ORDEN PRE/59/2018, DE 2 DE NOVIEMBRE, POR LA QUE SE REGULAN LAS CONDICIONES SOBRE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES A INCORPORAR EN LOS PLIEGOS DE CLÁUSULAS ADMINISTRATIVAS PARTICULARES Y DE PRESCRIPCIONES TÉCNICAS EN LA CONTRATACIÓN PÚBLICA DE LA ADMINISTRACIÓN DE LA COMUNIDAD AUTÓNOMA DE CANTABRIA.
En el vigente marco legal resulta una obligación ineludible implementar medidas legales, organizativas y técnicas para enfrentarse al desafío de nuevas formas de delincuencia, que garanticen un funcionamiento seguro de los servicios de las administraciones públicas como los derechos de los ciudadanos en sus relaciones con estas cuanto se utilicen medios electrónicos y, por otro lado, garantizar también la protección de sus datos personales.
A este respecto, debe recordarse que desde hace tiempo existe la obligación de cumplir las previsiones del Real Decreto 3/2010, de 8 de enero 
, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que fijó la gestión de la seguridad como un proceso integral, que afecta a toda la organización y que debe contemplarse en todo el ciclo de vida de los sistemas de información, como asimismo, las exigencias de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
En cumplimiento de esas obligaciones legales esta Consejería aprobó la "Orden PRE/57/2016, de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los pliegos de cláusulas administrativas particulares y de prescripciones técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria", que afrontaba la necesidad de proteger los sistemas de información y la información tratada en los contratos celebrados por nuestra Administración, incluidos los datos personales, fijando los contenidos obligatorios que se debían incluir en los pliegos de contratación.
Ahora bien, con posterioridad se ha producido la entrada en vigor del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016), que establece en su artículo 25 que la protección de datos personales se contemple desde el diseño y por defecto, especificando en su artículo 28 que el tratamiento de datos personales por parte de los encargados debe regirse por un contrato u otro acto jurídico con arreglo al derecho de la Unión Europea o sus Estados miembros.
Con la entrada en pleno vigor del Reglamento General de Protección de Datos y la experiencia acumulada en la aplicación de la citada Orden, se ha elaborado este nuevo texto legal, que permitirá a los órganos directivos de nuestra Administración cumplir con sus obligaciones en materia de seguridad de la información y la protección de datos personales, relativas a la contratación y a su relación con entidades o personas del sector privado que vayan a ejercer de encargados del tratamiento de datos personales, a realizar operaciones con otros tipos de información, o que vayan a ofrecer servicios o suministrar elementos tecnológicos.
También se contempla el tratamiento de los datos personales que se recojan en los propios contratos sobre las personas responsables, representantes o de contacto para su ejecución.
Lo que supone que el ámbito de aplicación de la presente orden es global, al afectar a todos los contratos que realizará la nuestra Administración, aunque el contenido a incorporar a los pliegos será proporcional a la envergadura de los datos personales que se tratarán, la importancia de la información que el adjudicatario manejará y, en su caso, las características de los servicios o suministros que formen parten del objeto del contrato.
Así, la presente Orden sustituye a la Orden PRE/57/2016, de 14 de septiembre, fijando los contenidos obligatorios para el cumplimiento de los aspectos relativos a la contratación fijados por el Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos, estando estrictamente alineada con el "Decreto 31/2015, de 14 de mayo , por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria".
DISPONGO
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto.
1. El objeto de la presente orden es definir los contenidos mínimos obligatorios relativos a seguridad de la información y protección de datos personales a incorporar en los Pliegos de Cláusulas Administrativas Particulares y Pliegos de Prescripciones Técnicas en los contratos de servicios o suministros cuyo objeto incluya:
a) El tratamiento de información, y en particular de datos personales, bajo responsabilidad de la Administración de la Comunidad Autónoma de Cantabria.
b) El acceso a los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
c) El suministro de soluciones informáticas y, en particular, de aplicaciones realizadas a medida.
d) El suministro de componentes tecnológicos o de elementos de los sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
2. También serán objeto de esta Orden aquellos otros contratos:
a) En los que pueda producirse un acceso fortuito a información Administración de la Comunidad Autónoma de Cantabria.
b) También para cualquier contrato que incluya a responsables, representantes o personas de contacto para su ejecución.
