Consejería de Presidencia, Justicia y Administración Local
Comunidad de Madrid

Ley 14/2023, de 20 de diciembre, por la que se crea la Agencia de Ciberseguridad de la Comunidad de Madrid. ([1])

 

 

 

PREÁMBULO

I

La sociedad de la información se configura como una plataforma global para la libre circulación de la información, las ideas y el conocimiento, y los poderes públicos apuestan claramente por su implantación, utilizando cada día más las herramientas tech que tanto las administraciones como los prestadores de servicios ponen a su disposición. El uso cotidiano de las tecnologías de la información y la comunicación (TIC) y el tratamiento que realizan de la información las convierten en elementos esenciales para el actual desarrollo económico y la convivencia social.

 

          Por todo ello, la ciberseguridad se ha convertido en un tema de importancia estratégica en nuestra sociedad, y la Comunidad de Madrid, como uno de los centros económicos y tecnológicos más destacados de España y Europa, debe reforzar y aumentar sus capacidades de ciberseguridad para mejorar la protección de todas sus instituciones y de sus ciudadanos.

 

          En el ámbito de las Administraciones Públicas, la consagración del derecho del ciudadano a comunicarse con ellas a través de medios electrónicos comporta una obligación correlativa de las mismas, como es la de crear las condiciones necesarias para optimizar el correcto funcionamiento de las infraestructuras esenciales en su relación con los ciudadanos.

 

          Reforzar la ciberseguridad en todas las administraciones en Europa, España y también en la Comunidad de Madrid frente a las ciberamenazas, no sólo es un mandato recogido por la normativa europea, sino que es necesario para garantizar que todos los ciudadanos y empresas puedan beneficiarse plenamente de servicios y herramientas digitales seguros y fiables.

 

          La Comunidad de Madrid alberga operadores e infraestructuras críticas que son vitales, incluyendo, entre otros, sistemas de transporte, energía, sanidad, agua y centros financieros. Una eventual deficiente gestión de riesgos de ciberseguridad por parte de los operadores que gestionan estas infraestructuras aumentaría su vulnerabilidad ante posibles ciberataques, propios o de terceros que componen su cadena de suministro, que pueden interrumpir el normal funcionamiento de servicios esenciales y minar la credibilidad y la imagen de nuestra región, cada vez más interconectada y abierta al mundo.

 

          Para dar respuesta a estas necesidades, es preciso un organismo que, en el ámbito de competencias de la Comunidad de Madrid con una clara vocación de coordinación con similares organismos autonómicos, nacionales y europeos, vele por el cumplimiento de las funciones del servicio público de ciberseguridad y permita impulsar una cultura de la ciberseguridad que incremente el nivel de seguridad de las redes y los sistemas de información en la Comunidad de Madrid, incluyendo las Administraciones Públicas y empresas, PYMES y ciudadanos, en la estricta medida en que sea necesario para la relación por medios electrónicos con la Administración. Sus funciones deben basarse en la implantación de medidas de prevención, detección y respuesta sobre la infraestructura pública y sus servicios, así como en la coordinación con los proveedores privados de servicios de la sociedad de la información para la consecución de sus objetivos, desarrollando así una política pública de ciberseguridad.

 

          Desde la Comunidad de Madrid se considera también necesario dar cobertura y aumentar las capacidades de ciberseguridad de las corporaciones locales, especialmente de aquellos ayuntamientos de menos de 20.000 habitantes, todo ello para prevenir incidentes y ofrecer una respuesta coordinada ante cualquier situación de crisis, así como para impulsar un nuevo liderazgo en la protección de la información de los ciudadanos.

 

          La seguridad de la información en general y la ciberseguridad en particular son concebidas como una parte intrínseca a la digitalización. Así el programa Europa Digital 2021-2027 recoge en uno de sus ejes para conseguir la digitalización europea la promoción de la ciberseguridad. De la misma forma, la Agenda España Digital 2026 establece que el reto para 2026 es incrementar las capacidades de ciberseguridad en España, fomentar el desarrollo del ecosistema empresarial en este sector (industria, I+D+i y talento), y potenciar el liderazgo internacional del país en materia de ciberseguridad, en colaboración con las comunidades autónomas a través de proyectos estratégicos de digitalización dentro del programa RETECH (Redes territoriales de especialización tecnológica) del Plan de Recuperación, Transformación y Resiliencia, sin perjuicio de los futuros programas marcos que puedan aprobarse en materia de ciberseguridad.

