Orden PRE/57/2016, de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los pliegos de cláusulas administrativas particulares y de prescripciones técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.

• Sección: 1 - Disposiciones Generales
• Emisor: Consejería de Presidencia y Justicia
• Rango de Ley: Orden

Norma citada en: un artículo doctrinal, una disposición normativa

La información y los sistemas tecnológicos de tratamiento de la información tienen unasingular importancia para las Administraciones Públicas actuales, siendo factores esencialespara el cumplimiento de sus obligaciones y para la prestación de los servicios que ofrecen a laciudadanía, algo que cobra una especial importancia en lo relativo al acceso electrónico de losciudadanos a los servicios públicos.

En la prestación de esos servicios tienen una importante función los terceros que ofrecensuministros o prestan servicios a las Administraciones Públicas, viéndose afectadas las garantías sobre la seguridad de la información y de los sistemas de información por las condicionesde contratación y el seguimiento que se haga de la ejecución de los contratos.

Así, cobra una gran importancia recoger en los pliegos de cláusulas administrativas particulares y prescripciones técnicas de los contratos las condiciones correspondientes a la seguridad, contemplando la atribución de obligaciones y responsabilidades que recaen entre laspartes.

La presente Orden desarrolla el Decreto 31/2015, de 14 de mayo, por el que se apruebala Política de Seguridad de la Información de la Administración de la Comunidad Autónoma deCantabria, con el objetivo de asegurar el cumplimiento en materia de contratación del RealDecreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en elámbito de la Administración Electrónica y de la Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, así como su normativa de desarrollo.

Para facilitar la aplicación de estas exigencias de seguridad y garantizar su obligada aplicación de forma uniforme, se incorpora un Anexo I que recoge los contenidos obligatorios aincorporar a las cláusulas administrativas de los pliegos.

DISPONGO

CAPÍTULO I Disposiciones generales Artículos 1 a 3

Artículo 1 Objeto

El objeto de la presente Orden es definir los contenidos mínimos obligatorios relativos aseguridad de la información y de los sistemas de información a incorporar en los pliegos decláusulas administrativas particulares y pliegos de prescripciones técnicas en los contratoscuyo objeto sea la prestación de servicios o suministros, y en especial, a cualquier otro tipode contrato en el que el personal al servicio del adjudicatario acceda a información o a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, o bien asuministros de componentes o elementos de esos sistemas de información.

CVE-2016-8383

Artículo 2 Ámbito de aplicación.

De conformidad con las previsiones del Decreto 31/2015, de 14 de mayo, por el que seaprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria esta orden será de aplicación:

1. A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, aestos efectos, a la Administración General y los organismos públicos y entidades de derechopúblico vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas yutilicen sistemas de información gestionados por el órgano directivo con competencias en materia informática. Quedan excluidos del ámbito de aplicación de la presente Orden el ServicioCántabro de Salud y el sector público empresarial y fundacional.

2. A las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuándo procedan al uso de sistemas de información gestionados por el órganodirectivo con competencias en materia informática.

Artículo 3 Contenidos obligatorios para todos los contratos.

1. En todos los contratos cuyo objeto sea la prestación de servicios, suministros, y, en general, en aquellos en los que el personal al servicio del adjudicatario acceda a información o alos sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, obien contenga suministros de componentes o elementos de esos sistemas de información seincluirán en el pliego de cláusulas administrativas prticulares, las condiciones establecidas enel Anexo I de esta orden, conforme las modalidades recogidas en el mismo.

2. Asimismo, en todos los contratos citados en el apartado anterior, se incorporarán en lospliegos de prescripciones técnicas, las condiciones establecidas en el Capítulo II de esta orden,conforme a las modalidades recogidas en el mismo.

3. En el caso de que el procedimiento de adjudicación utilizado sea el de contrato menor,previamente a la Resolución de adjudicación o de su encargo formal, el adjudicatario deberásuscribir un documento de conformidad, de acuerdo con el modelo incluido en el Anexo II quedeberá incorporarse al expediente administrativo, por el cual éste asume las obligaciones ycondiciones sobre seguridad de la información y de los sistemas de información, establecidastanto en el Anexo I como en el Capítulo II de esta orden, conforme las necesidades concretasy específicas de cada contrato.

