FAQ

O ENS, en base ao establecemento e desenvolvemento duns principios básicos e uns requisitos mínimos, proporciona ás organizacións que dispoñan dos seus sistemas de información  conformes ás súas disposicións e xestionados no exercicio das súas competencias, unha protección adecuada dos servizos prestados e da información tratada por estes, con obxecto de asegurar o acceso, a confidencialidade, a integridade, a rastrexabilidade, a autenticidade, a dispoñibilidade e a conservación dos datos, a información e os servizos apoiados directa ou indirectamente en medios electrónicos.

Tanto para as organizacións do sector público como para as pertencentes ao sector privado que lles achegan solucións ou lles prestan servizos competenciais, o disposto no ENS permite satisfacer os principios de actuación e os requisitos de seguridade das Administracións Públicas que lles permitan alcanzar os seus obxectivos.

O Esquema Nacional de Seguridade, tal e como está recollido no seu art. 2, resulta de aplicación ás entidades do sector público, ás entidades do sector privado que lles presten servizos competenciais e, en xeral, á cadea de subministración destas últimas, na medida que unha análise de riscos previo así o determine.

Ademais, hai que lembrar que as medidas do ENS son así mesmo de aplicación para aquelas entidades que determina a Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos e garantías dos dereitos dixitais, cando se realicen tratamentos de datos persoais.

Por último, o ENS tamén é de aplicación aos sistemas que tratan información clasificada, podendo resultar necesario adoptar medidas complementarias de seguridade, específicas para os devanditos sistemas que así mesmo están suxeitos á Lei 9/1968, do 5 de abril, de Segredos Oficiais (LSO), e as derivadas dos compromisos internacionais contraídos por España, ou consecuencia da súa pertenza a organismos ou foros internacionais.

O Esquema Nacional de seguridade está regulado especificamente pola seguinte normativa:

• Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade.
• Resolución do 27 de marzo de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade de Auditoría da Seguridade dos Sistemas de Información.
• Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución de Seguridade de conformidade co Esquema Nacional de Seguridade.
• Resolución do 7 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de Informe do Estado da Seguridade.
• Resolución do 13 de abril de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade.

A relación doutra normativa relacionada coa ciberseguridade en España pode consultarse no Código de Dereito da Ciberseguridade editado polo BOE.

As Series CCN-STIC, clasificadas en varias Series, comprenden un conxunto de documentos, instrucións, guías e boas prácticas recomendadas, desenvoltas polo Centro Criptológico Nacional ao obxecto de proporcionar ás organizacións ferramentas adecuadas para mellorar o grao de ciberseguridade dos seus sistemas de información. Máis concretamente, a Serie CCN-STIC 800 comprende un conxunto de guías para favorecer a implementación do ENS e como axuda para un mellor cumprimento das súas disposicións.

Na solución INES/AMPARO do CCN, inclúense persoais de practicamente todos os documentos relevantes que poden chegar a requirirse para elaborar o Plan de Adecuación do ENS e a súa implantación práctica, especialmente orientados á capa de xestión da seguridade da información aplicada sobre o/os sistema(s) de información.

Se a súa organización atópase comprendido no ámbito de aplicación do ENS, debe cumprir co establecido no Real Decreto 311/2022. Para iso, debe comezar o proceso de adecuación ao ENS e, como primeiro paso, deberá acometer a aprobación da Política de Seguridade da Información (PSI) da organización, asignando os roles que determina o ENS.

[Guías STIC 800]

O Plan de Adecuación é un conxunto ordenado de accións tendentes a satisfacer o esixido polo ENS. Este Plan deberá contemplar as seguintes fases:

• Preparar e aprobar a Política de Seguridade da Información (PSI) e a Normativa Interna de Seguridade, incluíndo a definición de roles e a asignación de responsabilidades aos mesmos. Se se trata de sistemas que manexan información clasificada, así mesmo atenderase a criterios adicionais de organización da seguridade.
• Analizar e categorizar os sistemas de información, atendendo á valoración da información manexada, @teniendo en cuenta se inclúe datos de carácter persoal, e a valoración dos servizos prestados.
• Preparar a Declaración de Aplicabilidade Inicial das medidas do Anexo II do ENS atendendo, se procede, a determinado Perfil de Cumprimento ao que poida adscribirse o/os sistema(s) de información.
• Desenvolver unha Análise de Riscos, a fin de verificar que as medidas de seguridade derivadas da Declaración de Aplicabilidade Inicial son adecuadas e suficientes.
• Obter a Declaración de Aplicabilidade definitiva.
• Iniciar as accións tendentes á implantación do resto das medidas esixidas para o nivel de seguridade e a categoría de seguridade definidas.

A Política de Seguridade da Información (PSI) é un documento de alto nivel que mostra o compromiso dunha organización coa seguridade da información e determina o conxunto de directrices que rexen a forma en que unha organización xestiona e protexe a información que trata e os servizos que presta. Devandito documento debe estar accesible por todos os membros da organización e redactado de forma sinxela, precisa e comprensible.

Ao tratarse dun documento de alto nivel na organización convén que sexa breve, deixando os detalles técnicos para outros documentos normativos que a desenvolvan. Como se trata dun documento público non debe poñer de manifesto vulnerabilidades que poidan ser explotadas por actores maliciosos.

A política de seguridade, en aplicación do principio de diferenciación de responsabilidades a que se refire o artigo 11 do ENS, deberá ser coñecida por todas as persoas que formen parte da organización e definir de forma inequívoca aos roles responsables de velar polo seu cumprimento. Unha práctica adicional común consiste en que se atope accesible desde a páxina Web, portal ou sede electrónica da organización e, para determinados organismos públicos, publicala no Boletín Oficial do Estado (BOE), Boletín da Comunidade Autónoma, ou Boletín Oficial da Provincia (BOP), segundo corresponda.

