Acreditación de la conformidad con el Esquema Nacional de Seguridad por terceros en licitaciones públicas
En respuesta a los riesgos de seguridad como consecuencia de la exposición de la información gestionada por las Administraciones Públicas a ataques cibernéticos, se ha creado el Esquema Nacional de Seguridad (ENS). Se trata de un marco normativo que establece los principios básicos y los requisitos mínimos de seguridad en las tecnologías de la información utilizadas por las Administraciones Públicas, para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos.
El Real Decreto 311/2022, de 3 de mayo, regulador del ENS, establece que los principios reguladores del ENS serán de aplicación para aquellas entidades de carácter privado que presten servicios y provean soluciones al sector público en virtud de un contrato. Por ello, en los procedimientos de licitación pública se exige a las empresas licitadoras garantizar un determinado nivel de seguridad informática adecuado a las medidas de seguridad impuestas por el ENS, demostrable a través de la presentación de Declaraciones responsables y Certificaciones externas expedidas por entidades acreditadas.
También las entidades vinculadas al sector energético y aquellas que operan en infraestructuras críticas (por ejemplo, el Instituto para la Diversificación y Ahorro de la Energía -IDAE-, Empresa Nacional de Residuos Radiactivos, S.A. -ENRESA-, Navantia, S.A., S.M.E., etc) están incorporando el cumplimiento del ENS en sus licitaciones en tanto impliquen el uso de sistemas informáticos de cierta criticidad, especialmente en aspectos relacionados con la protección de datos y la seguridad de la información.
Una de las cuestiones que se plantean en el contexto de la contratación pública es si la conformidad con las normas de seguridad del ENS puede ser acreditada por el licitador a través de la aportación por subcontratistas y/o terceros de las pertinentes Certificaciones de Conformidad.
Esta pregunta no se puede responder con una mera afirmación genérica aplicable a todos los contratos sin excepción, sino que su contestación dependerá de la casuística específica de cada licitación, y concretamente, de lo que determinen los pliegos, así como de los criterios de valoración empleados por el órgano de contratación.
La línea que siguen los tribunales administrativos de contratación pública, y específicamente el Tribunal Administrativo Central de Recursos Contractuales (TACRC), es que la naturaleza de la Certificación de Conformidad con el ENS será determinada en cada caso por su configuración y definición en los pliegos de licitación, pudiendo tratarse de un requisito de habilitación profesional, de solvencia técnica o un requisito de la oferta.
Si los pliegos exigen explícitamente la Certificación de Conformidad con el ENS como un requisito de habilitación profesional para la realización de la actividad objeto del contrato, los licitadores deberán acreditar su adecuación al ENS en el momento de presentación de la oferta, debiendo en otro caso ser excluidos del procedimiento. Cabe señalar en este sentido que la habilitación profesional se engloba dentro de la capacidad de obrar del licitador [1]. Es por ello que la habilitación profesional no puede ser acreditada con medios externos, tratándose de un requisito personalísimo [2] y no permitiéndose, por tanto, la aportación de la Certificación de Conformidad por el ENS por un tercero o subcontratista.
Por otro lado, los pliegos pueden exigir la presentación de la Certificación de Conformidad con el ENS como requisito de solvencia técnica, en cuyo caso las empresas pueden acreditar su solvencia acudiendo a los medios de otras entidadessiempre que se demuestre que durante toda la duración de la ejecución del contrato el licitador dispondrá efectivamente de esa solvencia y medios [3], lo que se acreditará mediante la presentación de un compromiso por escrito de dichas entidades. Sin embargo, el criterio mayoritario de los tribunales administrativos de contratación pública es que, salvo que los pliegos exijan específicamente la Certificación de Conformidad con el ENS como requisito de solvencia, su mero requerimiento en alguno de los pliegos no puede interpretarse como una exigencia de la solvencia técnica de la sociedad [4].
En aquellos supuestos en los que los pliegos contemplen la exigencia de acreditación de conformidad con el ENS por los licitantes, pero no exijan su presentación como requisito de acreditación de solvencia o habilitación profesional, los tribunales entienden que la conformidad con el ENS constituye una condición de ejecución del contrato, configurada como un requisito de la oferta [5]. En tal caso, las empresas licitadoras solo tendrán la necesidad de disponer de la Certificación de Conformidad con el ENS en la fase de ejecución del contrato, no en el momento de concurrir a la licitación. Ello en virtud del criterio de los tribunales que exige que los pliegos sean interpretados y aplicados de manera que no supongan obstáculos indebidos a los principios generales que guían la contratación administrativa, concretamente los de igualdad y libre concurrencia [6].
Es en base a estos mismos principios que se permite, como condición para la ejecución del contrato, que la acreditación de conformidad con el ENS se realice por medios externos, siempre que las entidades externas acrediten fehacientemente su colaboración en la ejecución del contrato y el órgano de contratación determine que la oferta del adjudicatario cumple las condiciones de cumplimiento de las medidas de seguridad establecidas en el ENS.
En conclusión, la posibilidad de acreditar el cumplimiento de las medidas de seguridad del ENS a través de medios externos en un procedimiento de contratación pública depende de su configuración especifica en los pliegos de licitación, permitiéndose siempre que se den las siguientes circunstancias:
Los pliegos no exijan la conformidad con el ENS como requisito de habilitación profesional impuesto al licitador para la realización de la actividad objeto del contrato;
Las entidades externas que aporten su Certificado de Conformidad con el ENS garanticen su colaboración en la ejecución del contrato; y
El órgano de contratación dé su visto bueno a la aportación del Certificado de Conformidad con el ENS por terceros durante la fase de valoración.
Jesús Roza Raposo. Abogado en ITER Law
Si desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho llamando al +34 910 468 208
[1] Resolución TACRC 115/2015.
[2] Resolución TACRC 1165/2021.
[3] Artículo 75 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
[4] Entre otras, Resolución TACRC 228/2021.
[5] Resolución del TACRC 743/2024.
[6] Resolución del TACRC 1123/2018.