Artículo 2. Ámbito de aplicación.
De conformidad con las previsiones del Decreto 31/2015, de 14 de mayo , por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria esta orden será de aplicación:
a) A la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, a estos efectos, a la Administración General y los organismos públicos y entidades de derecho público vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas y utilicen sistemas de información gestionados por el órgano directivo con competencias en materia informática, así como cuando contraten servicios tecnológicos en la nube. Quedan excluidos del ámbito de aplicación de la presente orden el Servicio Cántabro de Salud y el sector público empresarial y fundacional.
b) A las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuándo procedan al uso de sistemas de información gestionados por el órgano directivo con competencias en materia informática, o cuando utilicen servicios tecnológicos ofrecidos en formato nube.
Artículo 3. Delimitación del concepto de información a proteger y tipos de tratamiento de la información objeto de regulación en los pliegos.
1. La información a proteger a la que hacen referencias las cláusulas reguladas en los siguientes artículos estará referida a cualquier dato, conocimiento o técnica recogida en so- portes tanto tecnológicos como no tecnológicos, que sea propiedad de la Administración de la Comunidad Autónoma de Cantabria o que esté tratando, incluida la simple recogida y almacenamiento, para el cumplimiento de sus competencias y obligaciones legales. Esto incluye los datos sobre personas físicas, que se denominarán datos personales o datos de carácter personal.
No es necesario proteger y, por lo tanto, no será necesario incluir cláusulas en los pliegos de contratación correspondientes para ese fin, los datos, conocimientos o técnicas que vayan a ser utilizados por el órgano de contratación o el adjudicatario procedentes de fuentes públicas de información: textos normativos, publicaciones científicas, técnicas o profesionales, información de medios de comunicación, información difundida públicamente por otras entidades o información de dominio público.
2. Por tratamiento de la información se entenderá cualquier operación o conjunto de operaciones realizadas sobre la información, incluyendo entre otras la recogida, el almacenamiento, la consulta, la modificación, la transferencia o la difusión.
Se considerará tratamiento automatizado aquel tratamiento que emplee tecnología y en el que las operaciones sobre la información se realizan automáticamente, como sucede al emplear aplicaciones informáticas de gestión.
Se considerará tratamiento no automatizado aquel en que las operaciones se realizan con la intervención directa de una persona, que ejecuta directamente o controla todos los detalles del proceso y toma todas las decisiones, ya sea empleando tecnología tradicional o herramientas informáticas de manera meramente auxiliar.
Se considerará tratamiento mixto a aquel tratamiento de la información que combine operaciones automáticas y operaciones no automáticas.
Cuando en la presente orden no se hagan distinciones específicas sobre el tipo de tratamiento, se entenderá que lo estipulado aplicará a cualquier de los tres tipos de tratamiento.
CAPÍTULO II
Contenidos obligatorios en los Pliegos de Cláusulas Administrativas Particulares
Artículo 4. Contratos de prestación de servicios o suministros cuyo objeto no implique el acceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
En aquellos contratos de prestación de servicios en los que su objeto no incluye el tratamiento de información de la Administración de la Comunidad Autónomas ni su personal tiene que acceder a sus sistemas de información, se deberán incluir las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1.º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2.º del Anexo I, sobre acceso fortuito a información.
En aquellos contratos de suministros no tecnológicos (que no se correspondan con el suministro de aplicaciones software, dispositivos hardware o componentes tecnológicos), habrá que incorporar también esas dos cláusulas.
Artículo 5. Contratos cuyo objeto incluye el tratamiento de información.