 

          Nos encontramos, por tanto, ante una materia transversal que complementa y da soporte a muchas otras iniciativas y competencias de los distintos organismos de la Comunidad de Madrid, sin que deba entenderse esta función como una intromisión, sino como un refuerzo y una acción de gobierno coordinada. Por ello, la Agencia de Ciberseguridad ha de tener presente la imprescindible coordinación entre todas las unidades que trabajan en conexión con y desde las redes de comunicaciones, así como también es necesaria la coordinación con otras unidades y organismos, muy especialmente con aquellos competentes en los distintos ámbitos de la seguridad física y de las personas.

 

          La existencia de una Agencia de Ciberseguridad no exime a todas las entidades y organismos, dentro del ámbito de actuación de ésta, de su responsabilidad de vigilancia y aplicación de medidas de ciberseguridad propias a sus sistemas y peculiaridades. En este sentido, el objeto definido en el articulado se centra en dirigir y coordinar y no en implementar, operar o ejecutar funciones que seguirán siendo responsabilidad de cada uno de los organismos.

 

          Consecuentemente, será misión de la Agencia de Ciberseguridad proponer al Consejo de Gobierno la política global de seguridad de la información de la Comunidad de Madrid en la que, siguiendo la propuesta de las guías sobre seguridad de las tecnologías de la información y la comunicación del Centro Criptológico Nacional (en adelante CCN), se definirá la organización de la ciberseguridad, su gobernanza y su estructura normativa, que cada organismo responsable de sistemas de información y redes electrónicas de comunicaciones desarrollará mediante políticas de seguridad relacionadas con los aspectos específicos de su competencia y que, a su vez, se desarrollarán en normas y planes concretos para cada uno de los sistemas que gestionen.

 

          Así pues, la presente ley tiene como finalidad la creación de un ente de Derecho público, la Agencia de Ciberseguridad de la Comunidad de Madrid, con personalidad jurídica propia, sometida, con carácter general al Derecho privado salvo en el ejercicio de potestades administrativas que se sujetará al Derecho público, a la que se otorgan, entre otras funciones, las de: asesorar al Gobierno de la Comunidad de Madrid en el desarrollo de su estrategia de ciberseguridad y proponer la política global de seguridad de la información de la Comunidad de Madrid; proponer y promover el uso de soluciones y servicios de ciberseguridad destinados a la prevención, detección y respuesta ante las amenazas contra la seguridad de las redes y sistemas en su ámbito de actuación; promocionar el talento y fomentar el emprendimiento del ecosistema empresarial de ciberseguridad, como herramienta pilar del crecimiento industrial y económico; y coordinar con organismos público-privados, operadores esenciales y críticos y entidades locales de la Comunidad de Madrid, en la medida en que se relacionen con la Administración autonómica por medios electrónicos, en aras a la consecución de los objetivos especificados en las políticas de ciberseguridad, en particular promoviendo y colaborando en el intercambio de información sobre incidentes y desarrollo de buenas prácticas.

 

          La Agencia de Ciberseguridad servirá a la Comunidad de Madrid para prestar apoyo a las entidades locales de la región, especialmente las enunciadas por el artículo 36.1.g), para que sean capaces de responder a sus responsabilidades en materia de ciberseguridad, tal y como está establecido en la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local.

 

          En definitiva, se trata de dotar a la Comunidad de Madrid de un organismo que actúe como catalizador de una cultura de ciberseguridad que genere un clima de confianza y seguridad que contribuya al desarrollo de la economía y la sociedad digital.

 

          La Agencia en su ámbito de competencia definirá y promoverá la aplicación de políticas públicas en materia de ciberseguridad siguiendo lo establecido en las legislaciones nacional y europea. Igualmente se guiará por los principios éticos en el ámbito de sus competencias.

 

          El 27 de diciembre de 2022 se publicó la Directiva NIS2 (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Esta Directiva establece obligaciones de ciberseguridad, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para las diferentes administraciones.

 

          Del mismo modo, la Estrategia de Seguridad Nacional 2021, aprobada el 28 de diciembre por el Consejo de Ministros, establece como una de las prioridades la puesta en marcha de una plataforma nacional de notificación y seguimiento de ciberincidentes liderada por el CCN-CERT, que coordina el Grupo de Trabajo de Seguridad de la Conferencia Sectorial de Administración electrónica y que formará parte la Comunidad de Madrid a través de la creación de la Agencia de  Ciberseguridad de la Comunidad de Madrid.

