El documento tardará unos segundos en cargarse. Espere, por favor.

No insistas, la seguridad… ya no se toca

CIBERSEGURIDAD: ENS y REAL DECRETO 203/2021 Servicios electrónicos, telecomunicaciones y seguridad pública

Virginia MORENO BONILLA

Directora General de Nuevas Tecnologías e Innovación

Ayuntamiento de Leganés

Técnico Comisiones Tecnología y Modernización FEMP

El Consultor de los Ayuntamientos, Wolters Kluwer

LA LEY 4120/2021

Normativa comentada
Ir a NormaL 39/2015, de 1 Oct. (procedimiento administrativo común de las administraciones públicas)
Ir a NormaL 40/2015, de 1 Oct. (Régimen Jurídico del Sector Público)
Ir a NormaRD 203/2021 de 30 Mar. (Reglamento de actuación y funcionamiento del sector público por medios electrónicos)
Ir a NormaRD 3/2010 de 8 Ene. (Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica)
Comentarios
Resumen

Es la falta de interacción de oferta y demanda de los servicios electrónicos entre las administraciones y la ciudadanía lo que convierte en obligatorio el desarrollo del nuevo Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

La Ciberseguridad se ciñe a la adecuación al Esquema Nacional de Seguridad (ENS) que busca conseguir la confianza en los sistemas de información que prestarán los servicios y custodian la información. Se trata de crear medidas adecuadas para dotar de seguridad a los sistemas, los datos, las comunicaciones y los servicios electrónicos.

Los artículos 15,16, 23, 26, 28.2, 28.3 y 29.4 y la disposición adicional tercera del Reglamento, en cuanto a su relación con la Ciberseguridad y su impacto en la seguridad de las redes y sistemas de información se dictan, además, de acuerdo con lo dispuesto en los artículos 149.1.21.ª y 149.1.29.ª de la Constitución, que atribuyen al Estado la competencia exclusiva en materia de telecomunicaciones y en materia de seguridad pública, respectivamente.

Parece que fue ayer y ya han pasado tres años desde que presentáramos la Guía Estratégica en Seguridad para Entidades Locales. Bajo el paraguas de la Federación Española de Municipios y Provincias (en adelante, FEMP), un grupo de técnicos de distintas Administraciones Locales, intentamos poner en valor la importancia de la Seguridad de nuestras organizaciones. Y en aquel momento ya explicaba la complejidad de llevarlo a cabo en mi organización y la patología de abandono que existía de forma generalizada en los ayuntamientos y posiblemente resto de Administraciones Públicas.

Y no porque no quisiéramos hacerlo, o mejor aún porque no supiéramos que teníamos que hacer, de hecho, yo en la estrategia TIC del Ayuntamiento lo tenía y tengo contemplado y es una de las actuaciones que figura en nuestra hoja de ruta para el cumplimiento de las leyes 39 y 40 de 2015, sino más bien porque siempre existen otras prioridades y este es un tema de todos pero que no le interesa a ninguno y una vez más se identifica como un problema de informática.

El caso es que, a día de hoy, hemos trabajado muy poco en Seguridad y la adecuación al ENS, y quizás lo bueno, como he dicho en otras ocasiones, es tener claro en qué línea tenemos que trabajar, sin olvidarnos de 2 variables importantes: el tiempo y el riesgo.

Nos empeñamos hace unos años en la transparencia, la interoperabilidad y la protección de los datos, sin ninguna duda, imprescindibles, pero erróneamente, arrinconamos la seguridad, con el riesgo que conlleva.

Sin embargo, en los últimos dos años y sobre todo y lamentablemente en el último; que ha venido marcado por una pandemia, donde hemos tenido que implementar nuevas formas de trabajar, con los riesgos que conlleva; nos han permitido ordenar conceptos y contemplar todo lo necesario en materia de seguridad para ofrecer los servicios a la ciudadanía, que sigue siendo el fin último de nuestra gestión.

Y todo esto además nos obliga a considerar la responsabilidad de nuestra institución y la del tercero con el que contratamos, no pudiendo, en ninguno de los casos, evadir nuestra responsabilidad en materia de seguridad.

Con la adecuación al Esquema Nacional de Seguridad (en adelante, ENS) buscamos conseguir la confianza en los sistemas de información que prestarán los servicios y custodian la información. El objetivo principal es crear las condiciones necesarias para generar confianza y seguridad en el uso de los medios electrónicos. Se trata de crear medidas adecuadas para dotar de seguridad a los sistemas, los datos, las comunicaciones y los servicios electrónicos. El objetivo último es que la ciudadanía y las Administraciones Públicas puedan ejercer sus derechos y cumplir con sus obligaciones a través de estos medios.