1. En aquellos contratos en cuyo objeto se incluya el tratamiento de información de la Administración de la Comunidad Autónoma de Cantabria, de cualquier tipo, incluyendo el tratamiento de datos personales, se deberán incorporar las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1.º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2.º del Anexo I, sobre acceso fortuito a información.
c) Texto adaptado de las cláusulas del subapartado 3.º.a del Anexo I, especificando los porcentajes de las penalidades a aplicar relacionadas con incidentes de seguridad de la información.
d) Copia literal del contenido de las cláusulas del subapartado 3.º.b del Anexo I, sobre incidentes de seguridad relacionados con el tratamiento de información.
e) Copia literal del contenido de las cláusulas del subapartado 3.º.e del Anexo I, sobre los niveles de los incidentes de seguridad que afecten a la reputación de la Comunidad Autónoma de Cantabria.
f) Copia literal del contenido de las cláusulas del apartado 4.º del Anexo I, sobre información base, propiedad del resultado de los trabajos, requisitos de seguridad de la información del Pliego de Prescripciones Técnicas y sobre subcontrataciones.
2. En aquellos contratos en cuyo objeto se incluya el tratamiento de datos personales, además de lo señalado en el artículo 5.1, se deberán incorporar las siguientes cláusulas:
a) Copia literal del contenido de la cláusula su subapartado 3.º.c del Anexo I, sobre los niveles de los incidentes de seguridad relacionados con el tratamiento de información para el caso particular del tratamiento de datos personales.
b) Copia literal del contenido de las cláusulas del apartado 6.º del Anexo I, específicas sobre el tratamiento de datos personales.
Artículo 6. Contratos cuyo objeto implique el acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria por parte del personal del adjudicatario.
Si el personal del adjudicatario deberá tener acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria para el cumplimiento del objeto del contrato, se deberán incluir en el Pliego de Cláusulas Administrativas Particulares las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1.º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2.º del Anexo I, sobre acceso fortuito a información.
c) Texto adaptado de las cláusulas del subapartado 3.º.a del Anexo I, especificando los porcentajes de las penalidades a aplicar relacionadas con incidentes de seguridad de la información.
d) Copia literal del contenido de las cláusulas del subapartado 3.º.d del Anexo I, sobre los niveles de los incidentes de seguridad relacionados con el acceso a sistemas de información.
e) Copia literal del contenido de las cláusulas del subapartado 3.º.e del Anexo I, sobre los niveles de los incidentes de seguridad que afecten a la reputación.
f) Copia literal de las cláusulas del apartado 5.º del Anexo I, relativas al acceso a sistemas de información por parte del personal del adjudicatario.
g) Si el acceso al sistema de información implica el acceso a información, incluir las cláusulas indicadas en el artículo 5, salvo que ya hayan sido incluidas.
Artículo 7. Contratos cuyo objeto corresponda al suministro de aplicaciones software realizadas a medida y su periodo de mantenimiento correspondiente.
Se deberán incluir en el Pliego de Cláusulas Administrativas Particulares las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1.º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2.º del Anexo I, sobre acceso fortuito a información.
c) Copia literal del contenido de las cláusulas del apartado 4.º del Anexo I, sobre información base, propiedad del resultado de los trabajos, requisitos de seguridad de la información del Pliego de Prescripciones Técnicas y sobre subcontrataciones.
d) Copia literal del contenido de las cláusulas del apartado 7.º, sobre los productos software que forman parte del objeto del contrato.
e) Si para el cumplimiento del objeto del contrato el personal del adjudicatario accederá a información de la Administración de la Comunidad Autónoma de Cantabria, deberán incluirse las cláusulas que se indican el artículo 5, salvo aquellas que ya hayan sido incluidas.
f) Si para el cumplimiento del objeto del contrato el personal del adjudicatario accederá a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, deberán emplearse las cláusulas que se han establecido en el artículo 6, salvo aquellas que ya hayan sido incluidas.