Esta norma será aprobada pola Dirección Xeral da organización (órgano superior de que se trate, no Sector Público), e plasmarase nun documento escrito, no que, de forma clara, precísese, polo menos, o seguinte:

• Os obxectivos ou misión da organización.
• marco legal e regulatorio no que se desenvolverán as actividades.
• Os roles ou funcións de seguridade, definindo para cada un, os deberes e responsabilidades do cargo, así como o procedemento para a súa designación e renovación.
• A estrutura do comité ou os comités para a xestión e coordinación da seguridade, detallando o seu ámbito de responsabilidade, os membros e a relación con outros elementos da organización.
• As directrices para a estruturación da documentación de seguridade do sistema, a súa xestión e acceso.

Os roles do ENS son os asumidos polas persoas responsables de velar polo seu cumprimento, en base á diferenciación de responsabilidades que sinala o artigo 11 do ENS e considerando que a responsabilidade da seguridade dos sistemas de información debe estar diferenciada da responsabilidade sobre a súa explotación.

Concretamente, diferenciarase o responsable da información, o responsable do servizo, o responsable da seguridade e o responsable do sistema, principalmente.

Como se indicou respecto a a Política de Seguridade da Información (PSI) da organización, esta detallará as atribucións de cada responsable e os mecanismos de coordinación e resolución de conflitos.

A modo de resumo:

• responsable do servizo determinará os requisitos dos servizos prestados
• responsable da información determinará os requisitos da información tratada. Os roles do responsable da información e o responsable do servizo poden concorrer na mesma persoa física que actúe na súa representación.
• responsable da seguridade determinará as decisións para satisfacer os requisitos de seguridade da información e dos servizos, supervisará a implantación das medidas necesarias para garantir que se satisfán os requisitos, e reportará sobre estas cuestións ao Comité de Seguridade da Información.
• responsable do sistema, por si ou a través de recursos propios ou contratados, encargarase de desenvolver a forma concreta de implementar a seguridade no sistema e da supervisión da operación diaria do mesmo, podendo delegar en administradores ou operadores baixo a súa responsabilidade.

O responsable da seguridade será distinto do responsable do sistema, non debendo existir dependencia xerárquica entre ambos. Se debido ao tamaño e carencia de recursos da organización non é posible, deberán aplicarse as medidas compensatorias convenientes para garantir a diferenciación de responsabilidades e ausencia de conflito de interese.

Así mesmo, o ENS prevé a figura do Administrador de Seguridade (ASEG) como recurso para aquelas organizacións nas que o Responsable de Seguridade (RSEG) non teña todos os coñecementos técnicos necesarios e poida apoiarse nel. Nese caso, o RSEG terá un desempeño máis estratéxico mentres que o ASEG terao máis operativo. Un exemplo sería unha EE.LL. que nomease ao Secretario do Concello como RSEG, o cal deberá apoiarse nun ASEG interno, ou externo contratado en modalidade de prestación de servizos.

Para instrumentalizar a organización da seguridade dunha entidade, pódense crear comités, que se articularán e funcionarán como órganos colexiados de acordo á normativa administrativa.

O Comité de Seguridade da Información, responsabilízase de aliñar as actividades da organización en materia de seguridade da información.

A súa composición incluirá como mínimo a todos os roles do ENS (responsable do servizo, responsable da información, responsable da seguridade e responsable do sistema). É unha boa práctica incluír ao Delegado de Protección de Datos (DPD), debido a que a disposición adicional primeira da LOPD-GDD determina que, no sector público e privado vinculado, as medidas de seguridade do ENS empregaranse para protexer a información de natureza persoal, polo que o DPD ten intereses comúns respecto ao ENS.

Así mesmo, en grandes organizacións pode ser útil desagregar en dúas o Comité de Seguridade da Información: Un Comité máis orientado á Dirección da Seguridade, con potestade de adoptar calquera decisión no ámbito das súas competencias e outro Comité Técnico, máis orientado ao día a día da seguridade e o seu seguimento continuado. Esta distribución permite no seu conxunto un desempeño máis próximo á organización.

O ENS non prevé sancións por incumprimento. Con todo, como sucede co resto da lexislación de aplicación ás Administracións Públicas, a inexistencia (ou inaplicabilidad, no seu caso) dun réxime sancionador non obsta para que persista a denominada Responsabilidade Patrimonial das Administracións Públicas, en virtude da cal o cidadán debe ser resarcido dos danos patrimoniais que sufra como consecuencia de danos ocasionados por acción ou omisión das Administracións Públicas, sabendo que, en todo caso, o dano alegado, haberá de ser efectivo, avaliable economicamente e individualizado con relación a unha persoa ou grupo de persoas.

A responsabilidade das Administracións Públicas, no noso ordenamento xurídico, ten a súa base non só no principio xenérico da tutela efectiva que no exercicio dos dereitos e intereses lexítimos vén recoñecido no art. 24, CE senón tamén, no art. 106.2, CE ao dispoñer que os particulares, nos termos establecidos pola Lei, terán dereito a ser indemnizados por toda lesión que sufran en calquera dos seus bens e dereitos, salvo os casos de forza maior, sempre que sexa consecuencia do funcionamento dos servizos públicos.

As Administracións Públicas indemnizarán aos particulares pola aplicación de actos lexislativos de natureza non expropiatoria de dereito e que estes non teñan o deber xurídico de soportar, cando así se establezan nos propios actos lexislativos e nos termos que especifiquen devanditos actos.

Non obstante o anterior, o comportamento inadecuado da Administración pode deberse tamén a unha neglixencia ou falta da debida dilixencia por parte dos empregados públicos, razón pola cal, pero á marxe da antedicha Responsabilidade Patrimonial das Administracións Públicas, o funcionario incumplidor podería ser sometido ás sancións disciplinarias ás que houbese lugar, circunstancia que se dá non só no caso do Responsable da Seguridade, senón en calquera outro posto ou cargo público.

Na actualidade, o ENS non establece ningún requisito para ser nomeado Responsable de Seguridade (RSEG) máis aló da debida competencia para o desempeño das funcións como tal.

Con todo, indicar que no marco do Foro Nacional de Ciberseguridade (FNCS) definiuse o Esquema Nacional de Responsables de Ciberseguridade, que aínda que xa se pode consultar na páxina web do FNCS, aínda non foi promulgado oficialmente. Cando iso ocorra, a Entidade Nacional de Acreditación (ENAC) supervisará a instrumentalización do devandito esquema de certificación de persoas que, do mesmo xeito que ocorre coa certificación de DPD, será voluntario.