Y lo explican muy bien y así se recoge en el «Plan de Digitalización de las Administraciones Públicas 2021-2025: : Estrategia en materia de Administración Digital y Servicios Públicos Digitales».

¿Por qué es necesaria la seguridad de la información y los servicios?

  • Por un lado, la ciudadanía espera que los servicios se presten en condiciones de confianza y seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de atención ciudadana de su Ayuntamiento.
  • La mayor parte de la información y los servicios manejados por el Ayuntamiento constituyen activos estratégicos.
  • Los servicios se prestan en un entorno colaborativo que requiere cooperación interadministrativa.
  • La información y los servicios están sometidos a riesgos originarios de acciones malintencionadas o ilícitas, errores, fallos o accidentes y posibles desastres.

La seguridad no existe, pero no es excusa para no tener en cuenta los riesgos y minimizar el impacto.

Si hacemos un breve recorrido cronológico hasta llegar al ENS, diremos que la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), de Régimen Jurídico del Sector Público, consagran el derecho de las personas a relacionarse por medios electrónicos con las administraciones públicas, simplificando el acceso a los mismos, y refuerzan el empleo de las tecnologías de la información y las comunicaciones (TIC) en las Administraciones Públicas, tanto para mejorar la eficiencia de su gestión como para potenciar y favorecer las relaciones de colaboración y cooperación entre ellas.

Ambas leyes recogen los elementos que conforman el marco jurídico para el funcionamiento electrónico de las Administraciones Públicas introduciendo un nuevo paradigma que supera la concepción que inspiró la Ley 11/2007, de 22 de junio (LA LEY 6870/2007), de acceso electrónico de los ciudadanos a los Servicios Públicos y su desarrollo reglamentario parcial en la Administración General del Estado y sus organismos públicos vinculados o dependientes a través del Real Decreto 1671/2009, de 6 de noviembre (LA LEY 20250/2009), según la cual la tramitación electrónica no era sino una forma de gestión de los procedimientos.

En este sentido, la Ley 11/2007, de 22 de junio (LA LEY 6870/2007), respondiendo a las nuevas realidades, exigencias y experiencias que se habían puesto de manifiesto, al propio desarrollo de la sociedad de la información y al cambio de circunstancias tecnológicas y sociales, entre otros factores, reconocía el derecho de la ciudadanía a relacionarse electrónicamente con las Administraciones Públicas, y no solo la posibilidad como se preveía en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LA LEY 3279/1992).

La Ley 11/2007, de 22 de junio (LA LEY 6870/2007) admitía incluso que, por vía reglamentaria, se estableciese la obligatoriedad de comunicarse con las Administraciones Públicas por medios electrónicos cuando las personas interesadas fuesen personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tuviesen garantizado el acceso y disponibilidad de los medios tecnológicos precisos.

En este contexto, la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), y la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), han dado respuesta a la demanda actual en el sentido de que la tramitación electrónica de los procedimientos debe constituir la actuación habitual de las Administraciones Públicas, y no solamente ser una forma especial de gestión de los mismos. En consecuencia, se prevé que las relaciones de las Administraciones entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes se realizará a través de medios electrónicos, y se establece la obligatoriedad de relacionarse electrónicamente con la Administración para las personas jurídicas, entes sin personalidad y, en algunos supuestos, para las personas físicas, y ello sin perjuicio de la posibilidad de extender esta obligación a otros colectivos, por vía reglamentaria.

Con estos antecedentes, era necesario desarrollar y concretar las previsiones legales con el fin de facilitar a los agentes involucrados en el uso de medios tecnológicos su utilización efectiva, aclarando y precisando, al mismo tiempo, aquellas materias reguladas en estas leyes que permiten un margen de actuación reglamentaria. La satisfacción del interesado/a, por tanto, en el uso de los servicios públicos digitales es fundamental para garantizar adecuadamente sus derechos y el cumplimiento de sus obligaciones en su relación con las Administraciones Públicas.

Por ello, es prioritario disponer de servicios digitales fácilmente utilizables y accesibles, de modo que se pueda conseguir que la relación del interesado/a con la Administración a través del canal electrónico sea lo más sencilla posible y para todos y todas.