Artículo 8. Contratos cuyo objeto corresponda a la prestación de un soporte tecnológico avanzado.
Un soporte tecnológico avanzado es un conjunto de servicios de alta complejidad técnica, prestados por personal de alta cualificación, destinados a garantizar el funcionamiento de los sistemas de información, su mantenimiento correctivo y evolutivo, así como su adaptación al cumplimiento de la legislación que corresponda en cada caso, incluyendo el cumplimiento de obligaciones en materia de seguridad de la información, con la protección de datos personales como caso particular, y en materia de interoperabilidad. En ocasiones se incluyen servicios de asesoramiento y formación para el personal de la Administración encargado de administrar u operar los sistemas de información destinatarios de esos servicios.
Se deberán incluir en el Pliego de Cláusulas Administrativas Particulares las mismas cláusulas que se indicaron en el artículo 7.
Artículo 9. Contratos cuyo objeto implique el suministro de aplicaciones comerciales o de elementos hardware, así como la subscripción a servicios tecnológicos.
1. En aquellos contratos cuyo objeto implique el suministro de aplicaciones comerciales, y por lo tanto no realizadas a medida, o el suministro de elementos hardware, así como la subscripción a servicios tecnológicos, se deberán incorporar las siguientes cláusulas:
a) Copia literal del contenido de las cláusulas del apartado 1.º del Anexo I de la presente orden, sobre datos personales de los responsables, representantes o personas de contacto de las partes.
b) Copia literal del contenido de las cláusulas del apartado 2.º del Anexo I, sobre acceso fortuito a información.
2. En el caso de tratarse de aplicaciones comerciales o elementos hardware, incluir también la cláusula del apartado 8.º.1 del Anexo I.
3. En el caso de la subscripción a servicios tecnológicos, incluir la cláusula de apartado 8.º.2 del Anexo I.
4. En el caso de recambios, piezas o fungibles bastará con incluir las cláusulas de los puntos 1.a y 1.b. del presente artículo, salvo que consideraciones técnicas del objeto del contrato en particular aconsejen incluir la cláusula señalada en su punto 2.
Artículo 10. Contratos integrales de soporte tecnológico y otros tipos de objeto del contrato relacionados con la tecnología.
Los contratos integrales de soporte tecnológico incluyen en su objeto una gran variedad de elementos, tanto de prestación de servicios o de suministros, que pueden abarcar uno o varios de los tipos que se han identificado en los artículos 4 a 9.
Las cláusulas a recoger en los Pliegos de Cláusulas Administrativas Particulares de este tipo de contratos, dependerán de cada caso particular y se deberán escoger aquellas que se han especificado en los artículos 4 a 9 de la presente orden, según sus características y alcance particulares.
También para otros tipos de objeto de contrato, diferentes a los recogidos en los artículos 4 a 9 de la presente orden, habrá que estudiar la casuística particular y utilizarse las cláusulas más adecuadas de entre las propuestas en esos artículos.
CAPÍTULO III
Contenidos obligatorios en los Pliegos de Prescripciones Técnicas
Artículo 11. Contratos de prestación de servicios cuyo objeto no implique el acceso a información ni a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria.
No resultará necesario incluir ningún contenido en particular, bastando lo especificado en el Pliego de Cláusulas Administrativas Particulares, salvo que el autor del pliego considere su necesidad, dadas las características concretas del objeto del contrato.
Artículo 12. Contratos cuyo objeto incluye el tratamiento de información.
En aquellos contratos en cuyo objeto se incluya el tratamiento de información, entendiendo por tal lo definido en el artículo 3 de la presente orden, se incluyan o no datos personales, se deberán emplear las siguientes cláusulas:
a) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 1.º del Anexo II de la presente orden, sobre Acuerdos de Nivel de Servicio.
b) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 2.º del Anexo II de la presente orden, sobre interlocución entre las partes.
c) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 3.º.a. del Anexo II de la presente orden, sobre el tratamiento de cualquier tipo de información.