As categorías dos sistemas de información no ENS e como determinala está definido no Anexo I do Real Decreto 311/2022. Nel indícase que a categoría dun sistema baséase na valoración do impacto que tería sobre a organización un incidente que afectase á seguridade da información tratada ou dos servizos prestados para:

1. Alcanzar os seus obxectivos.
2. Protexer os activos ao seu cargo.
3. Garantir a conformidade co ordenamento xurídico.

A análise de riscos de seguridade é un proceso sistemático para estimar a magnitude dos riscos a que están expostos os sistemas de información dunha organización.

O nivel de esixencia na xestión de riscos orientada á seguridade dependerá da categoría do sistema, bastando para categoría BÁSICA unha análise informal.

Como sistemática xeneralizada, nunha primeira fase denominada de identificación, determínanse os activos máis relevantes do sistema e, para cada un deles, as ameazas posibles. Seguidamente, nunha segunda fase denominada de análise, obtense o valor do risco para cada binomio (activo – ameaza) en función da probabilidade estimada de que se materialice a ameaza e do impacto ou degradación do activo caso de que finalmente así ocorra. A continuación, comparando cada valor de risco obtido co chamado limiar ou apetito de risco definido na organización, avaliaranse aqueles riscos considerados inaceptables, que deberán tratarse para, se é posible, reducirse a valores por baixo do limiar.

Existen varias formas de tratar os riscos avaliados como inaceptables: evitando as circunstancias que o provocan, reducindo as posibilidades de que ocorran, acoutando as súas consecuencias, transferíndoo ou compartíndoo con outra organización, ou mesmo, aceptando que poida ocorrer e prevendo recursos para actuar cando sexa necesario.

Para seguimento das accións de tratamento ou mitigación, adóitase establecer un Plan de Tratamento de Riscos (PTR) que contén o estado de cada acción, o responsable, a data prevista de inicio e final, os recursos necesarios, etc.

O ENS non impón ningunha metodoloxía concreta para a análise e xestión dos riscos máis aló da necesidade de utilizar unha metodoloxía recoñecida, cuxa funcionalidade e resultados poidan ser contrastables.

A metodoloxía MAGERIT está moi evolucionada e estendida no sector público, habendo outras metodoloxías e normas xenéricas, como pode ser a ISO 31000:2018 sobre directrices para a xestión do risco, que non se contradin, senón que máis ben compleméntanse.

No ámbito do ENS, é o documento no que se formaliza a relación de medidas de seguridade recollidas no Anexo II do Real Decreto 311/2022, que resultan de aplicación ao sistema de información de que se trate, conforme á súa categoría. Debe estar aprobada mediante a súa subscrición por parte do responsable da seguridade (RSEG) ou, no seu caso, por unha acta do Comité de Seguridade do que forma parte o RSEG.

Adicionalmente, tal como sinálase no artigo 28.2 do ENS, as medidas de seguridade taxadas en función da categoría do sistema, concretadas mediante requisitos basee e reforzos obrigatorios, poderán ser complementados con reforzos obrigatorios para unha categoría superior ou con reforzos opcionais, se así se require para tratar riscos concretos avaliados como inaceptables na organización. Así mesmo, poderanse incluír medidas de seguridade establecidas unicamente para categorías superiores. Nese caso reflectiranse así mesmo na Declaración de Aplicabilidade.

Ao contrario, determinadas medidas de seguridade establecidas para a categoría do sistema, poderán obviarse se se evidencia que non teñen aplicación no sistema de información, como é o caso, por exemplo, dos selos de tempo para categoría ALTA, que non se utilizan en todas as organizacións. Deberá xustificarse na Declaración de Aplicabilidade.

Así mesmo, as medidas de seguridade referenciadas no anexo II do ENS poderán ser substituídas por outras compensatorias, a condición de que se xustifique documentalmente que protexen, igual ou mellor, do risco sobre os activos. Faranse constar na Declaración de Aplicabilidade, vinculando o estudo elaborado segundo determínase na guía CCN-STIC 819 sobre medidas compensatorias.

Por último, poderanse establecer medidas complementarias de vixilancia, durante un limitado período temporal necesario en ocasións para implementar completamente unha medida de seguridade. Ditas medidas complementarias conseguen compensar a situación provisional da medida. Deben reflectirse tamén na Declaración de Aplicabilidade.

Un Perfil de Cumprimento Específico (PCE) é un conxunto de medidas de seguridade, comprendidas ou non no Real Decreto 311/2022 que, como consecuencia da preceptiva análise de riscos, resulten de aplicación a unha entidade ou sector de actividade concreta e para unha determinada categoría de seguridade.

Os PCE deben ser aprobados polo Centro Criptológico Nacional, permitindo alcanzar unha adaptación do ENS máis eficaz e eficiente, racionalizando os recursos requiridos sen menoscabo da protección perseguida e esixible.

Cando a implementación dun PCE requira configuracións de seguridade específicas, en función das distintas tecnoloxías, publicarase xunto coas correspondentes Guías STIC de Configuración.

Ata a data disponse de PCE para EE.LL., Universidades e Servizos na Nube.

O procedemento para obter a conformidade co Esquema Nacional de Seguridade está regulado no artigo 38 do ENS, así como na resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade (ITS) de conformidade co Esquema Nacional de Seguridade. @Dicha ITS atópase en proceso de revisión para adecuala ao Real Decreto 311/2022.

Como resumo, existen dúas vías diferenciadas:

• A Certificación de Conformidade, válida para todas as categorías do sistema (BÁSICA, MEDIA e ALTA).
• A Declaración de Conformidade, unicamente válida para sistemas de categoría BÁSICA.

En canto á diferenza de requisitos de cumprimento entre un sistema de categoría BÁSICA e un de categoría MEDIA ou ALTA, a maior parte deles son de tipo técnico ou de xestión, sendo comúns a todos os referidos á organización da seguridade.