 

          La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a la seguridad entre los principios de actuación de las Administraciones Públicas y recoge el Esquema Nacional de Seguridad (en adelante ENS), de aplicación a todo el sector público, que ofrece un planteamiento común de principios, requisitos y medidas de seguridad.

 

          El ENS proporciona al sector público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas.

 

Mediante la creación de esta Agencia de Ciberseguridad se dota a la Administración autonómica madrileña de un ente encargado de ayudar y cooperar en el cumplimiento del Esquema Nacional de Seguridad, en los términos previstos en el artículo 156 de la Ley 40/2015, de 1 de octubre.

 

          La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por la Comunidad de Madrid en su Estatuto de Autonomía, aprobado por Ley Orgánica 3/1983, de 25 de febrero. Concretamente, el artículo 26.1.1 le atribuye competencias exclusivas en materia de organización, régimen y funcionamiento de sus instituciones de autogobierno y el artículo 26.1.3 le atribuye el procedimiento administrativo derivado de las especialidades de la organización propia. Al mismo tiempo, el artículo 7, además de reconocer a los ciudadanos de Madrid como titulares de los derechos y deberes fundamentales establecidos en la Constitución, señala que los poderes públicos madrileños asumen, en el marco de sus competencias, entre otros principios rectores de su política, la promoción de las condiciones necesarias para el libre ejercicio de los derechos y libertades de los ciudadanos y la igualdad de los individuos y los grupos en que se integran.

 

          En relación con el ejercicio de estas competencias, conviene recordar que, como ha señalado el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre, que resolvió el recurso de inconstitucionalidad interpuesto contra la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, la ciberseguridad no es un concepto o materia reconducible a un único título competencial y, puede, identificarse con la seguridad nacional o con la seguridad pública cuando se trata de la protección ordinaria de las redes y las infraestructuras de telecomunicaciones, pero también puede proyectarse sobre otros planos, como es el caso de la Administración electrónica, que abarca la organización de medios y previsión de medidas de protección de la Administración y, por extensión, la protección de los derechos de los ciudadanos cuando se relacionan con aquélla por medios electrónicos.

 

          Por último, la Agencia será una herramienta para el cumplimiento de la misión de la Comunidad de Madrid de asistencia a los municipios y asegurar la prestación de los servicios públicos de competencia municipal en todo el territorio de la provincia, tal y como está establecido en la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local.

 

II

          La Ley consta de una parte expositiva, catorce artículos distribuidos en cuatro capítulos, una disposición adicional, una disposición derogatoria y tres disposiciones finales.

 

          El Capítulo I establece la creación, naturaleza y régimen jurídico de la Agencia de Ciberseguridad de la Comunidad de Madrid y define su ámbito de aplicación, objeto y funciones.

 

          El Capítulo II define la estructura orgánica y las funciones de los órganos de la Agencia, así como aquellas que corresponden al consejero delegado como órgano de dirección y administración de esta.

 

          El Capítulo III establece el régimen de personal y de contratación de la Agencia.

 

          El Capítulo IV establece el régimen económico y financiero.

 

          La disposición adicional establece que, en el supuesto de disolución o extinción, el personal de la Agencia se integrará en las condiciones fijadas en la Ley de Presupuestos Generales de la Comunidad de cada año.

 

          La disposición derogatoria procede a derogar cuantas disposiciones de igual o inferior rango se opongan a lo establecido en esta ley.

 

          Las disposiciones finales primera y segunda habilitan a los órganos correspondientes de la Comunidad de Madrid para realizar las modificaciones presupuestarias oportunas y para el desarrollo reglamentario de esta ley.

 

          La disposición final tercera establece la fecha de entrada en vigor, que será la del día de su publicación.

 

III

          El anteproyecto de ley de la presente Ley se supeditó a los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y el artículo 2 del Decreto 52/2021, de 24 de marzo, del Consejo de Gobierno, por el que se regula y simplifica el procedimiento de elaboración de las disposiciones normativas de carácter general en la Comunidad de Madrid.

 

          En particular, los principios de necesidad y eficacia están garantizados por el interés general que subyace a esta regulación, como son fomentar la seguridad en las relaciones telemáticas, mejorar la protección de los usuarios de las tecnologías de información y comunicación y fomentar el crecimiento económico por medio de la digitalización y la innovación.

 

          En virtud del principio de proporcionalidad se contiene la regulación imprescindible para cumplir el interés general mencionado y el principio de seguridad jurídica queda salvaguardado, dada la coherencia de su contenido con el conjunto del ordenamiento jurídico español y comunitario.