Si el objeto del contrato incluyera el tratamiento de datos personales, además se deberá incorporar:
d) Si el tratamiento de información, incluye el tratamiento de datos personales, se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 3.º.b. del Anexo II de la presente orden.
Si el tratamiento se realiza sin ser un servicio prestado en formato nube, se debe incorporar:
e) El desarrollo del contenido de las cláusulas especificadas en el apartado 4.º del Anexo II de la presente orden, sobre la prestación de servicios informáticos, excluidos los servicios en la nube.
Si el tratamiento se realiza mediante un servicio tipo nube, se debe incorporar:
f) El desarrollo del contenido de las cláusulas especificadas en el apartado 5.º del Anexo II de la presente orden, sobre la prestación de servicios informáticos en la nube.
Artículo 13. Contratos cuyo objeto implique el acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria por parte del personal del adjudicatario.
Si el personal del adjudicatario deberá tener acceso a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria para el cumplimiento del objeto del contrato, se deberán incluir en el Pliego de Prescripciones Técnicas el desarrollo de los contenidos especificados en el apartado 4.º del Anexo II.
Si el personal del adjudicatario además accediera a información, también deberá tener en cuenta lo indicado en el artículo 12.
Artículo 14. Contratos cuyo objeto implique suministro de aplicaciones software realizadas a medida.
Se deberán incluir en el Pliego de Prescripciones Técnicas el desarrollo de los contenidos que se especifican en las siguientes cláusulas:
a) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 1.º del Anexo II de la presente orden, sobre Acuerdos de Nivel de Servicio, si bien bastará con aludir a la planificación de hitos del proyecto, los mecanismos de seguimiento sobre su correcta ejecución y el régimen de penalidades que corresponda.
b) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 2.º del Anexo II de la presente orden, sobre interlocución entre las partes.
c) Si el personal de adjudicatario necesitara tratar información real y no anonimizada de la Administración de la Comunidad Autónoma, deberá incluirse las cláusulas que se han establecido en el artículo 12, salvo que ya hayan sido incluidas.
d) Si el personal de adjudicatario necesitara acceder a sistemas de información de la Administración de la Comunidad Autónoma de Cantabria, deberá incluirse las cláusulas que se han establecido en el artículo 13, salvo que ya hayan sido incluidas.
e) Desarrollar el contenido de las cláusulas del subapartado 6.º.1. del Anexo II, sobre contratos cuyo objeto incluya el suministro de aplicaciones software realizadas a medida destinadas a tratar cualquier tipo de información.
f) Si aplicación se utilizará para tratar datos personales, también se deberá desarrollar el contenido de las cláusulas del subapartado 6.º.2. del Anexo II, sobre aplicaciones software realizadas a medida destinadas a tratar datos personales.
Artículo 15. Contratos cuyo objeto incluya la prestación de un soporte tecnológico avanzado.
Se deberán incluir en el Pliego de Prescripciones Técnicas el desarrollo de los contenidos que se especifican en las siguientes cláusulas:
a) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 1.º del Anexo II de la presente orden, sobre Acuerdos de Nivel de Servicio.
b) Se deberá desarrollar el contenido de las cláusulas especificadas en el apartado 2.º del Anexo II de la presente orden, sobre interlocución entre las partes.
c) Si el personal del adjudicatario necesitara tratar información real y no anonimizada de la Comunidad Autónoma, deberán incluirse las cláusulas que se han establecido en el artículo 12, salvo que ya hayan sido incluidas.
d) Si el personal de adjudicatario necesitara acceder a sistemas de información de la Comunidad Autónoma de Cantabria, deberán incluirse las cláusulas que se han establecido en el artículo 13, salvo que ya hayan sido incluidas.
Artículo 16. Contratos cuyo objeto implique suministro de aplicaciones comerciales o de elementos hardware, así como subscripción a servicios tecnológicos.
