(VA) ENS - Cada quant temps s'ha de fer una auditoria per a la renovació de la conformitat/certificació en el *ENS?

Com assenyala l'article 38 de l'ENS, els sistemes d'informació han de ser objecte d'una auditoria regular ordinària, almenys cada dos anys, que verifique el compliment dels requeriments de l'ENS.

A més, amb caràcter extraordinari, haurà de realitzar-se aquesta auditoria sempre que es produïsquen modificacions substancials en el sistema d'informació, que puguen repercutir en les mesures de seguretat requerides. La realització d'aquesta auditoria extraordinària, si és completa, determinarà la data de còmput per al càlcul dels dos anys, establits per a la realització de la següent auditoria regular ordinària, indicats en el paràgraf anterior. Si no és completa, en haver-se circumscrit en unes quantes mesures concretes a les quals únicament hagen afectat les modificacions produïdes en el sistema, no es veurà alterada la data per al càlcul dels dos anys en què haurà de renovar-se la certificació.

D'altra banda, com assenyala la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, la Certificació de la Conformitat amb l'ENS dels sistemes d'informació amb categories MITJANA o ALTA es realitzarà mitjançant un procediment d'auditoria formal que, amb caràcter ordinari, verifique el compliment dels requeriments contemplats en l'Esquema, almenys cada dos anys. Aquesta auditoria es realitzarà segons el que es disposa en l'article 38 i en l'annex III del Reial decret 311/2022.

Aquesta mateixa Instrucció Tècnica de Seguretat assenyala que la Certificació de Conformitat amb el *ENS es basarà en el resultat de l'avantdita auditoria, disposant d'una validesa efectiva de dos anys, sempre que, per l'assenyalat, no siga necessari escometre una auditoria extraordinària amb anterioritat.

Per tot el que s'ha dit, la “Data de renovació de la certificació de conformitat” que aparega en la Certificació de Conformitat mai podrà superar els dos anys naturals des de la “Data de certificació de conformitat inicial” (que ha d'entendre's com la data en la qual l'Entitat de Certificació o, en el seu cas, l'Òrgan d'Auditoria Tècnica (OAT), decideixen atorgar aquesta Certificació), podent ser menor si les circumstàncies així ho exigeixen.

Per tot això, l'auditoria s'haurà de planificar convenientment de manera que la decisió de certificació subsegüent es puga prendre dins del període de validesa de la certificació precedent.

_Rev:	_{2023 / 05}
_Lang.	Página: (VA) ENS - Cada quant temps s'ha de fer una auditoria per a la renovació de la conformitat/certificació en el *ENS? Página: (ES) ENS - ¿Cada cuánto tiempo se debe hacer una auditoría para la renovación de la conformidad/certificación en el ENS?