 

          En aplicación del principio de transparencia se ha dado participación en su elaboración a los ciudadanos y sectores afectados, mediante la celebración de los trámites de consulta pública previa y de audiencia e información públicas y, una vez aprobada, la propuesta fue objeto de publicación en el Boletín Oficial de la Comunidad de Madrid y en su Portal de Transparencia.

 

          El principio de eficiencia queda garantizado, ya que no se imponen cargas administrativas y, desde su fase de anteproyecto, se ha supeditado a los principios de estabilidad presupuestaria y de sostenibilidad financiera, habiéndose cuantificado y valorado sus efectos en los gastos públicos.

 

CAPÍTULO I

 

Disposiciones generales

 

Artículo 1. Creación, naturaleza jurídica y régimen jurídico.

 

          1. Se crea la Agencia de Ciberseguridad de la Comunidad de Madrid (en lo sucesivo la Agencia), como Ente del sector público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, Reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica propia, plena capacidad de obrar para el cumplimiento de sus fines y con plena autonomía orgánica y funcional, adscrita a la consejería competente en materia de digitalización.

 

          2. La Agencia se rige por la normativa contenida en la presente ley, por las demás leyes y disposiciones que se dicten para su desarrollo y ejecución, así como por las demás disposiciones del ordenamiento jurídico que le resulten aplicables en atención a su naturaleza y, en defecto de éstas, las que le resulten aplicables con carácter supletorio.

 

          3. La actividad de la Agencia se ajusta, con carácter general, a las normas del ordenamiento jurídico privado, sin perjuicio de su sujeción al Derecho público en el ejercicio de potestades administrativas, en la formación de la voluntad de sus órganos, así como en aquellas otras derivadas de la presente Ley en las que resulte de aplicación directa o supletoria.

 

          4. Las resoluciones dictadas en el ejercicio de estas potestades por los órganos de gobierno de la Agencia pondrán fin a la vía administrativa, y contra las mismas podrá interponerse recurso de reposición o recurso ante la jurisdicción contencioso-administrativa en los términos previstos por las leyes.

 

Artículo 2. Ámbito de actuación.

 

          1. La Agencia ejercerá sus funciones y competencias en el ámbito de la Administración General e institucional de la Comunidad de Madrid con exclusión de las empresas públicas autonómicas con forma de sociedad mercantil, en coordinación con la Agencia para la Administración Digital de la Comunidad de Madrid y la Agencia de Seguridad y Emergencias Madrid 112 para el ámbito de sus competencias y con todas aquellas entidades y organismos de la Administración General e Institucional de la Comunidad de Madrid con competencias en materia de tecnologías de la información y de las comunicaciones.

 

          En el ámbito de las empresas, PYMES y ciudadanos de la Comunidad de Madrid, la Agencia ejercerá sus funciones y competencias en la estricta medida en que sea necesario para la relación con la Administración por medios electrónicos, conforme a lo establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

 

          2. En relación con la Asamblea de Madrid, con pleno respeto a su autonomía parlamentaria, la Cámara de Cuentas de la Comunidad de Madrid y las empresas públicas autonómicas, con forma de sociedad mercantil, la Agencia podrá ejercer sus funciones, previa formalización del instrumento jurídico adecuado, siempre y cuando las disponibilidades presupuestarias de la Agencia lo permitan o se contemple la financiación en el mismo.

 

          3. La Agencia, prestará sus servicios a las entidades locales de menos de 20.000 habitantes, de conformidad con el artículo 36.1.g) de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, en el ámbito de la administración electrónica.

 

          Además, podrá prestar servicios propios de sus funciones al resto de entidades locales o a otras Administraciones Públicas del ámbito territorial de la Comunidad de Madrid, en la medida en que se relacionen con ella por medios electrónicos, mediante convenio o contrato, según los casos.

 

          4. La Agencia podrá realizar, para el mejor cumplimiento de sus fines, cuantas actividades de naturaleza mercantil o industrial estén relacionadas con su objeto.

 

Artículo 3. Objeto y funciones.

 

          1. La Agencia tiene como objeto dirigir y coordinar la ciberseguridad y apoyar e impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la Región, en el ámbito de actuación fijado en el artículo anterior y con arreglo al marco de competencias constitucional y estatutariamente establecido.