En aquellos contratos cuyo objeto implique el suministro de aplicaciones comerciales, y por lo tanto no realizadas a medida, o el suministro de elementos hardware, así como en los contratos de tipo "subscripción" en los cuales se tiene acceso a ciertos servicios o al uso de ciertos elementos tecnológicos durante el periodo de vigencia del contrato, se deberán incorporar:
a) Desarrollar el contenido de la cláusula del apartado 7.º del Anexo II, sobre contratos cuyo objeto incluye el suministro de aplicaciones comerciales o elementos hardware, así como subscripción a servicios tecnológicos.
En el caso de recambios, piezas o fungibles no será necesario incluir las cláusulas del apartado a) del presente artículo, salvo que consideraciones técnicas del objeto del contrato en particular así lo aconsejen.
Artículo 17. Contratos integrales de soporte tecnológico y otros tipos de objeto del contrato relacionados con la tecnología.
Dado que los contratos integrales de soporte tecnológico incluyen en su objeto aspectos correspondientes a los diferentes tipos recogidos en los artículos 11 a 16 de la presente orden, se deberán considerar e incluir en el Pliego de Prescripciones Técnicas todos aquellos aspectos de esos artículos que se correspondan a las características y alcances particulares del contrato.
Así mismo, en contratos cuyo objeto tenga relación con la tecnología, pero no se corresponda con los tipos recogidos en los artículos 11 a 15 de la presente orden, se deberán considerar e incluir en el Pliego de Prescripciones Técnicas todos aquellos aspectos de esos artículos que correspondan a las características y alcances específicos del contrato en particular.
CAPÍTULO IV
Otros contenidos obligatorios
Artículo 18. Contenidos obligatorios para otros tipos de contratos.
En los contratos cuyo objeto se incluyan varios de los tipos que se han identificado en los artículos precedentes de los Capítulos II y III de la presente orden, se deberán incluir todos los contenidos que correspondan a cada uno de ellos.
Artículo 19. Procedimiento de adjudicación de contrato menor.
En el caso de que el procedimiento de adjudicación utilizado sea el de contrato menor, previamente a la Resolución de adjudicación o de su encargo formal, el adjudicatario deberá suscribir un documento de conformidad, de acuerdo con el modelo incluido en el Anexo III que deberá incorporarse al expediente administrativo, por el cual éste asume las obligaciones y condiciones sobre seguridad de la información y de los sistemas de información, establecidas tanto en el Capítulo II como en el Capítulo III de la presente orden, conforme las necesidades concretas y específicas de cada contrato.
Disposición adicional única. Contratos destinados a la Administración de Justicia en Cantabria.
En los contratos cuyo objeto esté destinado a la Administración de Justicia en Cantabria, se deberá tener en cuenta en Esquema Judicial de Interoperabilidad y Seguridad, complementando o adaptando los contenidos especificados en los artículos de las Capítulos II y III de la presente Orden.
Disposición derogatoria única.
La entrada en vigor de la presente orden deroga cualquier disposición de igual rango o inferior que se oponga a su contenido. Y en particular, queda derogada la Orden PRE/57/2016, de 14 de septiembre, por la que se regulan las condiciones sobre seguridad de la información y de los sistemas de información a incorporar en los Pliegos de Cláusulas Administrativas Particulares y de Prescripciones Técnicas en la contratación pública de la Administración de la Comunidad Autónoma de Cantabria.
Disposición final primera. Desarrollo de guías informativas sobre cláusulas contractuales en materia de seguridad de la información y protección de datos personales.
Se faculta al órgano directivo con competencias en materia informática y al responsable de seguridad de la información para elaborar guías informativas, plantillas o modelos tipo, destinados a facilitar la redacción de los pliegos de contratación.
Disposición final segunda. Entrada en Vigor.
La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de Cantabria.
Anexos
Omitidos.
