(ES) ENS - ¿Cuáles son las medidas de seguridad que deben adoptar los proveedores externos que proporcionen servicios informáticos a las AA.PP.?,

¿deben cumplir con el ENS? (Por ejemplo: servicios de alojamiento de servidores, servicios cloud computing, etc.)

La Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en su artículo 15, señala la posibilidad de que, cuando por razones de eficacia o cuando no se posean los medios técnicos idóneos para su desempeño, la realización de actividades de carácter material, técnico o de servicios, de la competencia de los órganos administrativos o de las entidades de derecho público, pueda recaer sobre personas físicas o jurídicas sujetas a derecho privado.

En tales casos, la realización de las actividades indicadas, no supone cesión de titularidad de la competencia ni de los elementos sustantivos de su ejercicio, siendo responsabilidad del órgano o entidad de la Administración contratante dictar cuantos actos o resoluciones de carácter jurídico den soporte o en los que se integre la concreta actividad material objeto de la actividad.

Por tanto, las medidas de seguridad que deben adoptar los proveedores de servicios no las fija el propio proveedor, sino que serán las determinadas por la Administración contratante, en virtud de la naturaleza de los servicios prestados.

Finalmente, recordar una vez más que es responsabilidad de la Administración contratante la suscripción del correspondiente contrato de prestación del servicio (incluyendo, en su caso, los Acuerdos de Nivel de Servicio a los que hubiere lugar), que deberá contener todas las estipulaciones necesarias para dar cumplimiento a lo dispuesto en el ENS, en virtud de la naturaleza del servicio prestado.