 

          2. La Agencia tiene por función definir y velar por la ejecución de las políticas públicas en materia de ciberseguridad y, en particular, le corresponde, además:

 

a)    Asesorar al Gobierno de la Comunidad de Madrid en el desarrollo de su estrategia de ciberseguridad que contemple la Administración y el sector público autonómico definido en el artículo 2.1, la colaboración con las entidades locales, y el apoyo al entorno empresarial y a la ciudadanía de la Comunidad de Madrid.

b)    Proponer al Consejo de Gobierno, la política global de seguridad de la información para la Administración General e institucional de la Comunidad de Madrid.

c)    Constituir y gestionar el CSIRT (Equipo de Respuesta a Incidentes de Ciberseguridad) de referencia de la Comunidad de Madrid, ejerciendo las funciones de alerta temprana y de ayuda en la respuesta ante amenazas, vulnerabilidades, ataques e incidentes de seguridad, en colaboración con el resto de CSIRT nacionales.

d)    Coordinarse con organismos públicos o privados, infraestructuras críticas y entidades locales de la Comunidad de Madrid, así como con todos aquellos que se relacionen con la Administración y el sector público de la Comunidad de Madrid por medios electrónicos, para impulsar los planes específicos de actuación, elaborados por cada uno de ellos, para la consecución de los objetivos marcados en las políticas de ciberseguridad.

e)    Participar y representar a la Comunidad de Madrid en los distintos ámbitos institucionales, eventos, foros o asociaciones especializadas en materia de ciberseguridad.

f)     Proponer y promover el uso de soluciones y servicios de ciberseguridad destinados a la prevención, detección y respuesta ante las amenazas contra la seguridad de las redes y sistemas en su ámbito de actuación.

g)    Impulsar las actividades de difusión, formación y concienciación en materia de ciberseguridad adecuadas a los diferentes colectivos destinatarios, poniendo especial énfasis en la reducción de la brecha digital.

h)    Impulsar un espacio de cooperación y confianza que contribuya al desarrollo de la digitalización, la ciberseguridad, la economía digital y de toda la sociedad digital en su conjunto, con la Comunidad de Madrid.

i)     Fomentar el emprendimiento del ecosistema empresarial de ciberseguridad como uno de los pilares del crecimiento industrial y económico.

j)     Promover ayudas que fomenten e impulsen el desarrollo e implantación de la ciberseguridad en las empresas y PYMES madrileñas, en la estricta medida en que se relacionen con la Administración por medios electrónicos.

k)    Promover y dirigir proyectos de prospección sobre el impacto de nuevas tecnologías y técnicas en la ciberseguridad para evaluar tanto las mejoras como los riesgos que pueden suponer, e impulsar tanto la modernización como la innovación en ciberseguridad.

l)     Cualesquiera otras competencias que conforme al ordenamiento jurídico le sean expresamente conferidas o delegadas.

 

CAPÍTULO II

 

Estructura orgánica

 

Artículo 4. Órganos de la Agencia.

 

          Los órganos de gobierno de la Agencia son:

 

a)    El presidente del Consejo de Administración.

b)    El Consejo de Administración.

c)    El consejero delegado de la Agencia.

 

          La Agencia contará con un Comité de Seguridad de la Información cuya estructura, funciones y régimen de funcionamiento se establecerá por Acuerdo del Consejo de Administración, a propuesta de la consejería competente en materia de digitalización.

 

Artículo 5. Presidencia.

 

          1. Ostentará la presidencia de la Agencia la persona titular de la consejería competente en materia de digitalización.

 

          2. Son atribuciones del presidente de la Agencia:

 

a)    La representación institucional del Ente.

b)    Suscribir en nombre de la Agencia los convenios y demás instrumentos de colaboración, de acuerdo con las funciones específicas de la Agencia, dentro de sus competencias.

c)    Impulsar las actividades de la Agencia.

d)    Acordar la convocatoria de las sesiones ordinarias y extraordinarias del Consejo de Administración y fijar el orden del día, teniendo en cuenta, en su caso, las peticiones y sugerencias de los demás miembros formuladas con la antelación suficiente.

e)    Presidir las sesiones, moderar el desarrollo de los debates y suspenderlos por causas justificadas.

f)     Dirimir, con su voto, los empates a efectos de la adopción de acuerdos.

g)    Visar las actas y certificaciones de los acuerdos del Consejo de Administración.

h)    Controlar la actuación del consejero delegado, conforme a la normativa aplicable.

i)     Desempeñar el resto de competencias que pueda atribuirle el ordenamiento jurídico.

j)     Cualesquiera otras funciones que pudieran serle delegadas.

 

Artículo 6. El Consejo de Administración.