CAPÍTULO II Artículos 4 a 10

De los contenidos obligatorios a incorporar en los pliegos de prescripciones técnicas

Artículo 4 Contenidos obligatorios para todos los contratos de servicios cuyo objeto delcontrato incluya la prestación de servicios informáticos o tecnológicos o el tratamiento de información.

Se deberán establecer condiciones en el pliego de prescripciones técnicas que incluyanexpresamente, para los servicios informáticos o tecnológicos, así como para los tratamientosde información incluso por mecanismos no automatizados, que formen parte del objeto delcontrato:

1. Descripción de los Acuerdos de Nivel de Servicio, incluyendo los indicadores para su medición a utilizar y su posible modificación o actualización a lo largo del contrato.

2. Descripción de las penalidades a aplicar en caso de incumplimiento de los Acuerdos deNivel de Servicio.

3. Los mecanismos para el seguimiento del cumplimiento de los Acuerdos de Nivel de Servicio.

4. La obligación de fijar interlocutores entre las dos partes, que desempeñen, al menos, lossiguientes cometidos:

1. Responsable de seguridad.

2. Responsables de seguridad de los ficheros con datos de carácter personal.

3. Persona de contacto para cambios y mantenimiento de los sistemas.

4. Persona de contacto para incidencias relativas a los indicadores de servicio.

5. Persona de contacto para aspectos contractuales.

6. Persona de contacto para temas jurídicos y regulatorios y en particular para lo relativosa datos de carácter personal.

Una misma persona podrá desempeñar uno o varios de los cometidos a que se refieren losapartados anteriores.

Artículo 5 Contenidos obligatorios para los contratos de servicios destinados al desarrollode aplicaciones informáticas a medida.

1. Además de las condiciones establecidas en el artículo 4, en esta clase de contratostambién se deberán incluir en el pliego de prescripciones técnicas condiciones que incluyanexpresamente:

   1. Categoría de la aplicación a desarrollar correspondiente al resultado del Anexo I delReal Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridaden el ámbito de la Administración Electrónica.

   2. Descripción de las medidas del Anexo II del Real Decreto 3/2010, de 8 de enero, porel que se regula el Esquema Nacional de Seguridad (ENS), que el adjudicatario debe aplicaren función de la categoría, incluyendo el detalle de los aspectos específicos de los sistemas oplataformas tecnológicas de la Administración de la Comunidad Autónoma de Cantabria que sedeben contemplar en cada caso. En la determinación de las medidas de seguridad a aplicar yla descripción de aspectos específicos se deberá tener en cuenta los resultados de un análisisde riesgos, aplicando los principios determinados en la medida "Análisis de riesgos [op.pl.1]"del ENS.

2. Además, en el caso de que las aplicaciones vayan a contener o tratar datos de carácterpersonal, se incorporarán:

   1. Nivel del fichero o ficheros con datos de carácter personal que se vayan a contenero tratar en la aplicación, según los artículos 80 y 81 del Real Decreto 1720/2007, de 21 dediciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de13 de diciembre, de protección de datos de carácter personal.

   2. Descripción de las medidas de seguridad a aplicar correspondientes al nivel del ficheroo ficheros con datos de carácter personal, según el Capítulo III del Real Decreto 1720/2007,de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Artículo 6 Contenidos obligatorios para los contratos de servicios destinados a la prestaciónde servicios informáticos.

Además de las condiciones establecidas en el artículo 4, en esta clase de contratos tambiénse deberán incluir condiciones en el pliego de prescripciones técnicas condiciones que incluyanexpresamente:

1. La categoría del sistema o sistemas ligados a la prestación de los servicios objeto delcontrato correspondiente al resultado del Anexo I del Real Decreto 3/2010, de 8 de enero, porel que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

2. El compromiso del adjudicatario de cumplir con las medidas de seguridad correspondientes a la categoría en lo que afecten a la prestación objeto del contrato, incluyendo un

listado de las medidas que específicamente deben cumplir, con la descripción de los aspectosespecíficos de los sistemas o plataformas tecnológicas de la Administración de la ComunidadAutónoma de Cantabria que se deben contemplar en cada caso. En la determinación de las medidas de seguridad a aplicar y la descripción de aspectos específicos se deberá tener en cuentalos resultados de un análisis de riesgos, aplicando los principios determinados en la medida"Análisis de riesgos...