Malas praxis en certificados del ENS

 ¡Ojo con los certificados de conformidad con el Esquema Nacional de Seguridad!

Recientemente, he tenido acceso a un certificado de conformidad con el ENS emitido por la Empresa A a la Empresa B. La Empresa B se dedica a servicios de desarrollo de software, entre otras cosas, y la Empresa A es una consultora de certificación en diferentes normas. En determinadas circunstancias las AA.PP. han de exigir el cumplimiento del ENS a sus proveedores de servicios, para lo cual se han de obtener los correspondientes certificados de conformidad, que permiten utilizar los distintivos cuyo uso se describe en la Guia CCN-STIC 809.

El certificado al que tuve acceso tenía como título "Certificado de conformidad con el Esquema Nacional de Seguridad", indicaba que se había emitido a nombre de Empresa B por parte de Empresa A, para una serie de servicios de TI, disponía del distintivo oficial de nivel Medio (en este caso), tenía su número de registro, su fecha de emisión y caducidad, y la leyenda "ha sido auditado y es conforme con las exigencias del RD 3/2010." (se emitió antes de aprobarse el RD 311/2022). Todo parecía en orden.

Sin embargo: 

a) La Empresa B no aparecía en el listado de empresas certificadas que tiene el CCN-CERT publicada en su web.

b) y la Empresa A no aparecía en el listado de empresas acreditadas por la Entidad Nacional de Acreditación (ENAC) para emitir esas certificaciones, como especifica el propio ENS que ha de ser. Efectivamente, al certificado le faltaba el sello de ENAC para ser totalmente perfecto, al menos, a nivel visual.

Hechas las oportunas llamadas a ambas empresas, Empresa A reconoce que no está acreditada, pero que su certificado no significa lo que el propio certificado parece indicar. Según ellos, simplemente han hecho para Empresa B los trabajos tendentes a que puedan plantearse que una entidad acreditada pueda certificarles el cumplimiento del ENS. Para qué use Empresa B el documento que ellos le emiten no es su problema. También se excusan diciendo que las AA.PP. no sabemos pedir los certificados del ENS correctamente (cuando el propio ENS nos dice lo que debemos pedir). Sin embargo, en mi opinión y en la de expertos en contratación y juristas, el "certificado" está claramente diseñado para confundir/engañar a la persona que ha de evaluar si se cumple o no con el ENS en el estudio de la documentación de una licitación.

Por todo ello, y ante la preocupación de que esta práctica presuntamente fraudulenta esté extendida en el mercado TI, por esta experiencia recomiendo que, si el lector se encuentra en la necesidad de tener que evaluar un certificado de conformidad del ENS en una licitación, compruebe lo siguiente:

1. Que el certificado está emitido a nombre de la mercantil que presenta la oferta. Si no es así, debe haber una subcontratación de esa mercantil certificada por parte de quien presenta la oferta, y esa subcontratación ha de constar en la memoria técnica del licitante.
2. Que la empresa certificada aparece en el listado correspondiente del CCN-CERT.
3. Que el certificado esté emitido por una entidad acreditada por ENAC para certificar el ENS. Para ello, consultar el listado del CCN-CERT.
4. Que el certificado tenga fecha de emisión, fecha de validez (que debe ser de un máximo de dos años desde la fecha de emisión) y nº de registro.
5. Que el certificado indique el nivel de conformidad con el ENS y para qué ámbito se emite, es decir, para qué servicios se ha certificado ese nivel de conformidad con el ENS. Esos servicios han de incluir aquellos que se están licitando y para los que se presenta la oferta, claro.
6. Que el certificado incluya el logotipo de ENAC y, opcionalmente, el distintivo de conformidad con el nivel del ENS regulado en la Guía CCN-STIC 809.

En caso de que alguna de las condiciones anteriores no se cumpla, habría que hacer las oportunas indagaciones, y si no son fructíferas, denegar la validez del certificado para esa licitación sería la opción más lógica.

Espero que esta experiencia les sea útil.