Y en mi opinión, es precisamente esta falta de interacción de oferta y demanda de los servicios electrónicos entre las administraciones y la ciudadanía lo que convierte en obligatorio el desarrollo del nuevo Real Decreto 203/2021, de 30 de marzo (LA LEY 6540/2021), por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos (LA LEY 6540/2021).

Y si analizamos el texto del nuevo Reglamento, desde el punto de vista de la Ciberseguridad, tenemos que decir que no modifica lo ya definido con anterioridad (articulado de la Ley 39/2015 (LA LEY 15010/2015) y Ley 40/2015, y el ENS), y lo que hace es tratarlo como marco regulatorio imprescindible para garantizar la seguridad de los servicios electrónicos, las telecomunicaciones y la seguridad pública.

Los artículos 15,16, 23, 26, 28.2, 28.3 y 29.4 y la disposición adicional tercera del Reglamento, en cuanto a su relación con la Ciberseguridad y su impacto en la seguridad de las redes y sistemas de información se dictan, además, de acuerdo con lo dispuesto en los artículos 149.1.21.ª (LA LEY 2500/1978) y 149.1.29.ª de la Constitución (LA LEY 2500/1978), que atribuyen al Estado la competencia exclusiva en materia de telecomunicaciones y en materia de seguridad pública, respectivamente.

Y considero importante recopilar y resaltar lo que es y lo que implica la Ciberseguridad en este nuevo contexto.

La Ciberseguridad persigue garantizar la seguridad de las infraestructuras, comunicaciones y servicios digitales prestados por las Administraciones Públicas, en línea con la Estrategia Nacional de Ciberseguridad y el eje 4 de la Agenda España 2025.

La seguridad de las redes depende de la protección de cada uno de sus componentes, lo que hace que sea preciso desarrollar una estrategia de Ciberseguridad integral para todas las administraciones públicas.

Y para ello, desde la Administración General del Estado (en adelante, AGE) junto con el Centro Criptológico Nacional (en adelante, CCN), se invierte y se desarrollarán los elementos organizativos y tecnológicos necesarios para mejorar la protección a la Administración General del Estado y mejorar sus capacidades de prevención, detección y respuesta ante incidentes de Ciberseguridad mediante el impulso del Centro de Operaciones de Ciberseguridad.

Este centro cuenta con un Sistema de Seguimiento de Ciberseguridad Nacional que permite, entre otras funcionalidades, monitorizar los principales indicadores en este ámbito a través de un Cuadro de mando y fomentar así mismo las sinergias con otros organismos europeos en esta materia.

El Centro de Operaciones de Ciberseguridad tiene como objetivo constituir el Centro de Operaciones de Ciberseguridad para toda la AGE y sus Organismos Públicos, de protección frente a amenazas de Ciberseguridad. Se pretende reforzar las capacidades de prevención y reacción ante incidentes de seguridad e incrementar la capacidad de vigilancia y detección de ciber amenazas de un modo centralizado más eficiente que implique un ahorro significativo de dinero, esfuerzo y tiempo. Este centro ayudará a mejorar la seguridad de todas las entidades y además facilitará el cumplimiento del ENS al gestionar la seguridad de todas las entidades de manera centralizada.

Cabe recordar también que los organismos bajo el alcance del ENS son la AGE, las Comunidades Autónomas, las Entidades locales y las Universidades.

Y en cuanto a los tiempos, venció el plazo inicial de 48 meses para la adecuación al ENS (Real Decreto 3/2010 (LA LEY 630/2010)), el Real Decreto 951/2015 (LA LEY 16680/2015) añadió 24 meses más al plazo inicial y en su artículo 35 determina que el Comité Sectorial de Administración Electrónica tiene que articular los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas.

El CCN articula los procedimientos necesarios para la recogida y consolidación de la información, así como los aspectos metodológicos para su tratamiento y explotación, a través de los correspondientes grupos de trabajo que se han constituido al efecto en el Comité Sectorial de Administración Electrónica y en la Comisión de Estrategia TIC para la Administración General del Estado.

Y cabe resaltar que las Leyes 39 y 40 amplían el ámbito del ENS:

Ley 39/2015 (LA LEY 15010/2015)

Artículo 13. Derechos de las personas en sus relaciones con las Administraciones Públicas

h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Ley 40/2015 (LA LEY 15011/2015). La seguridad, principio de actuación

Artículo 3. Principios generales

2. Las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.

Artículo 156. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad

2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

Los objetivos del ENS son:

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia.
  • Promover la prevención detección y corrección.
  • Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades mediante lenguaje y elementos comunes, adecuados al quehacer de la Administración:
    • Para guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información.
    • Para facilitar la interacción y la cooperación.
    • Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.
  • Proporcionar liderazgo en materia de buenas prácticas.

