nivel más alto de las exigidas por las administraciones participantes.

 

Bibliografía básica

Gobierno de España. (2022). Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Boletín Oficial del Estado, nº 106, de 4 de mayo de 2022. Disponible en: https://www.boe.es/eli/es/rd/2022/05/03/311

Centro Criptológico Nacional-CNI (2024). Esquema Nacional de Seguridad – Normativa. Disponible en: https://ens.ccn.cni.es/es/normativa

Gobierno Vasco (2022). Plan estratégico de gobernanza, innovación pública y gobierno digital 2030 (Ardatz 2030). Disponible en: https://www.euskadi.eus/contenidos/informacion/ardatz_2030/es_def/adjuntos/ardatz-2030-es.pdf

Parlamento Europeo y Consejo de la Unión Europea (2016). DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Disponible en:  https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L1148

Parlamento Europeo y Consejo de la Unión Europea (2014). REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Disponible en: https://eur-lex.europa.eu/eli/reg/2014/910/oj