Se se decide acometer a adecuación dos sistemas de información ao ENS dunha forma gradual, a opción de abordar primeiro a conformidade coa categoría BÁSICA para logo seguir evolucionando ata cumprir cos requisitos da categoría MEDIA ou ALTA é unha boa opción, sempre que se acorde no Comité de Seguridade, e así se estableza nunha acta, como unha folla de roteiro e non como un fin.

Sería un erro pensar que ao alcanzar a conformidade cos requisitos da categoría BÁSICA xa se está cumprindo co requirido polo ENS, pois devanditos requisitos veñen determinados pola categoría do sistema, e ao ser esta superior á categoría da conformidade alcanzada, non se estaría cumprindo con todos os requisitos esixidos.

A Declaración da Conformidade co Esquema Nacional de Seguridade é soamente aplicable aos sistemas de información de categoría BÁSICA, e obterase tras unha autoavaliación que, con carácter ordinario, verifique o cumprimento dos requirimentos contemplados no Esquema, polo menos cada dous anos. Dita autoavaliación atenderá ao disposto sobre auditoría no artigo 34 e no anexo III do Real Decreto 311/2022, podendo ser desenvolta polo mesmo persoal que administra o sistema de información ou en quen este delegue.

A Certificación de Conformidade co Esquema Nacional de Seguridade é aplicable aos sistemas de información de calquera categoría (BÁSICA, MEDIA e ALTA), e realizarase mediante un procedemento de auditoría formal que, con carácter ordinario, verifique o cumprimento dos requirimentos contemplados no Esquema, polo menos cada dous anos. Dita auditoría realizarase segundo o disposto no artigo 34 e no anexo III do Real Decreto 311/2022 e será materializada por parte de entidades de certificación (EC) acreditadas por ENAC, ou en proceso de estalo, ou por órganos de auditoría técnica (OAT) dirixidos a determinadas organizacións do sector público.

A Declaración de Conformidade e a Certificación de Conformidade son preceptivas para os sistemas de información das entidades do ámbito de aplicación do ENS, xa sexan públicas ou privadas, debendo evidenciarse mediante a publicación do correspondente distintivo oficial de conformidade, para a categoría do sistema, na páxina web, portal ou sede electrónica da organización. Devandito selo deberá levar vinculado o certificado ou a declaración de conformidade obtidos.

Adicionalmente, as Certificacións de Conformidade publicaranse na páxina web do [CCN] tanto para o sector público certificado como para empresas certificadas do sector privado.

De conformidade co sinalado no artigo 2.3 do Real Decreto 311/2022, os pregos de prescricións administrativas ou técnicas dos contratos que celebren as entidades do sector público, incluídas no ámbito de aplicación do ENS, contemplarán todos aqueles requisitos necesarios para asegurar a conformidade co ENS dos sistemas de información nos que se sustenten os servizos prestados polos contratistas, tales como a presentación das correspondentes Declaracións ou Certificacións de Conformidade co ENS.

Esta cautela estenderase tamén á cadea de subministración de #o devanditos contratistas, na medida que sexa necesario e #de acordo con os resultados da correspondente análise de riscos.

Así mesmo, a Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, actualmente en proceso de actualización ao Real Decreto 311/2022, cando os operadores do sector privado presten servizos ou provean solucións ás entidades públicas, aos que resulte esixible o cumprimento do Esquema Nacional de Seguridade, deberán estar en condicións de exhibir a correspondente Declaración de Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categoría BÁSICA, ou a Certificación de Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categorías BÁSICA, MEDIA ou ALTA, utilizando os mesmos procedementos que os esixidos na devandita Instrución Técnica de Seguridade para as entidades públicas.

Por tanto, é responsabilidade das entidades públicas contratantes notificar aos operadores do sector privado que participen na provisión de solucións tecnolóxicas ou a prestación de servizos, a obrigación de que tales solucións ou servizos sexan conformes co disposto no Esquema Nacional de Seguridade e posúan as correspondentes Declaracións ou Certificacións de Conformidade, segundo o sinalado na presente Instrución Técnica de Seguridade.

Como garantía do cumprimento do anterior, as entidades públicas usuarias de solucións ou servizos provistos ou prestados por organizacións do sector privado que exhiban unha Declaracións ou Certificacións de Conformidade co Esquema Nacional de Seguridade poderán solicitar en todo momento a tales organizacións os Informes de Autoavaliación ou Auditoría correspondentes, ao obxecto de verificar a adecuación e idoneidade das antedichas manifestacións.

Na actualidade, o CCN mantén na súa páxina web unha lista dos operadores privados cuxos sistemas de información obtiveron a Certificación de Conformidade co ENS.

Á hora de contratar un servizo externalizado, deberase notificar aos prestadores que desexen participar na provisión de solucións tecnolóxicas ou a prestación de servizos, a obrigación de que tales solucións ou servizos sexan conformes co disposto no Esquema Nacional de Seguridade e posúan as correspondentes Declaracións ou Certificacións de Conformidade, segundo o sinalado no artigo 2.3 do ENS e na Instrución Técnica de Seguridade. Un posible exemplo de inclusión nun prego, sería:

 “O artigo 2 do vixente Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade, dispón que os pregos de prescricións administrativas ou técnicas dos contratos que celebren as entidades do sector público incluídas no ámbito de aplicación do real decreto do ENS contemplarán todos aqueles requisitos necesarios para asegurar a conformidade co mesmo dos sistemas de información nos que se sustenten os servizos prestados polos contratistas, tales como a presentación das correspondentes Declaracións ou Certificacións de Conformidade co ENS. Esta cautela estenderase tamén á cadea de subministración de #o devanditos contratistas, na medida que sexa necesario e #de acordo con os resultados da correspondente análise de riscos”.

En consecuencia, a ENTIDADE CONTRATANTE, considera necesario que os provedores que vaian concorrer á licitación deberán estar en condicións de exhibir a correspondente Certificación de Conformidade co Esquema Nacional de Seguridade, aceptándose no seu lugar, con todo, unha Declaración de Conformidade co ENS, unicamente cando se declarou categoría BÁSICA do sistema para o que concorren.