Artículo 5. La seguridad como un proceso integral.

1. La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

2. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

Aspectos principales de la adecuación:

  • Elaborar y aprobar la política de seguridad (art. 11)
  • Definir roles y asignar personas. Responsable de seguridad. (art. 10)
  • Categorizar los sistemas (art. 27)
  • Analizar los riesgos (art. 27)
  • Seleccionar y elaborar la declaración de aplicabilidad; e implantar las medidas de seguridad. (Anexo II)
  • Auditar la seguridad (art. 34)
  • Publicar la conformidad en la sede electrónica (art. 41)
  • Informar del estado de la seguridad (art. 35)

La plena aplicación de las leyes 39/2015 (LA LEY 15010/2015) y 40/2015 (LA LEY 15011/2015) requiere la protección de la información y los servicios (en el contexto de la transformación digital).

  • La seguridad de la información y de los servicios requiere la implicación de todos los elementos técnicos, humanos, materiales y organizativos.
  • El ENS, de aplicación al Sector Público, persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
  • Auditorías independientes como base de la aportación de datos al informe de la seguridad y posterior certificación de la conformidad.
  • Uso de los servicios y plataformas ofrecidos por la Administración.

El Reglamento tal cual, y la seguridad

Por su parte, el Reglamento de actuación y funcionamiento del Sector Público por medios electrónicos (LA LEY 6540/2021) que aprueba el nuevo real decreto consta de 65 artículos distribuidos en cuatro títulos, diez disposiciones adicionales y un anexo de definiciones.

El título preliminar (LA LEY 6540/2021) del Reglamento comprende las disposiciones generales regulando el objeto y ámbito de aplicación de la norma (que se remite al ámbito del artículo 2 tanto de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), como de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015)) y los principios generales que debe respetar el sector público en sus actuaciones y relaciones electrónicas.

Entre estos principios se incluyen el de neutralidad tecnológica y de adaptabilidad al progreso de las tecnologías y sistemas de comunicaciones electrónicas, para garantizar tanto la independencia en la elección de las alternativas tecnológicas necesarias para relacionarse con las Administraciones Públicas por parte de las personas interesadas y por el propio sector público, como la libertad para desarrollar e implantar los avances tecnológicos en un ámbito de libre mercado; el principio de accesibilidad, para promover que el diseño de los servicios electrónicos garantice la igualdad y no discriminación en el acceso de las personas usuarias, en particular, de las personas discapacitadas y de las personas mayores; el principio de facilidad de uso, que determina que el diseño de los servicios electrónicos esté centrado en las personas usuarias para minimizar el grado de conocimiento tecnológico necesario para el uso del servicio, el principio de interoperabilidad, entendido como la capacidad de los sistemas de información y, por ende, de los procedimientos a los que estos dan soporte, de compartir datos y posibilitar el intercambio de información entre ellos; el principio de proporcionalidad, para que las medidas de seguridad y garantías que se exijan sean adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones electrónicos y, por último, el principio de personalización y proactividad, entendido como la capacidad de las Administraciones Públicas para que, partiendo del conocimiento adquirido del usuario final del servicio, proporcione servicios precumplimentados y se anticipe a las posibles necesidades de los mismos. Asimismo el título preliminar regula el derecho y obligación de relacionarse electrónicamente con las Administraciones Públicas, en aplicación del artículo 14 (LA LEY 15010/2015) de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), y los canales a través de los cuales las Administraciones Públicas prestarán la asistencia necesaria para facilitar el acceso de las personas interesadas a los servicios electrónicos proporcionados en su ámbito.

El título I (LA LEY 6540/2021) regula los portales de internet, el PAGe, las sedes electrónicas y sedes electrónicas asociadas (características, creación y supresión, contenido y servicios, y responsabilidad) y el área personalizada a través de la cual cada interesado podrá acceder a su información, al seguimiento de los trámites administrativos que le afecten y a las notificaciones y comunicaciones en el ámbito de la Administración Pública competente, que en el ámbito estatal se denomina «Carpeta Ciudadana».

