(ES) ENS - ¿Cada cuánto tiempo se debe hacer una auditoría para la renovación de la conformidad/certificación en el ENS?

Como señala el artículo 38 del ENS, los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.

Además, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de esta auditoria extraordinaria, si es completa, determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior. Si no es completa, al haberse circunscrito en unas cuantas medidas concretas a las que únicamente hayan afectado las modificaciones producidas en el sistema, no se verá alterada la fecha para el cálculo de los dos años en que deberá renovarse la certificación.

Por otro lado, como señala la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, la Certificación de la Conformidad con el ENS de los sistemas de información con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 38 y en el anexo III del Real Decreto 311/2022.

Esta misma Instrucción Técnica de Seguridad señala que la Certificación de Conformidad con el ENS se basará en el resultado de la antedicha auditoría, disponiendo de una validez efectiva de dos años, siempre que, por lo señalado, no sea necesario acometer una auditoría extraordinaria con anterioridad.

Por todo lo dicho, la “Fecha de renovación de la certificación de conformidad” que aparezca en la Certificación de Conformidad nunca podrá superar los dos años naturales desde la “Fecha de certificación de conformidad inicial” (que debe entenderse como la fecha en la que la Entidad de Certificación o, en su caso, el Órgano de Auditoría Técnica (OAT), deciden otorgar dicha Certificación), pudiendo ser menor si las circunstancias así lo exigen.

Por todo ello, la auditoría se deberá planificar convenientemente de modo que la decisión de certificación subsiguiente se pueda tomar dentro del período de validez de la certificación precedente.

_Rev:	_{2023 / 05}
_Lang.	Página: (VA) ENS - Cada quant temps s'ha de fer una auditoria per a la renovació de la conformitat/certificació en el *ENS? Página: (ES) ENS - ¿Cada cuánto tiempo se debe hacer una auditoría para la renovación de la conformidad/certificación en el ENS?