Así pois, en base ao anterior,  e á análise dos riscos aos que están expostos as subministracións e servizos obxecto da licitación, a ENTIDADE CONTRATANTE establece como necesario que a ENTIDADE LICITADORA deberá estar en condicións de exhibir a correspondente Declaración ou Certificación de Conformidade co Esquema Nacional de Seguridade, para a categoría de seguridade indicar a CATEGORÍA, ou superior, dos sistemas que interveñan na prestación dos servizos indicados, así como manter a conformidade en vigor durante a vixencia do contrato. Dita declaración, ou certificado, de conformidade co ENS enténdese que debe abarcar no seu alcance, como mínimo, o ámbito obxecto da contratación.

No caso de que o adxudicatario non puidese manter a conformidade co ENS durante a vixencia do contrato -por perda, retirada ou suspensión da Certificación de Conformidade ou imposibilidade de manter a Declaración de Conformidade-, deberá comunicar esta circunstancia, de forma inmediata e sen dilación indebida, á ENTIDADE CONTRATANTE, quen considerará o impacto da devandita circunstancia na prestación obxecto do contrato”.

En virtude do principio de proporcionalidade e para facilitar a conformidade co Esquema Nacional de Seguridade ás entidades locais, poderanse implementar perfís de cumprimento específicos que comprenderán aquel conxunto de medidas de seguridade que, traendo causa da preceptiva análise de riscos, resulten de aplicación para unha concreta categoría de seguridade.

Un Perfil de Cumprimento Específico (PCE) é un conxunto de medidas de seguridade, comprendidas ou non no Real Decreto 311/2022 que, como consecuencia da preceptiva análise de riscos, resulten de aplicación a unha entidade ou sector de actividade concreta e para unha determinada categoría de seguridade.

No caso concreto da Entidades Locais de menos de 20.000 habitantes, poderán facer uso, se o consideran oportuno, do Perfil de Cumprimento Específico para entidades locais de tamaño pequeno e mediano.

O CCN publicou unha guía para cada un dos PCE autorizados, como pode ser o perfil de cumprimento específico para universidades, estando algunha de #o devanditas guías en proceso de harmonización co Real Decreto 311/2022.

Unha Deputación ou Cabildo que preste servizos a entidades locais dentro do seu ámbito de competencia está obrigada a que os sistemas de información que soportan tales servizos sexan conformes e estean certificados co disposto no Esquema Nacional de Seguridade.

As Entidades Locais usuarias dos devanditos servizos, como titulares da prestación dos servizos, son responsables de determinar a categoría de seguridade requirida para os devanditos sistemas, de conformidade co ENS e de solicitar á Deputación ou Cabildo correspondente a Declaración ou Certificación de Conformidade co ENS dos devanditos sistemas.

Con todo, existe o Marco de Certificación Específico co ENS (MCE-ENS) para EE.LL., consistente nun proceso de certificación conxunta do ENS dun conxunto de concellos dependentes dun Órgano superior, como é unha Deputación Provincial ou Foral, un Cabildo ou un Consello Insular, entre outros.

Devandito MCE-ENS considérase a mellor solución para obter a conformidade co ENS das EE.LL. que, polos seus recursos, non poidan acceder individualmente.

O Esquema Nacional de Seguridade é unha norma legal que pretende garantir a seguridade dos sistemas de información das entidades do seu ámbito de aplicación, a información tratada e os servizos prestados, mentres que o Regulamento de Protección de Datos Persoais persegue a protección dos dereitos dos titulares dos datos persoais, singularmente o seu dereito á protección de datos.

Con todo, desde un punto de vista práctico, ambas as normas perseguen dotar aos sistemas da seguridade da suficiente para alcanzar os seus obxectivos. Por iso, non só non son incompatibles, senón que son complementarios e o cumprimento dunha delas facilita o cumprimento da outra. Así o sinala a Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais que, na súa disposición adicional primeira, obriga a determinados responsables a aplicar aos tratamentos de datos persoais as medidas de seguridade que correspondan das previstas no Esquema Nacional de Seguridade, así como impulsar un grao de implementación de medidas equivalentes nas empresas ou fundacións vinculadas aos mesmos suxeitas ao dereito privado.

Este informe está regulado pola Instrución Técnica de Seguridade de Informe do Estado da Seguridade, aprobada por resolución do 7 de outubro de 2016, da Secretaría de Estado de Administracións Públicas. Dita norma establece as condicións relativas á recompilación e comunicación de datos que permita coñecer as principais variables da seguridade da información dos sistemas comprendidos no ámbito de aplicación do Esquema Nacional de Seguridade, e confeccionar un perfil xeral do estado da ciberseguridade nas Administracións Públicas.

Para cumprir coa obrigación anterior, o CCN desenvolveu o proxecto INES (Informe Nacional do Estado de Seguridade), facilitando o labor de todos os organismos. A través deste proxecto, permítese a recollida de información organizada, delegada e supervisada.

Non. Distínguense dúas posibilidades segundo a categoría do sistema:

• Os sistemas de información de categoría BÁSICA, cada dous anos deben realizar unha autoavaliación ou unha auditoría formal de certificación para verificar que seguen cumprindo cos requisitos esixidos en función da súa categoría.
• Os sistemas de información de categoría MEDIA , e especialmente os de ALTA, ao requirir un sistema de xestión da seguridade da información que se basea nun ciclo de mellora e supervisión continua da seguridade dos mesmos, segundo dispón a medida do anexo II do ENS sobre arquitectura de seguridade, deben evidenciar que ademais das auditorías formais de certificación realizadas cada dous anos por parte dunha entidade de certificación, ou un OAT, leven a cabo cada ano unha auditoría interna de cumprimento orientada á mellora en base ao seguimento das desviacións atopadas.

De conformidade co sinalado no artigo 2 do vixente Real Decreto 311/2022, do 3 de maio, e na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, de desenvolvemento do Real Decreto 311/2022 (ENS), cando os operadores do sector privado presten servizos ou provean solucións ás entidades públicas, aos que resulte esixible o cumprimento do Esquema Nacional de Seguridade, deberán estar en condicións de exhibir a correspondente Declaración da Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categoría BÁSICA, ou a Certificación de Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categorías MEDIA ou ALTA, e opcionalmente os de BÁSICA, utilizando os mesmos procedementos que os esixidos na devandita Instrución Técnica de Seguridade para as entidades públicas.

