Está Vd. en

Consejo de Estado: Dictámenes

Número de expediente: 710/2015 (HACIENDA Y ADMINISTRACIONES PÚBLICAS)

Referencia:
710/2015
Procedencia:
HACIENDA Y ADMINISTRACIONES PÚBLICAS
Asunto:
Proyecto de real decreto de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Fecha de aprobación:
01/10/2015

TEXTO DEL DICTAMEN

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 1 de octubre de 2015, , emitió, por unanimidad, el siguiente dictamen: "En cumplimiento de una Orden de V. E. de 30 de junio de 2015, con registro de entrada el día 1 de julio siguiente, el Consejo de Estado ha examinado el expediente relativo al proyecto de Real Decreto de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

De antecedentes resulta:

PRIMERO.- Contenido del proyecto

El proyecto de Real Decreto de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, consta de un preámbulo, un artículo único, una disposición transitoria y una disposición final.

El preámbulo comienza recordando que la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, previene en su artículo 1.2 que las Administraciones públicas utilizarán las tecnologías de la información de acuerdo con lo previsto en ella, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

La Ley presta especial atención al derecho a la protección de datos de carácter personal en los términos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como a los principios de seguridad en la implantación y utilización de los medios electrónicos por las Administraciones públicas, a la proporcionalidad y al derecho a la garantía de la seguridad y confidencialidad de los datos que obren en sus ficheros, sistemas y aplicaciones. Y establece, en fin, en su artículo 42, el Esquema Nacional de Seguridad (ENS), que fue aprobado por el Real Decreto 3/2010, de 8 de enero, exigiendo que se mantenga actualizado permanentemente.

En desarrollo de tal previsión, el Real Decreto 3/2010 preceptúa que el Esquema Nacional de Seguridad se desarrolle y perfeccione en paralelo al progreso de los servicios de la Administración electrónica y de la tecnología y a la evolución de los estándares internacionales sobre seguridad y auditoría. En relación con ello, el preámbulo destaca el riesgo que para la Seguridad Nacional y para los particulares y entidades públicas y privadas suponen las ciberamenazas, lo que explica que la ciberseguridad sea uno de los doce ámbitos prioritarios de actuación de la Estrategia de Seguridad Nacional, a fin de garantizar la seguridad de los sistemas de información y las redes de comunicaciones e infraestructuras comunes a todas las Administraciones públicas y la plena implantación del Esquema de Seguridad Nacional.

Atendiendo a todo ello y teniendo en cuenta la experiencia derivada de la implantación del Esquema Nacional de Seguridad, se considera preciso modificar el Real Decreto 3/2010, a fin de adaptarlo a la evolución de las tecnologías de aplicación y adecuarlo al Reglamento nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Por lo que se refiere a la parte dispositiva, la encabeza el artículo único, que consta de diecisiete apartados en los que se contiene la modificación del Real Decreto 3/2010 y de algunos de sus anexos.

En particular, se da nueva redacción al apartado 1 del artículo 11 y al apartado 3 del artículo 15; se modifican la rúbrica del artículo 18 y sus apartados 1 y 4, así como el apartado a) del artículo 19 y el apartado 2 del artículo 24; se añaden dos apartados, 4 y 5, al artículo 27; se modifican la rúbrica y el texto del artículo 29, así como los artículos 35, 36 y 37.1.a); se elimina la disposición adicional segunda, relativa al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y organismos análogos, y se añade una nueva, referida al desarrollo del ENS, con la consiguiente reordenación de las demás disposiciones adicionales. Asimismo, se modifican algunos elementos de la tabla del apartado 2.4 del anexo II y sus apartados 3.4, 4.1.2, 4.1.5, 4.2.1, 4.2.5, 4.3.3, 4.3.7, 4.3.8, 4.3.9, 4.3.11, 4.4.2, 4.6.1, 4.6.2, 5.2.3, 5.3.3, 5.4.2, 5.4.3, 5.5.2, 5.5.5, 5.6.1, 5.7.4, 5.7.5, 5.7.7 y 5.8.2, y los anexos III, IV y V.

Por último, la parte dispositiva consta de una disposición transitoria relativa a la adecuación de sistemas, que habrá de llevarse a cabo en el plazo en ella previsto, y de una disposición final que prevé la entrada en vigor de la norma el día siguiente al de su publicación en el Boletín Oficial del Estado.

