Los Colegios Profesionales están obligados a aplicar el Esquema Nacional de Seguridad

Qué es el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (en adelante ENS) es un Sistema de Gestión de Seguridad de la Información (SGSI) para las Administraciones Publicas. El ENS se desarrolla sobre las recomendaciones de la UE y las normas internacionales en materia de seguridad de la información, especialmente la Norma ISO 27001.

Es el marco, obligatorio para las Administraciones públicas, para la protección de la información y su gestión a través de los medios electrónicos. También es obligatorio para las organizaciones del sector privado que presten servicios o provean soluciones a las entidades públicas a las que resulte exigible el cumplimiento del ENS.

Su creación se contempla en la Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y se regula a través del Real Decreto del Gobierno de España 3/2010, de 8 de enero. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el ENS en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del ENS a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

¿Cuándo han de aplicarlo los Colegios Profesionales?

Las situaciones en las que están obligados a aplicar el ENS son:

• En el apartado 2.19 de la guía de preguntas frecuentes del ENS publicada por el Centro Criptológico Nacional, se indica que si se prestan, desarrollan o acometen los siguientes servicios o actividades:
• Sedes electrónicas.
• Registros electrónicos.
• Sistemas de Información accesibles electrónicamente por los ciudadanos.
• Sistemas de Información para el ejercicio de derechos.
• Sistemas de Información para el cumplimiento de deberes.
• Sistemas de Información para recabar información y/o estado del procedimiento administrativo.

En esos casos el Colegio Profesional ha de aplicar lo dispuesto en el ENS para estos servicios o actividades.

• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDyGDD) establece que los Colegios Profesionales también están obligados a aplicar las medidas de seguridad previstas en el ENS con relación a los tratamientos de datos personales y cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

Concretamente, la disposición adicional primera de esta ley establece que: “Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado”. El artículo 77.1 referido en el párrafo anterior indica en su apartado g): “Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público”. La Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales establece en su artículo primero que los Colegios Profesionales son Corporaciones de derecho público. Del artículo 5 de la Ley 39/2015, de 1 de octubre, de Régimen Jurídico del Sector Público puede inferirse que las “potestades de derecho público” son aquellas funciones que tengan efectos jurídicos frente a terceros, o cuya actuación tenga carácter preceptivo (por ejemplo, el registro de personas que se colegian).

¿Cómo cumplir con este requisito?

Es necesario elaborar un plan de adecuación e implantación de las 75 medidas de seguridad definidas en el ENS. A continuación, se resumen las principales etapas de un proyecto de este tipo:

1. Categorizar los sistemas del Colegio (el ENS establece la categorización de los sistemas en tres categorías -BASICA, MEDIA Y ALTA-, en función del impacto que tendría un incidente que afectara a la seguridad de la información o los servicios).
2. Evaluar el nivel de adecuación de los actuales controles de seguridad que pudieran dar cobertura a los requerimientos del ENS.
3. Establecer un Plan de Adecuación que aborde las diferencias existentes entre la situación actual y las medidas de seguridad que deberían existir.
4. Implantar el Plan de Adecuación.
5. Volver a evaluar el nivel de adecuación de los controles de seguridad.
6. Emitir la Declaración de Conformidad (categoría BÁSICA) u obtener el Certificado de Conformidad (categorías MEDIA o ALTA).

¿Cómo le podemos ayudar?

PKF Attest cuenta con equipos de profesionales expertos en la materia que pueden ayudarles a implantar todos los requerimientos establecidos por el ENS y acompañarle durante el proceso de obtención del Certificado de Conformidad en caso de que la categoría de sus sistemas lo exija. No dude en contactar con nosotros para ampliar información.