A conformidade co ENS daqueles sistemas de información que sustenten solucións ou presten servizos competenciais ás entidades do Sector Público é un imperativo legal. Efectivamente, de conformidade co sinalado no artigo 2 do vixente Real Decreto 311/2022, do 3 de maio, e na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, de desenvolvemento do Esquema Nacional de Seguridade (ENS), cando os operadores do sector privado presten servizos ou provean solucións ás entidades públicas, aos que resulte esixible o cumprimento do Esquema Nacional de Seguridade, deberán estar en condicións de exhibir a correspondente Declaración da Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categoría BÁSICA, ou a Certificación de Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categorías MEDIA ou ALTA, e opcionalmente os de BÁSICA, utilizando os mesmos procedementos que os esixidos na devandita Instrución Técnica de Seguridade para as entidades públicas.

Por tanto, cumprindo co exposto anteriormente, estarase en disposición de participar en licitacións de servizos coas Administracións Públicas nos que se esixa o cumprimento co ENS e a evidencia de tal conformidade.

De conformidade co sinalado na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, de desenvolvemento do Real Decreto 311/2022 (ENS), as Entidades de Certificación (EC) dos sistemas deberán estar acreditadas pola Entidade Nacional de Acreditación (ENAC) para a certificación de sistemas do ámbito de aplicación do Esquema Nacional de Seguridade conforme á norma UNE-EN ISO/IEC 17065:2012 Avaliación da conformidade. Requisitos para organismos que certifican produtos, procesos e servizos.

Así mesmo, os Órganos de Auditoría Técnica do ENS (OAT), poderán certificar sistemas de información respecto ao ENS no seu ámbito de competencias.

A Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, especifica como o seu ámbito de aplicación, exclusivamente, os sistemas de información das entidades do ámbito de aplicación do ENS, cando tales sistemas desenvolvan competencias estatutarias da entidade pública de que se trate.

Con todo, os servizos soportados polos sistemas de información certificados beneficiaranse de tal certificación, por canto a súa enumeración deberá aparecer nas Certificacións de Conformidade co ENS, para xeral coñecemento.

A Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, prescribe que, a conformidade co ENS dun sistema de categoría BÁSICA exhibirase coa correspondente Declaración de Conformidade, facendo uso do seu Distintivo de Conformidade específico. Analogamente, no caso de sistemas de categoría MEDIA ou ALTA, a Certificación de Conformidade co ENS exhibirase mediante o seu Distintivo de Conformidade específico. En ambos os casos, serán documentos electrónicos, en formato non editable e posuirán o aspecto que se mostra nos anexos III e IV da devandita Instrución Técnica.

Para publicar a Declaración de Conformidade ou Certificación de Conformidade co Esquema Nacional de Seguridade, bastará coa exhibición na sede electrónica da entidade pública titular ou usuaria do sistema de información en cuestión, do Distintivo correspondente, que incluirá unha ligazón ao documento de Declaración de Conformidade ou Certificación de Conformidade, segundo corresponda, que tamén permanecerá accesible a través de dita sede electrónica.

De conformidade co sinalado na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, as entidades certificadoras dos sistemas deberán estar acreditadas pola Entidade Nacional de Acreditación (ENAC) para a certificación de sistemas do ámbito de aplicación do Esquema Nacional de Seguridade conforme á norma UNE-EN ISO/IEC 17065:2012 Avaliación da conformidade. Requisitos para organismos que certifican produtos, procesos e servizos, polo que deberá someterse ao procedemento de acreditación previsto por ENAC para este Esquema.

De conformidade co sinalado no artigo 2 do vixente Real Decreto 311/2022, do 3 de maio, e na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, de desenvolvemento do Real Decreto 311/2022 (ENS), cando os operadores do sector privado presten servizos ou provean solucións ás entidades públicas, aos que resulte esixible o cumprimento do Esquema Nacional de Seguridade, deberán estar en condicións de exhibir a correspondente Declaración da Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categoría BÁSICA, ou a Certificación de Conformidade co Esquema Nacional de Seguridade, cando se trate de sistemas de categorías MEDIA ou ALTA, e de forma opcional para os de BÁSICA, utilizando os mesmos procedementos que os esixidos na devandita Instrución Técnica de Seguridade para as entidades públicas.

Con independencia de que os prestadores privados deban exhibir a correspondente Certificación de Conformidade co ENS en relación cos sistemas de información que vaian ser utilizados na execución do contrato, non cremos que estea de máis lembrar nos Pregos a obrigación dos licitadores de acomodar a localización dos servidores dos servizos obxecto de licitación ao disposto no Real Decreto-lei 14/2019 e de incluír, adicionalmente á antedicha Certificación de Conformidade co ENS, as previsións que se recollen no artigo 5.5 de devandito Real Decreto-lei, polo que se modifica a Lei 9/2017, do 8 de novembro, de Contratos do Sector Público, e no que se indica que os tratamentos de categorías especiais de datos, (ademais de requirir o consentimento do usuario, por mor do disposto no RGPD), esixen que devandito tratamento fágase dentro de territorio español, polo que, caso de usarse un prestador do servizo externo que trate tales datos biométricos co propósito de identificación, os sistemas utilizados deberán estar situados en España.

É preceptivo que os sistemas de información de calquera entidade, xa sexa española, ou non, posúan a Certificación de Conformidade co ENS, tras superar a correspondente Auditoría de Certificación. De feito, como se pode observar na lista de empresas con Certificación de Conformidade expostas na páxina web do CCN, hai varias que non son españolas e cuxos sistemas de información non están situados en España.

O procedemento para alcanzar a Certificación de Conformidade co ENS pódese atopar na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade (BOE, Núm. 265. Mércores 2 de novembro de 2016 Sec. III. Páx. 76365).

Tamén se pode atopar máis información na "Guía CCN-STIC 809 Conformidade co ENS e Distintivos de Cumprimento”.

A esixencia do uso dun dobre factor de autenticación en sistemas de categoría MEDIA pode implementarse de diferentes maneiras, como a utilización de tokens externos, certificados dixitais ou o uso de contrasinais dun só uso (OTP) remitidas vía SMS ou mediante unha aplicación no móbil do usuario.