El título II (LA LEY 6540/2021) se subdivide en tres capítulos y regula el procedimiento administrativo por medios electrónicos. Así, el capítulo I, sobre «Disposiciones generales» aborda la tramitación administrativa automatizada y el régimen de subsanaciones. Por su parte el capítulo II regula la identificación y autenticación de las Administraciones Públicas y de las personas interesadas y se subdivide en cuatro Secciones: la 1ª aborda las disposiciones comunes a la identificación y autenticación y condiciones de interoperabilidad (incluyendo la plataforma de verificación de certificados electrónicos y otros sistemas de identificación), la 2.ª regula la «Identificación electrónica de las Administraciones Públicas y la autenticación del ejercicio de su competencia», que comprende la identificación de las sedes electrónicas y sedes asociadas, la identificación mediante sello electrónico basado en certificado electrónico cualificado, los sistemas de firma electrónica para la actuación administrativa automatizada, la identificación y firma del personal al servicio de las Administraciones Públicas (incluidos los certificados de empleado público con número de identificación profesional) y la autenticación e identificación de las Administraciones emisoras y receptoras en intercambio de datos a través de entornos cerrados de comunicación. La sección 3ª desarrolla la regulación de la identificación y firma de las personas interesadas y, por último, la sección 4ª regula la acreditación de la representación de las personas interesadas (regulando, entre otros extremos, el registro electrónico de apoderamientos).

El título II se cierra con el capítulo III, que en sus dos secciones regula los Registros electrónicos, las notificaciones electrónicas y los otros actos de comunicación electrónicos. Así, la sección 1ª regula los registros electrónicos (entre otros aspectos, el Registro Electrónico General de cada Administración y la presentación y tratamiento de documentos en registro o las competencias de las Oficinas de asistencia en materia de registros de la Administración General del Estado) y la sección 2ª regula las comunicaciones administrativas a las personas interesadas por medios electrónicos (actos de comunicación electrónica a las personas interesadas distintos de las notificaciones o publicaciones) y las notificaciones electrónicas (incluyendo las reglas generales de la práctica de las notificaciones electrónicas, el aviso de puesta a disposición de la notificación, la notificación a través de la Dirección Electrónica Habilitada única (DEHu) y la notificación electrónica en sede electrónica o sede electrónica asociada).

El título III (LA LEY 6540/2021) regula el expediente electrónico y se divide en dos capítulos. El capítulo I regula el documento administrativo electrónico y los requisitos y la emisión de copias auténticas de documentos públicos administrativos o documentos privados, que sean originales o copias auténticas de originales; la formación del expediente administrativo electrónico y el ejercicio de acceso al mismo y a la obtención de copias y la destrucción de documentos. Por su parte, el capítulo II regula la conservación de documentos electrónicos y la definición de archivo electrónico único.

Por último, el título IV (LA LEY 6540/2021) se divide en dos capítulos y regula las relaciones y colaboración entre Administraciones Públicas para el funcionamiento electrónico del sector público. Así, el capítulo I aborda la colaboración entre las Administraciones Públicas para la actuación administrativa por medios electrónicos e incluye las obligadas relaciones interadministrativas e interorgánicas por medios electrónicos en el ejercicio de sus competencias, las comunicaciones en la Administración General del Estado, la posibilidad de adhesión a sedes electrónicas y sedes electrónicas asociadas y la regulación del Sistema de Interconexión de Registros (SIR), a través del cual deberán realizarse las interconexiones entre Registros de las Administraciones Públicas, que deberán ser interoperables entre sí y, en el caso de la Administración General del Estado, lo que supone una novedad, también con los sistemas de gestión de expedientes.

El capítulo I del título IV regula también las transmisiones de datos a las que se refiere el artículo 155 (LA LEY 15011/2015) de la Ley 40/2015 de 1 de octubre (LA LEY 15011/2015), las plataformas de intermediación de datos (con mención especial a la de ámbito estatal), la remisión electrónica de expedientes administrativos en el ámbito de las Administraciones públicas mediante puesta a disposición, a través de un nodo de interoperabilidad, de la dirección electrónica o localizador que dé acceso al expediente electrónico completo y, por último, las previsiones el intercambio automático de datos o documentos a nivel europeo previstos en el Reglamento (UE) n.o 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018 (LA LEY 18402/2018), relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.o 1024/2012 (LA LEY 19004/2012).