SEGUNDO.- Contenido del expediente

Al proyecto de Real Decreto remitido en consulta se acompaña el expediente instruido con ocasión de su elaboración en el que constan, además de las sucesivas versiones del proyecto, los siguientes documentos:

- Memoria abreviada de análisis de impacto normativo. Comienza justificando su carácter abreviado señalando que la norma en proyecto se limita a introducir modificaciones de carácter estrictamente técnico que han sido tratadas en diversas reuniones con el CCN-CERT ("Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional"), con las que se pretende, además, adecuar la normativa vigente al Reglamento nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativa a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Analiza a continuación la oportunidad de la norma, señalando que la introducción de las modificaciones previstas en ella responde a la necesidad de dar cumplimiento al mandato de actualización permanente del Esquema Nacional de Seguridad contenido en la Ley 11/2007 y en el Real Decreto 3/2010, tomando como base la experiencia obtenida en la implantación del ENS en las Administraciones públicas españolas desde la aprobación de la norma en enero de 2010 y atendiendo a la evolución de la tecnología y las ciberamenazas, así como al contexto normativo internacional y europeo.

La memoria resume a continuación la estructura y contenido de la norma. En particular, explica que en el artículo 11, relativo a los "requisitos mínimos de seguridad", se introduce un inciso para exigir que la política de seguridad de los órganos superiores de las Administraciones públicas articule la gestión continuada de la seguridad, por tratarse de un aspecto clave que ha de acompañar a los servicios disponibles por medios electrónicos 24 horas al día.

En el artículo 15 ("profesionalidad") se exige como novedad que las organizaciones que presten a las Administraciones públicas servicios de seguridad cuenten "con profesionales cualificados" y en la rúbrica del artículo 18 (hasta ahora, "adquisición de productos de seguridad") se incorpora una mención expresa a la contratación de servicios de seguridad, mejorándose, además, la redacción de su primer apartado con la introducción de la noción de la proporcionalidad de los productos de seguridad de las tecnologías de la información y comunicaciones a la categoría del sistema y nivel de seguridad determinados; se añade un nuevo apartado 4 relativo a la contratación de servicios de seguridad.

Por otro lado, se elimina un inciso del apartado a) del artículo 19, por considerarse redundante, y se introducen en el apartado 2 del artículo 24 los procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información, pasando a sustituirse el término "incidencia" por la voz "incidente", que es la que aparece definida en el propio Real Decreto 3/2010. En el artículo 27 ("cumplimiento de requisitos mínimos") se añade un apartado 4 relativo a la formalización de las medidas de seguridad seleccionadas en el documento denominado "Declaración de aplicabilidad", que antes solo se mencionaba en el anexo II; se adiciona también un nuevo apartado 5 que permite reemplazar las medidas de seguridad del anexo II por otras medidas compensatorias, documentándolo debidamente en la Declaración de Aplicabilidad.

Se modifica la rúbrica del artículo 29, antes dedicado a la "seguridad por defecto" y ahora a las "instrucciones técnicas de seguridad y guías de seguridad", nueva figura a la que se aplicarán los procedimientos de elaboración, publicación y adopción consolidados en el ámbito de la interoperabilidad y con la que pretende superarse el carácter limitado de las guías que regulaba este precepto, que eran meras recomendaciones. Estas instrucciones son medidas de obligado cumplimiento concernientes a cuestiones que afectan a la seguridad de la información de los organismos públicos y los servicios que prestan, tales como el informe del estado de seguridad previsto en el artículo 35, la auditoría de la seguridad, la conformidad con el ENS, la gestión de incidentes de seguridad o los requisitos de seguridad en entornos externalizados, entre otras.

Se revisa la redacción del artículo 35, que regula el informe del estado de la seguridad, para garantizar que pueda conocerse regularmente el estado de seguridad de los sistemas de información de las Administraciones a través de mecanismos periódicos de recogida de información. A tal fin, se han incorporado referencias expresas a los procedimientos necesarios para la recogida y consolidación de la información y a los órganos responsables de su realización.