Con todo, a análise de riscos que preceptivamente esixe o ENS, determinará a rigorosidade da aplicación do dobre factor e a posibilidade de utilizar, no seu caso, unha medida compensatoria adecuada (segundo o indicado na Guía CCN-STIC 819) que, contemplando o risco, poida compensar adecuada e justificadamente a non aplicación do dobre factor. Ademais, como sinala o artigo 27 do ENS, deberá xustificar documentalmente que ditas medidas protexen igual ou mellor o risco sobre os activos e satisfanse os principios básicos e os requisitos mínimos previstos nos capítulos II e III do ENS.

A adecuada aplicación da medida compensatoria será obxecto de exame na auditoría periódica ou de certificación do sistema.

Finalmente, cabe lembrar que na medida [op.acc.6] sobre mecanismos de autenticación para usuarios da organización do Real Decreto 311/2022, o reforzo R1 admite un único factor baseado en contrasinal como mecanismo de autenticación cando o acceso realízase desde zonas controladas e sen atravesar zonas non controladas.

Utilizarase o Catálogo de Produtos e Servizos de Seguridade das Tecnoloxías da Información e Comunicación (CPSTIC) do CCN, publicado baixo a guía CCN-STIC 105, para seleccionar os produtos ou servizos fornecidos por un terceiro que formen parte da arquitectura de seguridade do sistema e aqueles que se referencien expresamente nas medidas do ENS.

No caso de que non existan produtos ou servizos no CPSTIC que implementen as funcionalidades requiridas, utilizaranse produtos certificados de acordo ao descrito no artigo 19 do ENS. Unha posibilidade é Common Criteria ou outra certificación de produto recoñecida internacionalmente.

Unha posibilidade existente, se acaba de realizarse un importante investimento tecnolóxico en produtos de fabricantes reputados, é aplicar varias medidas complementarias de vixilancia ata a reposición programada; por exemplo, aumentar a monitorización dos produtos actuais e estar atentos aos avisos de vulnerabilidades (CVE) do fabricante e do CERT de referencia, aplicando de inmediato os parches e actualizacións necesarias, entre outras medidas.

O Catálogo de Produtos de Seguridade das Tecnoloxías da Información e Comunicación (CPSTIC), recolle os Produtos Aprobados para o manexo de información clasificada e os Produtos Cualificados para o manexo de información sensible, de forma que poida servir de referencia ás organizacións obrigadas polo ENS.

Devandito Catálogo publicouse na Guía CCN-STIC 105 Catálogo de Produtos de Seguridade das Tecnoloxías da Información e Comunicación.

Como sinala o artigo 38 do ENS, os sistemas de información deben ser obxecto dunha auditoría regular ordinaria, polo menos cada dous anos, que verifique o cumprimento dos requirimentos do ENS.

Ademais, con carácter extraordinario, deberá realizarse dita auditoría sempre que se produzan modificacións substanciais no sistema de información, que poidan repercutir nas medidas de seguridade requiridas. A realización desta auditoria extraordinaria, se é completa, determinará a data de cómputo para o cálculo dos dous anos, establecidos para a realización da seguinte auditoría regular ordinaria, indicados no parágrafo anterior. Se non é completa, ao haberse circunscrito nunhas cantas medidas concretas ás que unicamente afectasen as modificacións producidas no sistema, non se verá alterada a data para o cálculo dos dous anos en que deberá renovarse a certificación.

Doutra banda, como sinala a Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade, a Certificación da Conformidade co ENS dos sistemas de información con categorías MEDIA ou ALTA realizarase mediante un procedemento de auditoría formal que, con carácter ordinario, verifique o cumprimento dos requirimentos contemplados no Esquema, polo menos cada dous anos. Dita auditoría realizarase segundo o disposto no artigo 38 e no anexo III do [Real Decreto 311/2022].

Esta mesma Instrución Técnica de Seguridade sinala que a Certificación de Conformidade co ENS basearase no resultado da antedicha auditoría, dispoñendo dunha validez efectiva de dous anos, sempre que, polo sinalado, non sexa necesario acometer unha auditoría extraordinaria con anterioridade.

Por todo o devandito, a “Data de renovación da certificación de conformidade” que apareza na Certificación de Conformidade nunca poderá superar os dous anos naturais desde a “Data de certificación de conformidade inicial” (que debe entenderse como a data na que a Entidade de Certificación ou, no seu caso, o Órgano de Auditoría Técnica (OAT), deciden outorgar dita Certificación), podendo ser menor se as circunstancias así o esixen.

Por todo iso, a auditoría deberase planificar convenientemente de modo que a decisión de certificación subseguinte póidase tomar dentro do período de validez da certificación precedente.

Se unha entidade dispón dunha Certificación de Conformidade co ENS de categoría Media en vigor para algún dos seus sistemas, e, con posterioridade, a Entidade de Certificación realiza unha auditoría extraordinaria de incremento de categoría na que só ha auditado as medidas que difiren para a categoría Alta, a Certificación de Conformidade de categoría Alta non pode ir máis aló da data de expiración expresada no Certificado de Conformidade preexistente de categoría Media. Noutras palabras, unha auditoría extraordinaria (se non é extraordinaria, debe ser completa) non altera a data de vixencia da certificación da que se parte, xa sexa para incrementar o alcance, incrementar a categoría, ou adecuar a certificación a determinados cambios concretos no sistema de información.

Con todo, se se realizou unha auditoría completa (auditando, por tanto, todas as medidas) a Certificación de Conformidade co ENS podería ter a vixencia habitual de dúas (2) anos.

O Real Decreto 311/2022, determina no seu Anexo III ([Auditorías de seguridade]), que se comprobará realizar unha análise de riscos con revisión e aprobación anual.

Isto non é óbice para que, cando o sistema sufra modificacións que poidan afectar á seguridade do mesmo, débase realizar unha análise de riscos extraordinario que permita identificar variacións nos niveis de risco derivadas da mencionada modificación.