 

          1. El Consejo de Administración de la Agencia, está integrado por los miembros siguientes:

 

a)    El presidente de la Agencia.

b)    Un vicepresidente, que será la persona titular de la viceconsejería competente en materia de digitalización.

c)    Vocales:

1.º)    El consejero delegado de la Agencia.

2.º)    La persona titular de la viceconsejería competente en materia de seguridad y     emergencias.

3.º)    La persona titular de la dirección general con competencias en materia de          digitalización.

4.º)    El consejero delegado de la Agencia para la Administración Digital de la Comunidad     de Madrid.

5.º)    La persona titular de la dirección de IMDEA Networks Institute.

6.º)    La persona titular de la dirección general competente en sistemas de salud digital.

7.º)    La persona titular de la dirección general competente en innovación.

8.º)    La persona titular de la dirección general competente en promoción económica.

9.º)    La persona titular de la dirección general competente en administración local.

10.º)  La persona titular de la dirección general competente en materia de cooperación con      el Estado.

d)    Secretario. La persona titular de la secretaría general técnica con competencias en materia de digitalización.

 

          2. En caso de vacante, ausencia, enfermedad u otra causa legal, la persona titular de la presidencia será sustituida por la persona titular de la vicepresidencia; la persona titular de la vicepresidencia será sustituida por el consejero delegado de la Agencia; y las personas titulares de las vocalías serán sustituidas por personas titulares de órganos directivos de su respectiva consejería con rango mínimo de director general, designadas por la persona titular de la consejería respectiva o, en su caso, por quien designe la Agencia para la Administración Digital de la Comunidad de Madrid o IMDEA Networks Institute.

 

          3. El Consejo de Administración aprobará, antes de cumplirse el primer año de existencia de la Agencia de Ciberseguridad, un reglamento de funcionamiento interno del mismo en el que se fijará el régimen de sesiones y de acuerdos, así como las funciones del secretario.

 

          Igualmente podrá aprobar la constitución de comisiones o grupos de trabajo para materias y asuntos determinados, con la composición y funciones que el mismo determine, en la que también podrán participar expertos externos.

 

          4. Las funciones del Consejo de Administración son:

 

a)    Determinar los objetivos de seguridad de la información para la Administración de la Comunidad de Madrid, dotando de los medios y apoyo necesario para su consecución mediante la propuesta de la política global de seguridad de la información para la Administración General e institucional de la Comunidad de Madrid.

b)    Aprobar, a propuesta del consejero delegado, el Plan Estratégico de la Agencia.

c)    Aprobar, a propuesta del consejero delegado, el Plan de difusión, formación y concienciación en materia de ciberseguridad para la Región de Madrid.

d)    Aprobar, a propuesta del consejero delegado, la memoria anual de actividad correspondiente al año inmediatamente anterior.

e)    Aprobar un marco de directrices y normas técnicas de seguridad de cumplimiento obligatorio para la Administración de la Comunidad de Madrid y para los organismos y entidades vinculados o dependientes.

f)     Informar preceptivamente en los procedimientos de elaboración de disposiciones normativas tramitadas por la Administración de la Comunidad de Madrid en materia de ciberseguridad y gobernanza de las tecnologías de la información y la comunicación.

g)    Definir las líneas generales de carácter estratégico que garantice la coordinación, la cooperación y el intercambio de información sobre ciberincidentes e inteligencia de ciberamenazas entre el sector público, el sector privado y los organismos nacionales competentes, fomentando la prevención y la alerta temprana.

h)    Aprobar las actividades de difusión, formación y concienciación en materia de ciberseguridad.

i)     Aprobar el informe anual de evaluación de la Estrategia de ciberseguridad de la Comunidad de Madrid, donde figurará el grado de ejecución y cumplimiento de sus objetivos.

j)     Promover e impulsar las ayudas que fomenten e impulsen el desarrollo e implantación de la ciberseguridad en las empresas y pymes madrileñas. Esta función podrá ser delegada en el consejero delegado de la Agencia.

k)    Aprobar el anteproyecto de presupuesto de la Agencia, que se integrará en los Presupuestos Generales de la Comunidad de Madrid.

l)     Aprobar la estructura y el organigrama de la Agencia hasta el siguiente nivel organizativo al del consejero delegado, a propuesta de éste, y previo informe favorable de la Consejería competente en materia de Hacienda.

 

          5. Los miembros del Consejo de Administración de la Agencia no tienen derecho a percibir indemnización, dieta o compensación alguna por asistir a las reuniones de este órgano.

 

Artículo 7. El consejero delegado de la Agencia.