En el artículo 36 se introduce, en línea con la tendencia que comienza a imponerse en el ámbito de la Unión Europea, la obligación de notificar ciertos incidentes de seguridad.

Se modifica el apartado 1.a) del artículo 37, relativo a la "prestación de servicios de respuesta a incidentes de seguridad a las Administraciones Públicas", para facilitar la consecución del fin perseguido, que es la resolución de incidentes de seguridad, lo que se logra no solo a través de los informes de auditoría de los sistemas afectados, sino también de las evidencias necesarias para la investigación de tales incidentes, tales como registros de auditoría, configuraciones o soportes informáticos.

Se elimina la disposición adicional segunda, relativa al INTECO y organismos análogos, y se introduce una nueva disposición que regula el desarrollo del ENS

Finalmente, se modifican algunos aspectos de los anexos II a V a fin aumentar la eficacia de las medidas de seguridad.

A continuación, la memoria lleva a cabo, en su tercer apartado, el análisis del impacto económico y presupuestario. Señala que la mayor parte de las modificaciones tiene carácter organizativo y carece por ello de impacto (cita, en particular, las introducidas en los artículos 29, 35, 36 y 37 en materia de instrucciones técnicas de seguridad, informe del estado de la seguridad, notificación de incidentes de seguridad considerados serios y evidencias en caso de investigación de incidentes respectivamente). Continúa explicando que la norma introduce un principio de proporcionalidad y admite la posibilidad de reemplazar las medidas de seguridad del anexo II por otras medidas compensatorias, precisamente para facilitar que las entidades puedan acomodar la protección de la información y los servicios a lo dispuesto en la norma sin incrementos de gasto. Destaca también que el proyecto adapta el ENS al Reglamento europeo nº 910/2014 en materia de identidad electrónica, incardinándose en la Estrategia de Ciberseguridad Nacional, y que las modificaciones introducidas en las medidas del anexo II en relación con dicha cuestión no solo no suponen un incremento del coste, sino que acomodan los medios de identificación electrónica a la realidad, haciendo que los medios exigidos sean proporcionados a las garantías jurídicas exigibles en cada caso y teniendo en cuenta que los mecanismos de identificación que en su momento se consideraron imprescindibles -y que son muy exigentes con los medios tecnológicos usados- se han mostrado poco eficaces a la hora de acompasar la debida garantía de autenticación con la facilidad de acceso al procedimiento administrativo por parte de los ciudadanos. Estas consideraciones se hacen extensivas a la regulación de la firma electrónica, que también se ha adecuado a las exigencias de la realidad mejorando la proporcionalidad dentro de las garantías jurídicas exigibles y atendiendo a las expresiones recibidas de la Administración General del Estado y de las Comunidades Autónomas.

Sentado lo anterior, la memoria examina los efectos de la aprobación del proyecto en determinados ámbitos concretos. Así, en relación con la prestación de los servicios públicos y la productividad de sus empleados, explica que se verán positivamente afectados por la nueva norma, al estar mejor preparados para afrontar los riesgos derivados de los ciberataques y al disminuir el tiempo de recuperación de los sistemas tras un incidente. En cuanto a los efectos económicos sobre los ciudadanos, profesionales y empresas, señala que la norma carece de impacto directo, si bien en última instancia producirá efectos positivos al alentar el uso de medios electrónicos, reduciendo costes de desplazamiento y de tramitación, favoreciendo asimismo el desarrollo de la industria de la seguridad de la información (desarrollo de software y de productos o servicios, muchas veces fabricados por pymes) y promoviendo la actividad I+D+i. Desde el punto de vista de la competencia en el mercado, el proyecto no conlleva ninguna restricción ni altera el actual modelo competencial. Tampoco implica un incremento de las cargas administrativas.

Finalmente, por lo que se refiere al impacto presupuestario, explica que la actualización de las medidas de seguridad que prevé el proyecto es adecuada para defender los intereses públicos frente a las ciberamenazas y que supondrá tanto la adopción de medidas adicionales a las ya implantadas en la actualidad, como la eliminación de medidas adoptadas en el pasado o, en ciertos casos, el mantenimiento de la situación actual. En consecuencia, considera que, "en el marco globalizado de los organismos del ámbito de aplicación del ENS, no puede afirmarse que la propuesta represente un impacto presupuestario en los presupuestos de dichas entidades afectadas de la Administración General del Estado, de las Comunidades Autónomas o de las Entidades Locales", añadiendo que los costes de adecuación de los sistemas de información a lo dispuesto en la norma proyectada se satisfarán con cargo a los presupuestos ordinarios del organismo que opere el sistema de información de que se trate, sin perjuicio de los convenios que tales organismos pudieren celebrar con terceros a los que presten servicios.