El título IV finaliza con el capítulo II, que regula la transferencia y uso compartido de tecnologías entre Administraciones Públicas, abordando, por una parte, la reutilización de sistemas y aplicaciones de las Administraciones Públicas y, por otra, la adhesión a las plataformas, registros o servicios electrónicos de la Administración General del Estado.

La parte final del Reglamento consta de diez disposiciones adicionales (LA LEY 6540/2021) y un anexo (LA LEY 6540/2021) de definiciones. Las primeras regulan la obligatoriedad de uso de medios electrónicos en los procesos selectivos para el acceso al empleo público en el ámbito de la Administración General del Estado; la promoción de la formación del personal al servicio de la Administración General del Estado para garantizar el derecho de las personas interesadas a ser asistidas en el uso de medios electrónicos en sus relaciones con la Administración Pública; la creación del nodo de interoperabilidad para la identificación electrónica del Reino de España para el reconocimiento mutuo de identidades electrónicas entre Estados miembros de la Unión Europea; la adhesión de las entidades de derecho privado vinculadas o dependientes de la Administración General del Estado, en el ejercicio de potestades administrativas, a las sedes electrónicas y sedes electrónicas asociadas y sistema de firma y notificaciones electrónicas aplicables; la adhesión de los órganos constitucionales al uso de las plataformas, registros o servicios electrónicos de la Administración General del Estado; la situación de las sedes electrónicas y subsedes electrónicas en el ámbito estatal existentes a la entrada en vigor de este real decreto; la interoperabilidad de los registros electrónicos de apoderamientos; supletoriedad en Registro Civil; la autorización de los sistemas de identificación previstos en el artículo 9.2.c) y de los sistemas de firma previstos en el artículo 10.2.c) (LA LEY 15010/2015) de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015) y, por último, las especialidades por razón de materia.

El Reglamento concluye con un Anexo terminológico que retoma la buena praxis que incluía la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LA LEY 6870/2007), en una materia de especial complejidad por la imbricación de categorías jurídicas y conceptos tecnológicos en permanente evolución.

El real decreto se ajusta a los principios de buena regulación contenidos en el artículo 129 (LA LEY 15010/2015) de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015) (principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia), en tanto que persigue un interés general al concretar determinados aspectos de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015) y de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), que van a facilitar el uso efectivo de los medios electrónicos de la Administración, y el desarrollo necesario de las citadas leyes.

La norma es acorde con el principio de proporcionalidad al contener la regulación imprescindible para la consecución de los objetivos previamente mencionados. Igualmente, se ajusta al principio de seguridad jurídica, siendo coherente con el resto del ordenamiento jurídico, estableciéndose un marco normativo estable, integrado y claro.

Asimismo, durante el procedimiento de elaboración de la norma, se han formalizado los trámites de consulta pública previa e información pública, que establece la Ley en cumplimiento del principio de transparencia, quedando además justificados en el preámbulo los objetivos que persigue este real decreto.

Por último, en virtud del principio de eficiencia la norma no introduce ninguna variación, en materia de cargas administrativas, respecto de las leyes que con esta norma se desarrollan. Asimismo, el proyecto ha sido informado por la Agencia Española de Protección de Datos y se ha sometido a consulta a las comunidades autónomas y a la Federación Española de Municipios y Provincias a través de la Comisión Sectorial de Administración Electrónica y a informe de los diferentes ministerios.

El real decreto se dicta en ejercicio de la habilitación normativa contenida en la disposición final sexta (LA LEY 15010/2015) de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), y en la disposición final decimoquinta (LA LEY 15011/2015) de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), para llevar a cabo su desarrollo reglamentario en lo referido a la gestión electrónica de los procedimientos y el funcionamiento electrónico del sector público y garantizar, así, la efectiva aplicación e implantación de las previsiones que ambas leyes establecen, todo ello al amparo de lo dispuesto en el artículo 149.1.18.ª de la Constitución (LA LEY 2500/1978).

Termino como empezaba este artículo, incidiendo que el nuevo reglamento no modifica ni determina nuevas normas de seguridad y hace un tratamiento de la seguridad como marco regulatorio imprescindible para garantizar la seguridad de los servicios electrónicos, las telecomunicaciones y la seguridad pública.

Y parece oportuno relacionar a continuación los artículos del reglamento que hacen referencia a la seguridad como tal:

Artículo 15.Sistemas de identificación, firma y verificación.