 

          1. El consejero delegado será nombrado y, en su caso, cesado mediante decreto del Gobierno de la Comunidad de Madrid, a iniciativa y propuesta del presidente del Consejo de Administración de la Agencia.

 

          El consejero delegado deberá ser un profesional de reconocido prestigio en el ámbito de la ciberseguridad.

 

          2. El consejero delegado de la Agencia es el máximo órgano directivo de ésta y le corresponde, sin perjuicio de las competencias del Consejo de Administración, la dirección ordinaria de la Agencia, la adopción de las medidas necesarias para la ejecución de las decisiones del Consejo de Administración; y, en particular:

 

a)    Formular y elevar al Consejo de Administración el Plan Estratégico de la Agencia.

b)    Potenciar y apoyar las actividades de prevención, detección y respuesta del CSIRT, así como la coordinación con la red de CSIRT.

c)    Formular y elevar al Consejo de Administración el Plan de difusión, formación y concienciación en materia de ciberseguridad.

d)    Elaborar el informe anual de evaluación de la estrategia global de seguridad de la información de la Comunidad de Madrid, donde figurará el grado de ejecución y cumplimiento de sus objetivos.

e)    Elaborar el Libro Blanco de la ciberseguridad que ofrezca buenas propuestas de acción y buenas prácticas sobre su gestión y ofrezca confianza a todos los actores políticos, económicos y sociales del ecosistema digital madrileño en sus relaciones con la Comunidad de Madrid.

f)     Proponer líneas de colaboración en el ámbito de la ciberseguridad con los entes locales de Madrid.

g)    Formular y elevar al Consejo de Administración la propuesta de memoria anual de actividad correspondiente al año inmediatamente anterior, en la cual se informará también sobre el seguimiento del plan plurianual de actuación.

h)    Participar en los foros nacionales e internacionales en materia de ciberseguridad.

i)     Formular y elevar al Consejo de Administración el borrador del anteproyecto de presupuestos anual de la Agencia.

j)     Actuar como órgano de contratación de la Agencia y celebrar, en su nombre, los contratos y encargos de ejecución relativos a los asuntos propios de la misma.

k)    Autorizar los gastos, efectuar las disposiciones, contraer obligaciones y ordenar pagos, conforme a la normativa aplicable y salvo en los casos reservados por ley a la competencia del Consejo de Gobierno o de la consejería a que se halle adscrita la Agencia.

l)     Ejercer las competencias en materia de gestión del personal adscrito a la Agencia, excepto de aquellas competencias que correspondan a la consejería competente en materia de gestión de recursos humanos.

m)  Proponer, para su aprobación, a la consejería competente en materia de hacienda la propuesta de plantilla presupuestaria, así como sus modificaciones.

n)    Establecer los requisitos y características de las pruebas para acceder a los puestos de trabajo, así como su convocatoria, gestión y resolución, en el marco de la legislación en materia de selección de personal que sea de aplicación.

ñ)  Ejercer todas las competencias en materia de personal y todas las facultades referentes a su dirección y gestión, en particular respecto a negociación colectiva, retribuciones, jornada de trabajo, régimen disciplinario, contratación y cese del personal dependiente de la Agencia, con arreglo a la legislación laboral y al convenio colectivo de aplicación.

o)    Proponer al presidente del Consejo de Administración la oferta de empleo público de la Agencia.

p)    Todas aquellas funciones que el Consejo de Administración le encomiende en el ámbito de actuación de la Agencia.

 

CAPÍTULO III

 

Régimen de personal y de contratación

 

Artículo 8. Régimen de personal.

 

          El personal de la Agencia de Ciberseguridad tendrá naturaleza laboral y se regirá por la legislación laboral, los preceptos del Estatuto Básico del Empleado Público que así lo dispongan, el convenio colectivo que resulte de aplicación y demás normativa de función pública aplicable a este tipo de personal.

 

          El personal funcionario adscrito a la Agencia para el ejercicio de potestades administrativas se regirá por las disposiciones que le sean de aplicación atendiendo a la naturaleza de su relación de empleo, en particular, el Estatuto Básico del Empleado Público, la Ley 1/1986, de 10 de abril, de la Función Pública de la Comunidad de Madrid, los respectivos acuerdos de la mesa sectorial por los que se regulen las condiciones de trabajo y demás normativa de función pública aplicable a este tipo de personal.

 

Artículo 9. Régimen de contratación.