En sus dos últimos apartados, la memoria indica que la norma en proyecto carece de impacto por razón de género y de impacto normativo.

Acompaña a la memoria un cuadro en el que se incluye un resumen ejecutivo de su contenido.

- Orden del día de la reunión del Comité Sectorial de Administración Electrónica de 26 de noviembre de 2014, en el que se incluye la modificación del Real Decreto 3/2010. - Informes de la Consejería de Economía y Empleo del Principado de Asturias, de la Consejería de Economía y Hacienda de la Región de Murcia, de la Consejería de Economía y Hacienda de la Junta de Andalucía y de la Agencia para la Modernización Tecnológica de Galicia, todos ellos emitidos entre el 1 y el 9 de diciembre de 2014, en los que se manifiesta la conformidad con el proyecto desde el punto de vista técnico, por considerar que las modificaciones en él previstas mejorarán la calidad de la norma y la seguridad de los sistemas e infraestructuras. Desde el punto de vista presupuestario, se advierte en estos informes que no existen en el momento de su emisión elementos que permitan valorar el impacto de la norma, quedando por ello condicionado el juicio favorable global a la aportación de una memoria económica y que la norma pueda aplicarse sin incremento de costes. - Informe de la Secretaría de Estado de Hacienda del Ministerio de Hacienda y Administraciones Públicas, de 31 de marzo de 2015, en el que se formulan observaciones a los apartados dos, tres y siete del artículo único, así como diversas observaciones formales. - Conformidad de la Secretaría de Estado de Presupuestos y Gastos del Ministerio de Hacienda y Administraciones Públicas, de 15 de marzo de 2015. - Informe de la Subsecretaría del Ministerio de Hacienda y Administraciones Públicas, de 31 de marzo de 2015, en el que se realizan sugerencias formales. - Informe de la Dirección General de Patrimonio del Estado del Ministerio de Hacienda y Administraciones Públicas, de 14 de abril de 2015. Realiza observaciones en relación con la modificación de los puntos 4.2.1 y 4.2.5 del anexo II ("identificación" y "mecanismo de autenticación"). - Informes de la Dirección de Tecnologías de la Información y las Comunicaciones del Ministerio de Hacienda y Administraciones Públicas, de 14 de abril de 2015, en los que se examinan las observaciones formuladas por la Dirección General de Patrimonio del Estado y por la Secretaría de Estado de Hacienda, algunas de las cuales se incorporan al texto del proyecto. - Nuevas observaciones de la Dirección General de Patrimonio del Estado, formuladas mediante correo electrónico remitido el 15 de abril de 2015, todas ellas tenidas en cuenta en la versión definitiva del proyecto. - Conformidad de la Secretaría de Estado de Hacienda, de 16 de abril de 2015. - Conformidad de la Subsecretaría de Hacienda y Administraciones Públicas, de 24 de abril de 2015. - Informe de la Secretaría General Técnica del Ministerio de Hacienda y Administraciones Públicas, de 30 de abril de 2015. Examina los antecedentes y el contenido de la norma, así como el rango normativo y la tramitación seguida. Realiza observaciones de técnica normativa que han sido atendidas. - Informe de la Secretaría General Técnica del Ministerio de la Presidencia de 16 de junio de 2015, en el que se manifiesta su conformidad con el proyecto, si bien sugiere revisar la redacción dada a los artículos 29 y 36.

En tal estado de tramitación, el expediente fue remitido al Consejo de Estado para dictamen.

I.- Objeto y competencia

El expediente remitido se refiere a un proyecto de Real Decreto de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

La Comisión Permanente del Consejo de Estado emite el presente dictamen con carácter preceptivo, conforme a lo dispuesto en el artículo 22.3 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado.