1. Las Administraciones Públicas admitirán, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en la normativa vigente sobre firma electrónica y resulten adecuados para garantizar la identificación de las personas interesadas y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Las Administraciones Públicas podrán utilizar los siguientes sistemas para su identificación electrónica y para garantizar el origen e integridad de los documentos electrónicos:

  • a) Sistemas de identificación de las sedes electrónicas y sedes electrónicas asociadas.
  • b) Sello electrónico basado en un certificado electrónico cualificado y que reúna los requisitos exigidos por la legislación de firma electrónica.
  • c) Sistemas de firma electrónica para la actuación administrativa automatizada. d) Firma electrónica del personal al servicio de las Administraciones Públicas.
  • e) Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo específicamente acordado entre las partes.

3. Las personas interesadas podrán utilizar los siguientes sistemas de identificación y firma en sus relaciones electrónicas con las Administraciones Públicas:

  • a) De acuerdo con lo previsto en el artículo 9.2 de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas descritos en las letras a), b) y c) de dicho artículo. En este último supuesto los sistemas deberán ser autorizados previamente por la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior.
  • b) Asimismo, se considerarán válidos a efectos de firma electrónica ante las Administraciones Públicas los sistemas previstos en las letras a), b) y c) del artículo 10.2 de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015).
  • c) De acuerdo con lo previsto en el artículo 10.4 de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), cuando así lo disponga expresamente la normativa reguladora aplicable, las Administraciones Públicas podrán admitir los sistemas de identificación previstos en dicha ley como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados.

4. La Administración no será responsable de la utilización por terceras personas de los medios de identificación personal y firma electrónica del interesado, salvo que concurran los requisitos establecidos en el artículo 32 de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), para la exigencia de responsabilidad patrimonial.

Artículo 16.Plataformas de verificación de certificados electrónicos y de otros sistemas de identificación.

1. La Administración General del Estado dispondrá de una plataforma para la verificación de la vigencia y del contenido de los certificados cualificados admitidos en el sector público. El sistema deberá permitir que tal verificación se pueda llevar a cabo de forma libre y gratuita, para el sector público. La Secretaría General de Administración Digital será el órgano responsable de esta plataforma, que estará disponible para todo el sector público previa formalización del correspondiente instrumento de adhesión.

2. Esta plataforma dispondrá de una declaración de prácticas de validación en la que se detallarán las obligaciones que se comprometen a cumplir tanto la plataforma como las personas usuarias de la misma en relación con los servicios de verificación. Esta declaración estará disponible al público por vía electrónica y con carácter gratuito.

3. Los prestadores cualificados de servicios de confianza deberán facilitar a esta plataforma el acceso electrónico y gratuito para la verificación de la vigencia de los certificados electrónicos emitidos por aquellos en virtud de su cualificación de acuerdo con la legislación aplicable en materia de servicios electrónicos de confianza.

Articulo 23.Certificados electrónicos de empleado público con número de identificación profesional.

1. Sin perjuicio de lo previsto en el artículo 22.3 de este Reglamento, de acuerdo con lo previsto en el artículo 43.2 de la Ley 40/2015, de 1 de octubre (LA LEY 15011/2015), los prestadores cualificados de servicios de confianza podrán consignar un número de identificación profesional en el certificado electrónico de empleado público, a petición de la Administración en la que presta servicios el empleado o empleada de que se trate, si dicho certificado se va a utilizar en actuaciones que afecten a información clasificada, a la seguridad pública, a la defensa nacional o a otras actuaciones para cuya realización esté legalmente justificado el anonimato. Estos certificados se denominarán «certificados electrónicos de empleado público con número de identificación profesional».

2. En el ámbito estatal corresponderá solicitar la consignación de un número de identificación profesional del empleado o empleada público a la persona titular de la Subsecretaría del ministerio o a la persona titular de la Presidencia o de la Dirección del organismo público o entidad de derecho público en el que preste servicios el empleado o empleada público.

3. La Administración solicitante del certificado conservará la documentación acreditativa de la identidad del titular.

4. Los certificados electrónicos de empleado público con número de identificación profesional serán cualificados y se ajustarán a lo previsto en el Esquema Nacional de Interoperabilidad y la legislación vigente en materia de identidad y firma electrónica y tendrán idéntico uso, capacidad y funcionalidad que el certificado electrónico de empleado público, aunque limitados a las actuaciones que justificaron su emisión.

5. Las autoridades públicas competentes y los órganos judiciales, en el ejercicio de sus funciones y de acuerdo con la normativa vigente, podrán solicitar la revelación de la identidad del titular de un certificado de empleado público con número de identificación profesional mediante petición oficial dirigida a la Administración responsable de su custodia.