 

          El régimen de contratación de la Agencia será el establecido para las Administraciones Públicas en la legislación de contratos del sector público. A estos efectos, la Agencia tiene el carácter de poder adjudicador con la consideración de Administración Pública, en virtud de los apartados 1.j), 2.b) y 3.d) del artículo 3 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

 

CAPÍTULO IV

 

Régimen económico y financiero

 

Artículo 10. Patrimonio.

 

          1. El patrimonio de la Agencia estará constituido por el conjunto de sus bienes y derechos, cualquiera que sea su naturaleza y el título de su adquisición o aquel en virtud del cual le hayan sido atribuidos.

 

          2. El régimen jurídico del patrimonio de la Agencia se adecuará a la legislación básica sobre el patrimonio de las Administraciones Públicas y a la legislación autonómica sobre el patrimonio de la Comunidad de Madrid.

 

          3. La Comunidad de Madrid le podrá transferir a la Agencia la titularidad de todos aquellos bienes en la medida en que resulten necesarios para el ejercicio de las actividades que le sean encomendadas conforme a lo previsto en esta Ley.

 

Artículo 11. Financiación.

 

          La Agencia se financiará con cargo a los siguientes recursos:

 

a)    Las aportaciones consignadas en los Presupuestos Generales de la Comunidad de Madrid.

b)    Donaciones y cualquier otra aportación voluntaria de entidades y particulares.

c)    Los ingresos públicos dimanantes de su actividad.

d)    Las subvenciones y los ingresos que obtenga como consecuencia de convenios con entes públicos o privados o de aportaciones realizadas a título gratuito.

e)    Cualquier otro recurso no previsto en los apartados anteriores y que legítimamente pueda corresponderle.

 

Artículo 12. Régimen presupuestario.

 

          1. La Agencia deberá realizar anualmente un anteproyecto de presupuestos, con la estructura que señale la consejería con competencias en materia de hacienda, y lo remitirá a ésta para su elevación al acuerdo del Consejo de Gobierno y posterior remisión a la Asamblea de Madrid.

 

          2. La Agencia tendrá un presupuesto estimativo, que formará parte de los presupuestos generales de la Comunidad de Madrid, consolidándose con los de la Administración de la Comunidad y sus organismos autónomos.

 

Artículo 13. Contabilidad y control económico financiero.

 

          1. La Agencia queda sujeta al régimen de contabilidad pública de la Comunidad de Madrid en los términos establecidos en el Título VI de la Ley 9/1990, de 8 de noviembre.

 

          2. La Intervención General de la Comunidad de Madrid ejercerá el control financiero de carácter permanente sobre el aspecto económico-financiero de la actividad de la Agencia, de conformidad con lo prevenido en el artículo 17 de la citada Ley 9/1990, de 8 de noviembre, excepto en la gestión de la actividad subvencional, que se sujetará al ejercicio de la función interventora según lo determinado en la Ley 2/1995, de 8 de marzo, de Subvenciones de la Comunidad de Madrid.

 

Artículo 14. Tesorería.

 

          1. La Agencia contará con tesorería propia.

 

          2. Constituyen la tesorería de la Agencia todos sus recursos financieros, ya sean dinero, valores o créditos.

 

          3. El régimen de funcionamiento de la tesorería de la Agencia deberá someterse a las disposiciones que sobre gestión financiera establezca la consejería competente en materia de hacienda.

 

          4. La Tesorería General ejercerá de caja de depósitos de la Agencia.

 

 

Disposición adicional única

 

Extinción y disolución

 

          En el supuesto de disolución o extinción, el personal se integrará en las condiciones fijadas en la Ley de Presupuestos Generales de la Comunidad de cada año.

 

 

Disposición derogatoria única

 

Derogación normativa

 

          Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo establecido en la presente ley.

 

Disposición final primera

 

Modificaciones presupuestarias

 

          Se habilita al titular de la consejería de competente en materia de hacienda para realizar las modificaciones presupuestarias necesarias para la aplicación de la presente ley.

 

Disposición final segunda

 

Habilitación de desarrollo

 

          Se habilita al Consejo de Gobierno de la Comunidad de Madrid para adoptar las medidas necesarias para el desarrollo y ejecución de la presente ley.

 

Disposición final tercera

 

Entrada en vigor.

 

          La presente ley entrará en vigor el mismo día de su publicación en el Boletín Oficial de la Comunidad de Madrid.

 

 

 

 

 

 

 

 

 

 

 

         

Este documento no tiene valor jurídico, solo informativo. Los textos con valor jurídico son los de la publicación oficial



[1]. -     BOCM de 27 de diciembre de 2023. BOE de 21 de marzo de 2024.