Se o seu sistema de información foi categorizado como de categoría Básica e superou satisfactoriamente a preceptiva Autoavaliación, pode expedirse a correspondente Declaración de Conformidade co ENS, sempre respectando o disposto na Resolución do 13 de outubro de 2016, da Secretaría de Estado de Administracións Públicas, pola que se aproba a Instrución Técnica de Seguridade de conformidade co Esquema Nacional de Seguridade actualmente en proceso de actualización co Real Decreto 311/2022.

No caso de que non existan produtos ou servizos no CPSTIC que implementen as funcionalidades requiridas, utilizaranse produtos certificados de acordo ao descrito no artigo 19 do ENS. Unha posibilidade é Common Criteria ou outra certificación de produto recoñecida internacionalmente.

Unha posible alternativa ‘temporal’, mentres non existan produtos desta natureza no catálogo, é adquirir produtos de fabricantes reputados e aplicar no ínterin varias medidas complementarias de vixilancia; por exemplo, aumentar a monitorización dos mesmos e estar atentos aos avisos de vulnerabilidades (CVE) do fabricante e do CERT de referencia, aplicando de inmediato os parches e actualizacións necesarias, entre outras medidas, avaliando en calquera caso o risco resultante.

Outra opción é proporcionar o acceso remoto utilizando unha infraestrutura de virtualización de escritorios, como Citrix Cloud, Enterprise Application Access de Akamai ou similar, que permite acceder aos seus escritorios engadindo unha capa de seguridade coa que implementar un dobre factor de autenticación sen expoñer directamente os seus equipos a internet, e á vez, manter unha rastrexabilidade das accións dos usuarios. Ademais, é recomendable a instalación dunha protección de endpoint do tipo EDR.

En todo caso, débense evitar solucións que expoñan os equipos directamente a internet, pero, de non ser posible outra solución, débense implementar medidas de seguridade adicionais como dobre factor de autenticación ou limitar e controlar o direccionamiento IP desde o que se conecten os usuarios.

Para resolver dúbidas publicouse o "Abstract - Medidas de seguridade para acceso remoto". Nel recóllense solucións que permiten implementar, de forma áxil, acceso remoto aos recursos dunha Organización minimizando o impacto nos recursos IT e optimizando o tempo para a súa posta en produción. Ademais, tamén está dispoñible o documento “CCN-CERT BP/18 Recomendacións de seguridade para situacións de teletraballo e reforzo en vixilancia (marzo 2020)”.

En calquera caso, se se desexa realizar algunha consulta adicional relativa á cualificación de produtos dentro do ENS, pódese contactar directamente co grupo encargado de publicar o Catálogo de Produtos de Seguridade TIC (CPSTIC) no correo cpstic.ccn@cni.es.

Nestes momentos non existe unha formación regrada para o ENS. Con todo, no apartado de capacitación do Contorna de Validación ENS (EVENS) pódese atopar a formación que o [CCN] proporciona.

Para cuestións máis específicas, pódese remitir consulta ao correo electrónico formacion.ccn@cni.es.

Como dispón a Lei Orgánica 4/1981, do 1 de xuño, dos estados de alarma, excepción e sitio, será a propia norma que o declare a que sinale o seu alcance e límites. Cando tal alcance impida o normal desenvolvimiento das actividades de certificación, o Centro Criptológico Nacional, no exercicio das súas competencias, publicará unha nota informativa e/o remitirá ás Entidades de Certificación do ENS unha comunicación sinalando as actuacións e medidas que poderán adoptarse #ante tal eventualidade, e que poderán consistir na suspensión dos prazos de caducidade e prescrición das Certificacións de Conformidade co ENS concedidas, en tanto persista o estado de alarma declarado.

A Auditoría de Conformidade co ENS realizaraa a Entidade de Certificación (EC) conforme aos niveis de seguridade en cada dimensión e á categoría de seguridade que o organismo contratante haxa decidido, @teniendo en cuenta que a facultade para efectuar as valoracións ás que se refire o artigo 40, así como, no seu caso, a súa posterior modificación, corresponde sempre á entidade contratante, a través do responsable ou responsables da información e dos servizos afectados, e que, en base ás devanditas valoracións, será o responsable ou responsables da  seguridade quen determinará a categoría de seguridade do sistema.

Por tanto, se a entidade contratante solicita á Entidade de Certificación que se avalíe o seu sistema de información contra os requisitos da categoría de seguridade MEDIA, a auditoría de conformidade co ENS realizarase conforme ao solicitado polo cliente.

En todo caso, unha vez concluída esta fase, convén establecer unha folla de roteiro de mellora continua para ampliar a cobertura de seguridade cara á categoría final pretendida.

Como se sinalou, a Auditoría de Conformidade co ENS realizaraa a Entidade de Certificación (EC) conforme os niveis de seguridade en cada dimensión e á categoría de seguridade que o organismo contratante decidise, tendo en conta que a facultade para efectuar as valoracións ás que se refire o artigo 40, así como, no seu caso, a súa posterior modificación, corresponde sempre á entidade contratante, a través do responsable ou responsables da información e dos servizos afectados, e que, en base ás devanditas valoracións, será o responsable ou responsables da  seguridade quen determinará a categoría de seguridade do sistema.

Por tanto, a Entidade de Certificación, en base ás pretensións da entidade contratante respecto de a categoría de seguridade sobre a que desexa ser avaliado, e ao resultado do estudo documental previo achegado polo seu cliente respecto do sistema ou sistemas de información a auditar, confeccionará e remitirá ao cliente, para a súa aprobación, unha Oferta-Proposta-Contrato, contendo todos os extremos precisos respecto de a avaliación en cuestión, incluíndo as xornadas de auditoría precisas, o seu modo de realización (presencial, telemático ou mixto), os dereitos e responsabilidades de cada parte, e o custo.

Chegada a data de inicio da auditoría, alterar a categoría do sistema para rebaixala de ALTO a MEDIA podería ter un impacto no tempo de auditoría previsto, o que podería igualmente alterar o custo final do proceso auditor.

Con todo, de comprobarse que non existe impedimento operativo ou técnico para admitir esta rebaixa da categoría, a decisión final sobre deter ou continuar o proceso auditor quedará en mans da Entidade de Certificación e o seu cliente, en base ao principio de autonomía da vontade das partes na contratación.