Articulo 26.Sistemas de identificación de las personas interesadas en el procedimiento.

1. De acuerdo con lo previsto en la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de cualquier sistema que cuente con un registro previo como usuario que permita garantizar su identidad.

2. En particular, de acuerdo con lo previsto en el artículo 9.2 de la Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), serán admitidos los siguientes sistemas de identificación electrónica:

  • a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores cualificados de servicios de confianza».
  • b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la «Lista de confianza de prestadores cualificados de servicios de confianza».
  • c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. Las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todo procedimiento, aun cuando se admita para ese mismo procedimiento alguno de los previstos en la letra c).

Articulo 28.Sistemas de clave concertada y otros sistemas de identificación de las personas interesadas.

2. Los sistemas de identificación a que se refiere el apartado anterior deberán ser autorizados previamente por la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior.

3. En el ámbito estatal, la creación de los nuevos sistemas de identificación será aprobada por orden de la persona titular del Ministerio o, en su caso, resolución de la persona titular de la Presidencia o de la Dirección del organismo público o entidad de derecho público vinculado o dependiente por razón del ámbito material en que se vaya a utilizar, previa autorización de la Secretaría General de Administración Digital a que se refiere el apartado anterior.

Cuando el nuevo sistema se refiera a la totalidad de la Administración General del Estado se requerirá Acuerdo del Consejo de Ministros a propuesta de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital. En este caso, este sistema deberá estar accesible a través de la Plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.

Artículo 29. Sistemas de firma electrónica de las personas interesadas admitidos por las Administraciones Públicas y régimen de uso.

4. Los sistemas de firma electrónica previstos en la letra c) del apartado 1 deberán contar con la previa autorización de la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. Asimismo, deberán cumplir con lo previsto en el Real Decreto 3/2010, de 8 de enero (LA LEY 630/2010) (ENS).

Disposición adicional tercera.Nodo de interoperabilidad de identificación electrónica del Reino de España.

1. Se crea el nodo de interoperabilidad de identificación electrónica del Reino de España para el reconocimiento mutuo de identidades electrónicas entre los Estados miembros, de acuerdo con lo previsto en el Reglamento (UE) n.o 910/2014, de 23 de julio de 2014 (LA LEY 13356/2014), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

2. El nodo de interoperabilidad de identificación electrónica del Reino de España se gestionará por el Ministerio de Asuntos Económicos y Transformación Digital.

3. Las entidades pertenecientes al sector público deberán definir y publicar en su sede electrónica el nivel de seguridad en la identificación electrónica exigido en los procedimientos y servicios que gestionan, de acuerdo con el Reglamento (UE) n.o 910/2014, de 23 de julio de 2014 (LA LEY 13356/2014). Este nivel de seguridad en la identificación electrónica del sistema de información que soporta el procedimiento o servicio se determinará sobre la base del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y normativa correspondiente. Las entidades pertenecientes al sector público deberán admitir en todo caso, en el acceso electrónico a sus procedimientos y servicios los esquemas de identificación notificados por otros Estados Miembros al amparo del Reglamento (UE) n.o 910/2014, de 23 de julio de 2014 (LA LEY 13356/2014), siempre que se den estas dos condiciones:

  • a) El esquema de identificación utilizado tenga un nivel de seguridad en la identificación electrónica sustancial o alto.
  • b) El nivel de seguridad de dicho esquema sea igual o superior al nivel de seguridad exigido por el procedimiento o servicio de acuerdo con el apartado 3.

ANEXO.Definiciones.

Esquema Nacional de Seguridad: Instrumento que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015) y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

Seguridad Entidades Locales

10 CLAVES PARA LA ADECUACIÓN AL ENS SEGÚN LA GUÍA ESTRATÉGICA EN SEGURIDAD PARA ENTIDADES LOCALES (FEMP):

Mostrar/Ocultar Mostrar/Ocultar

En estos momento los Ayuntamientos (y posiblemente resto de entidades locales), nos deberíamos de centrar en:

  • Disponer de una Política de Seguridad Aprobada.
  • Independencia entre Responsables: Responsable de Seguridad y Responsable de Sistemas.
  • Análisis de Riesgos.
  • Declaración de Aplicabilidad.
  • Plan de Adecuación.
  • Certificación de cumplimiento.

INSISTE, AHORA LA SEGURIDAD… SE APLICA