II.- Tramitación del expediente

Por lo que se refiere a la tramitación del proyecto y en el marco de lo dispuesto en el artículo 24 de la Ley 50/1997, de 27 de noviembre, del Gobierno, pueden considerarse atendidas las exigencias básicas de índole procedimental que deben seguirse para preparar, con las necesarias garantías, un texto normativo como el ahora examinado.

Efectivamente, constan en el expediente, y así se recoge en los antecedentes, las distintas versiones del proyecto sometido a consulta, incluida la definitiva, y la preceptiva memoria del análisis de impacto normativo, cuyo carácter abreviado se considera en este caso justificado, así como los informes de las Secretarías Generales Técnicas de los Ministerios de Hacienda y Administraciones Públicas y de la Presidencia. Asimismo, se han incorporado los informes de los distintos órganos que han intervenido en el procedimiento de elaboración de la norma, cuyo proyecto ha sido también puesto en conocimiento de las Comunidades Autónomas.

Finalmente, consta en el expediente que el proyecto fue examinado por el Comité Sectorial de Administración Electrónica en su reunión de 26 de noviembre de 2014.

III.- Habilitación legal y rango de la norma

La habilitación que sirve de base al proyecto sometido a consulta se encuentra recogida en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, cuya disposición final octava establece que "corresponde al Gobierno y a las Comunidades Autónomas, en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de la presente Ley".

Junto a esta habilitación general, la ley citada establece en su artículo 42.3 que el Esquema Nacional de Seguridad se elaborará con la participación de todas las Administraciones y se aprobará por real decreto del Gobierno.

A la vista de lo anterior, puede concluirse que existe habilitación legal suficiente para dictar la norma proyectada, cuyo rango - real decreto- es el adecuado, habida cuenta, además, de que se trata de una norma que modifica un real decreto vigente.

IV.- Consideraciones

El proyecto sometido a consulta tiene por objeto, según ya ha quedado expuesto, modificar el vigente Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información (artículo 42.2 de la Ley 11/2007). Constituye, tal y como puso de manifiesto el Consejo de Estado en el dictamen número 2.161/2009, en el que examinó el proyecto del que posteriormente se aprobaría como Real Decreto 3/2010, de 8 de enero, "una pieza imprescindible para la efectividad del derecho de los ciudadanos de acceso electrónico a la Administración en condiciones que aseguren la integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos". En definitiva y según explica el preámbulo del citado Real Decreto, el ESN "persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas", desarrollándose y perfeccionándose "en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y las infraestructuras que lo apoyan".

Pues bien, atendiendo a ello, el Real Decreto 3/2010 establece los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y los servicios y regula, en consecuencia, el procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007. Asimismo, determina las dimensiones de seguridad y sus niveles, la categoría de los sistemas, las medidas de seguridad adecuadas y la auditoría periódica de la seguridad, exigiendo además la elaboración de un informe que permita conocer el estado de seguridad de los sistemas de información que en él se regulan. El proyecto ahora examinado introduce en dicha norma diversas modificaciones con las que pretende acomodar la protección de la información manejada y de los servicios prestados por las entidades que se incluyen en el ámbito de aplicación del Real Decreto 3/2010 (que, de conformidad con su artículo 2, coincide con el de la Ley 11/2007) a la realidad configurada por el progreso de los servicios de administración electrónica, la evolución de la tecnología y la consolidación de las infraestructuras que le sirven de apoyo, tomando en consideración la experiencia adquirida en el ámbito de las ciberamenazas.

Así pues, la modificación proyectada responde, en gran parte, a la necesidad de adaptar el ENS al estado actual de evolución de las tecnologías, en cumplimiento del mandato que obliga a mantenerlo permanentemente actualizado (artículo 42.3 de la Ley 11/2007), y a los nuevos estándares internacionales de seguridad y auditoría. En particular, a través de esta modificación se introducen en el Real Decreto los cambios necesarios para adecuar su contenido a lo dispuesto en el Reglamento nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, que tiene por objeto establecer un marco jurídico claro que garantice el reconocimiento transfronterizo de identidades electrónicas, la interoperabilidad de la firma electrónica y otros servicios de confianza, tales como los sellos electrónicos o los sellos de tiempo, posibilitando las comunicaciones electrónicas entre ciudadanos, empresas y Administraciones públicas y potenciando el comercio y la administración electrónica. Expresión de esa adaptación es el nuevo régimen de identificación contenido en el apartado 4.2.1 del anexo II, en el que se establece la correspondencia entre los niveles de la dimensión de autenticidad de los sistemas de información a los que se tiene acceso y los niveles de seguridad de los sistemas de identificación electrónica previstos en el Reglamento europeo.

Desde el punto de vista técnico, las medidas incluidas en el proyecto han sido unánimemente aceptadas por cuantos órganos han intervenido en la tramitación, algunos de los cuales han formulado observaciones que han sido tenidas en cuenta en la versión final.

A la vista de lo anterior y examinada la regulación proyectada, el Consejo de Estado considera que resulta adecuada a las previsiones que desarrolla y a la finalidad perseguida, por lo que no formula objeciones a su contenido. Únicamente cabe realizar las siguientes observaciones:

- El preámbulo de la norma describe sucintamente el marco normativo en el que se inserta el proyecto y las razones que justifican su aprobación, indicando en su penúltimo párrafo cuáles son los preceptos objeto de modificación. No incluye, en cambio, ninguna referencia al alcance de dicha modificación ni a su contenido. A este respecto, cabe recordar que la parte expositiva de una norma debe no solo dar cuenta de sus antecedentes y finalidad, sino también describir su contenido. Se sugiere, por ello, que se incluya en el preámbulo una referencia a las principales novedades que el proyecto introduce en la norma objeto de modificación.

- En su apartado tres, el artículo único modifica el artículo 18 del Real Decreto 3/2010, dando nueva redacción a su rúbrica y a su primer apartado y añadiendo un nuevo apartado 4. La fórmula empleada para expresar tales cambios no resulta clara ni técnicamente correcta, por lo que se recomienda revisarla. A tal efecto, cabe proponer que dicho apartado tres señale que "se modifica el artículo 18, cuyo título pasa a ser "adquisición de productos de seguridad y contratación de servicios de seguridad" y que queda redactado como sigue". Esta misma observación debe formularse en relación con el apartado siete del artículo único, que contiene la modificación del artículo 29, al que da nuevo título.

- En sus apartados once y doce, el artículo único introduce varias modificaciones en las disposiciones adicionales del Real Decreto 3/2010, que en su redacción aún vigente cuenta con cuatro en total. En particular, el primero de tales apartados opera la eliminación de la disposición adicional segunda actualmente vigente, relativa al INTECO, mientras que el segundo introduce una nueva disposición cuarta en la que regula el "desarrollo del Esquema Nacional de Seguridad", si bien antes de incorporarla recoge la nueva numeración de las disposiciones subsistentes. De este modo, la norma continúa contando con cuatro disposiciones adicionales. Sin embargo, la forma en que se articulan tales cambios resulta confusa. A fin de mejorar la técnica del proyecto, se sugiere que el apartado once suprima la disposición adicional segunda "con el consiguiente cambio de numeración de las disposiciones tercera y cuarta, que pasan a ser las disposiciones segunda y tercera". El apartado doce, por su parte, debe limitarse a introducir la nueva disposición cuarta, indicando su título y recogiendo a continuación el texto correspondiente.

- El apartado catorce del artículo único modifica diversos apartados del anexo II; uno de ellos es el apartado 4.2.1, tal y como se indica en el encabezamiento; sin embargo, al incluir el nuevo texto de dicho apartado, este figura como apartado "2.1 Identificación", no como apartado "4.2.1". Debe, pues, corregirse esta referencia.

- La disposición transitoria del proyecto establece un plazo de veinticuatro meses para la adecuación de los sistemas de las entidades incluidas en su ámbito de aplicación a lo dispuesto en él, sin fijar el dies a quo para el cómputo de dicho plazo, extremo éste que ha de quedar determinado en esta disposición.

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez consideradas las observaciones formuladas en el cuerpo del presente dictamen, puede someterse a la aprobación del Consejo de Ministros el proyecto de Real Decreto de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica."

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 1 de octubre de 2015

LA SECRETARIA GENERAL,

EL PRESIDENTE,

EXCMO. SR. MINISTRO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS.

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid