Ley
14/2023, de 20 de diciembre, por la que se crea la Agencia de Ciberseguridad de
la Comunidad de Madrid.
()
PREÁMBULO
I
La sociedad de la
información se configura como una plataforma global para la libre circulación
de la información, las ideas y el conocimiento, y los poderes públicos apuestan
claramente por su implantación, utilizando cada día más las herramientas tech que
tanto las administraciones como los prestadores de servicios ponen a su
disposición. El uso cotidiano de las tecnologías de la información y la
comunicación (TIC) y el tratamiento que realizan de la información las
convierten en elementos esenciales para el actual desarrollo económico y la
convivencia social.
Por todo
ello, la ciberseguridad se ha convertido en un tema de importancia estratégica
en nuestra sociedad, y la Comunidad de Madrid, como uno de los centros
económicos y tecnológicos más destacados de España y Europa, debe reforzar y
aumentar sus capacidades de ciberseguridad para mejorar la protección de todas
sus instituciones y de sus ciudadanos.
En el
ámbito de las Administraciones Públicas, la consagración del derecho del
ciudadano a comunicarse con ellas a través de medios electrónicos comporta una
obligación correlativa de las mismas, como es la de crear las condiciones
necesarias para optimizar el correcto funcionamiento de las infraestructuras
esenciales en su relación con los ciudadanos.
Reforzar
la ciberseguridad en todas las administraciones en Europa, España y también en
la Comunidad de Madrid frente a las ciberamenazas, no sólo es un mandato
recogido por la normativa europea, sino que es necesario para garantizar que
todos los ciudadanos y empresas puedan beneficiarse plenamente de servicios y
herramientas digitales seguros y fiables.
La
Comunidad de Madrid alberga operadores e infraestructuras críticas que son
vitales, incluyendo, entre otros, sistemas de transporte, energía, sanidad,
agua y centros financieros. Una eventual deficiente gestión de riesgos de
ciberseguridad por parte de los operadores que gestionan estas infraestructuras
aumentaría su vulnerabilidad ante posibles ciberataques, propios o de terceros
que componen su cadena de suministro, que pueden interrumpir el normal
funcionamiento de servicios esenciales y minar la credibilidad y la imagen de
nuestra región, cada vez más interconectada y abierta al mundo.
Para dar
respuesta a estas necesidades, es preciso un organismo que, en el ámbito de
competencias de la Comunidad de Madrid con una clara vocación de coordinación
con similares organismos autonómicos, nacionales y europeos, vele por el
cumplimiento de las funciones del servicio público de ciberseguridad y permita
impulsar una cultura de la ciberseguridad que incremente el nivel de seguridad
de las redes y los sistemas de información en la Comunidad de Madrid,
incluyendo las Administraciones Públicas y empresas, PYMES y ciudadanos, en la
estricta medida en que sea necesario para la relación por medios electrónicos
con la Administración. Sus funciones deben basarse en la implantación de
medidas de prevención, detección y respuesta sobre la infraestructura pública y
sus servicios, así como en la coordinación con los proveedores privados de
servicios de la sociedad de la información para la consecución de sus
objetivos, desarrollando así una política pública de ciberseguridad.
Desde la
Comunidad de Madrid se considera también necesario dar cobertura y aumentar las
capacidades de ciberseguridad de las corporaciones locales, especialmente de
aquellos ayuntamientos de menos de 20.000 habitantes, todo ello para prevenir
incidentes y ofrecer una respuesta coordinada ante cualquier situación de
crisis, así como para impulsar un nuevo liderazgo en la protección de la
información de los ciudadanos.
La
seguridad de la información en general y la ciberseguridad en particular son
concebidas como una parte intrínseca a la digitalización. Así el programa
Europa Digital 2021-2027 recoge en uno de sus ejes para conseguir la
digitalización europea la promoción de la ciberseguridad. De la misma forma, la
Agenda España Digital 2026 establece que el reto para 2026 es incrementar las
capacidades de ciberseguridad en España, fomentar el desarrollo del ecosistema
empresarial en este sector (industria, I+D+i y talento), y potenciar el
liderazgo internacional del país en materia de ciberseguridad, en colaboración
con las comunidades autónomas a través de proyectos estratégicos de digitalización
dentro del programa RETECH (Redes territoriales de especialización tecnológica)
del Plan de Recuperación, Transformación y Resiliencia, sin perjuicio de los
futuros programas marcos que puedan aprobarse en materia de ciberseguridad.
Nos
encontramos, por tanto, ante una materia transversal que complementa y da
soporte a muchas otras iniciativas y competencias de los distintos organismos
de la Comunidad de Madrid, sin que deba entenderse esta función como una
intromisión, sino como un refuerzo y una acción de gobierno coordinada. Por
ello, la Agencia de Ciberseguridad ha de tener presente la imprescindible
coordinación entre todas las unidades que trabajan en conexión con y desde las
redes de comunicaciones, así como también es necesaria la coordinación con
otras unidades y organismos, muy especialmente con aquellos competentes en los
distintos ámbitos de la seguridad física y de las personas.
La
existencia de una Agencia de Ciberseguridad no exime a todas las entidades y
organismos, dentro del ámbito de actuación de ésta, de su responsabilidad de
vigilancia y aplicación de medidas de ciberseguridad propias a sus sistemas y
peculiaridades. En este sentido, el objeto definido en el articulado se centra
en dirigir y coordinar y no en implementar, operar o ejecutar funciones que
seguirán siendo responsabilidad de cada uno de los organismos.
Consecuentemente,
será misión de la Agencia de Ciberseguridad proponer al Consejo de Gobierno la
política global de seguridad de la información de la Comunidad de Madrid en la
que, siguiendo la propuesta de las guías sobre seguridad de las tecnologías de
la información y la comunicación del Centro Criptológico Nacional (en adelante
CCN), se definirá la organización de la ciberseguridad, su gobernanza y su
estructura normativa, que cada organismo responsable de sistemas de información
y redes electrónicas de comunicaciones desarrollará mediante políticas de
seguridad relacionadas con los aspectos específicos de su competencia y que, a
su vez, se desarrollarán en normas y planes concretos para cada uno de los
sistemas que gestionen.
Así
pues, la presente ley tiene como finalidad la creación de un ente de Derecho
público, la Agencia de Ciberseguridad de la Comunidad de Madrid, con
personalidad jurídica propia, sometida, con carácter general al Derecho privado
salvo en el ejercicio de potestades administrativas que se sujetará al Derecho
público, a la que se otorgan, entre otras funciones, las de: asesorar al
Gobierno de la Comunidad de Madrid en el desarrollo de su estrategia de
ciberseguridad y proponer la política global de seguridad de la información de
la Comunidad de Madrid; proponer y promover el uso de soluciones y servicios de
ciberseguridad destinados a la prevención, detección y respuesta ante las
amenazas contra la seguridad de las redes y sistemas en su ámbito de actuación;
promocionar el talento y fomentar el emprendimiento del ecosistema empresarial
de ciberseguridad, como herramienta pilar del crecimiento industrial y
económico; y coordinar con organismos público-privados, operadores esenciales y
críticos y entidades locales de la Comunidad de Madrid, en la medida en que se
relacionen con la Administración autonómica por medios electrónicos, en aras a
la consecución de los objetivos especificados en las políticas de
ciberseguridad, en particular promoviendo y colaborando en el intercambio de
información sobre incidentes y desarrollo de buenas prácticas.
La
Agencia de Ciberseguridad servirá a la Comunidad de Madrid para prestar apoyo a
las entidades locales de la región, especialmente las enunciadas por el
artículo 36.1.g), para que sean capaces de responder a sus responsabilidades en
materia de ciberseguridad, tal y como está establecido en la Ley 7/1985, de 2
de abril, Reguladora de las Bases de Régimen Local.
En
definitiva, se trata de dotar a la Comunidad de Madrid de un organismo que
actúe como catalizador de una cultura de ciberseguridad que genere un clima de
confianza y seguridad que contribuya al desarrollo de la economía y la sociedad
digital.
La Agencia
en su ámbito de competencia definirá y promoverá la aplicación de políticas
públicas en materia de ciberseguridad siguiendo lo establecido en las
legislaciones nacional y europea. Igualmente se guiará por los principios
éticos en el ámbito de sus competencias.
El 27 de
diciembre de 2022 se publicó la Directiva NIS2 (UE) 2022/2555 del Parlamento
Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas
destinadas a garantizar un elevado nivel común de ciberseguridad en toda la
Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva
(UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva
SRI 2). Esta Directiva establece obligaciones de ciberseguridad, medidas para
la gestión de riesgos de ciberseguridad y obligaciones de notificación para las
entidades en su ámbito de aplicación, obligaciones relativas al intercambio de
información sobre ciberseguridad, así como obligaciones de supervisión y
ejecución para las diferentes administraciones.
Del
mismo modo, la Estrategia de Seguridad Nacional 2021, aprobada el 28 de
diciembre por el Consejo de Ministros, establece como una de las prioridades la
puesta en marcha de una plataforma nacional de notificación y seguimiento de
ciberincidentes liderada por el CCN-CERT, que coordina el Grupo de Trabajo de
Seguridad de la Conferencia Sectorial de Administración electrónica y que
formará parte la Comunidad de Madrid a través de la creación de la Agencia de
Ciberseguridad de la Comunidad de Madrid.
La Ley 40/2015,
de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a la seguridad
entre los principios de actuación de las Administraciones Públicas y recoge el
Esquema Nacional de Seguridad (en adelante ENS), de aplicación a todo el sector
público, que ofrece un planteamiento común de principios, requisitos y medidas
de seguridad.
El ENS
proporciona al sector público en España un planteamiento común de seguridad
para la protección de la información que maneja y los servicios que presta;
impulsa la gestión continuada de la seguridad, imprescindible para la
transformación digital en un contexto de ciberamenazas; a la vez que facilita
la cooperación y proporciona un conjunto de requisitos uniforme a la Industria,
constituyendo también un referente de buenas prácticas.
Mediante la
creación de esta Agencia de Ciberseguridad se dota a la Administración
autonómica madrileña de un ente encargado de ayudar y cooperar en el
cumplimiento del Esquema Nacional de Seguridad, en los términos previstos en el
artículo 156 de la Ley 40/2015, de 1 de octubre.
La
presente regulación se lleva a cabo en ejercicio de las competencias asumidas
por la Comunidad de Madrid en su Estatuto de
Autonomía,
aprobado por Ley Orgánica 3/1983, de 25 de febrero. Concretamente, el artículo
26.1.1 le atribuye competencias exclusivas en materia de organización, régimen
y funcionamiento de sus instituciones de autogobierno y el artículo 26.1.3 le
atribuye el procedimiento administrativo derivado de las especialidades de la
organización propia. Al mismo tiempo, el artículo 7, además de reconocer a los
ciudadanos de Madrid como titulares de los derechos y deberes fundamentales establecidos
en la Constitución, señala que los poderes públicos madrileños asumen, en el
marco de sus competencias, entre otros principios rectores de su política, la
promoción de las condiciones necesarias para el libre ejercicio de los derechos
y libertades de los ciudadanos y la igualdad de los individuos y los grupos en
que se integran.
En
relación con el ejercicio de estas competencias, conviene recordar que, como ha
señalado el Tribunal Constitucional en su sentencia 142/2018, de 20 de
diciembre, que resolvió el recurso de inconstitucionalidad interpuesto contra
la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, la
ciberseguridad no es un concepto o materia reconducible a un único título
competencial y, puede, identificarse con la seguridad nacional o con la
seguridad pública cuando se trata de la protección ordinaria de las redes y las
infraestructuras de telecomunicaciones, pero también puede proyectarse sobre
otros planos, como es el caso de la Administración electrónica, que abarca la
organización de medios y previsión de medidas de protección de la
Administración y, por extensión, la protección de los derechos de los
ciudadanos cuando se relacionan con aquélla por medios electrónicos.
Por
último, la Agencia será una herramienta para el cumplimiento de la misión de la
Comunidad de Madrid de asistencia a los municipios y asegurar la prestación de
los servicios públicos de competencia municipal en todo el territorio de la
provincia, tal y como está establecido en la Ley 7/1985, de 2 de abril,
Reguladora de las Bases de Régimen Local.
II
La Ley
consta de una parte expositiva, catorce artículos distribuidos en cuatro
capítulos, una disposición adicional, una disposición derogatoria y tres
disposiciones finales.
El
Capítulo I establece la creación, naturaleza y régimen jurídico de la Agencia
de Ciberseguridad de la Comunidad de Madrid y define su ámbito de aplicación,
objeto y funciones.
El
Capítulo II define la estructura orgánica y las funciones de los órganos de la
Agencia, así como aquellas que corresponden al consejero delegado como órgano
de dirección y administración de esta.
El
Capítulo III establece el régimen de personal y de contratación de la Agencia.
El
Capítulo IV establece el régimen económico y financiero.
La
disposición adicional establece que, en el supuesto de disolución o extinción,
el personal de la Agencia se integrará en las condiciones fijadas en la Ley de
Presupuestos Generales de la Comunidad de cada año.
La
disposición derogatoria procede a derogar cuantas disposiciones de igual o
inferior rango se opongan a lo establecido en esta ley.
Las
disposiciones finales primera y segunda habilitan a los órganos
correspondientes de la Comunidad de Madrid para realizar las modificaciones
presupuestarias oportunas y para el desarrollo reglamentario de esta ley.
La
disposición final tercera establece la fecha de entrada en vigor, que será la
del día de su publicación.
III
El
anteproyecto de ley de la presente Ley se supeditó a los principios de buena
regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del
Procedimiento Administrativo Común de las Administraciones Públicas, y el
artículo 2 del Decreto 52/2021,
de 24 de marzo,
del Consejo de Gobierno, por el que se regula y simplifica el procedimiento de
elaboración de las disposiciones normativas de carácter general en la Comunidad
de Madrid.
En
particular, los principios de necesidad y eficacia están garantizados por el
interés general que subyace a esta regulación, como son fomentar la seguridad
en las relaciones telemáticas, mejorar la protección de los usuarios de las
tecnologías de información y comunicación y fomentar el crecimiento económico
por medio de la digitalización y la innovación.
En
virtud del principio de proporcionalidad se contiene la regulación
imprescindible para cumplir el interés general mencionado y el principio de
seguridad jurídica queda salvaguardado, dada la coherencia de su contenido con
el conjunto del ordenamiento jurídico español y comunitario.
En
aplicación del principio de transparencia se ha dado participación en su
elaboración a los ciudadanos y sectores afectados, mediante la celebración de
los trámites de consulta pública previa y de audiencia e información públicas
y, una vez aprobada, la propuesta fue objeto de publicación en el Boletín
Oficial de la Comunidad de Madrid y en su Portal de Transparencia.
El
principio de eficiencia queda garantizado, ya que no se imponen cargas
administrativas y, desde su fase de anteproyecto, se ha supeditado a los
principios de estabilidad presupuestaria y de sostenibilidad financiera,
habiéndose cuantificado y valorado sus efectos en los gastos públicos.
CAPÍTULO
I
Disposiciones
generales
Artículo 1. Creación,
naturaleza jurídica y régimen jurídico.
1. Se
crea la Agencia de Ciberseguridad de la Comunidad de Madrid (en lo sucesivo la
Agencia), como Ente del sector público de los previstos en el artículo 6 de la Ley 9/1990, de 8
de noviembre,
Reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica
propia, plena capacidad de obrar para el cumplimiento de sus fines y con plena
autonomía orgánica y funcional, adscrita a la consejería competente en materia
de digitalización.
2. La
Agencia se rige por la normativa contenida en la presente ley, por las demás
leyes y disposiciones que se dicten para su desarrollo y ejecución, así como
por las demás disposiciones del ordenamiento jurídico que le resulten
aplicables en atención a su naturaleza y, en defecto de éstas, las que le
resulten aplicables con carácter supletorio.
3. La
actividad de la Agencia se ajusta, con carácter general, a las normas del
ordenamiento jurídico privado, sin perjuicio de su sujeción al Derecho público
en el ejercicio de potestades administrativas, en la formación de la voluntad
de sus órganos, así como en aquellas otras derivadas de la presente Ley en las
que resulte de aplicación directa o supletoria.
4. Las
resoluciones dictadas en el ejercicio de estas potestades por los órganos de
gobierno de la Agencia pondrán fin a la vía administrativa, y contra las mismas
podrá interponerse recurso de reposición o recurso ante la jurisdicción
contencioso-administrativa en los términos previstos por las leyes.
Artículo 2. Ámbito de
actuación.
1. La
Agencia ejercerá sus funciones y competencias en el ámbito de la Administración
General e institucional de la Comunidad de Madrid con exclusión de las empresas
públicas autonómicas con forma de sociedad mercantil, en coordinación con la
Agencia para la Administración Digital de la Comunidad de Madrid y la Agencia
de Seguridad y Emergencias Madrid 112 para el ámbito de sus competencias y con
todas aquellas entidades y organismos de la Administración General e
Institucional de la Comunidad de Madrid con competencias en materia de
tecnologías de la información y de las comunicaciones.
En el
ámbito de las empresas, PYMES y ciudadanos de la Comunidad de Madrid, la
Agencia ejercerá sus funciones y competencias en la estricta medida en que sea
necesario para la relación con la Administración por medios electrónicos,
conforme a lo establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas.
2. En
relación con la Asamblea de Madrid, con pleno respeto a su autonomía
parlamentaria, la Cámara de Cuentas de la Comunidad de Madrid y las empresas
públicas autonómicas, con forma de sociedad mercantil, la Agencia podrá ejercer
sus funciones, previa formalización del instrumento jurídico adecuado, siempre
y cuando las disponibilidades presupuestarias de la Agencia lo permitan o se
contemple la financiación en el mismo.
3. La
Agencia, prestará sus servicios a las entidades locales de menos de 20.000
habitantes, de conformidad con el artículo 36.1.g) de la Ley 7/1985, de 2 de
abril, Reguladora de las Bases de Régimen Local, en el ámbito de la
administración electrónica.
Además,
podrá prestar servicios propios de sus funciones al resto de entidades locales
o a otras Administraciones Públicas del ámbito territorial de la Comunidad de
Madrid, en la medida en que se relacionen con ella por medios electrónicos,
mediante convenio o contrato, según los casos.
4. La
Agencia podrá realizar, para el mejor cumplimiento de sus fines, cuantas
actividades de naturaleza mercantil o industrial estén relacionadas con su
objeto.
Artículo 3. Objeto y
funciones.
1. La
Agencia tiene como objeto dirigir y coordinar la ciberseguridad y apoyar e
impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la
Región, en el ámbito de actuación fijado en el artículo anterior y con arreglo
al marco de competencias constitucional y estatutariamente establecido.
2. La
Agencia tiene por función definir y velar por la ejecución de las políticas
públicas en materia de ciberseguridad y, en particular, le corresponde, además:
a) Asesorar al
Gobierno de la Comunidad de Madrid en el desarrollo de su estrategia de
ciberseguridad que contemple la Administración y el sector público autonómico
definido en el artículo 2.1, la colaboración con las entidades locales, y el
apoyo al entorno empresarial y a la ciudadanía de la Comunidad de Madrid.
b) Proponer al
Consejo de Gobierno, la política global de seguridad de la información para la
Administración General e institucional de la Comunidad de Madrid.
c) Constituir y
gestionar el CSIRT (Equipo de Respuesta a Incidentes de Ciberseguridad) de
referencia de la Comunidad de Madrid, ejerciendo las funciones de alerta
temprana y de ayuda en la respuesta ante amenazas, vulnerabilidades, ataques e
incidentes de seguridad, en colaboración con el resto de CSIRT nacionales.
d) Coordinarse con
organismos públicos o privados, infraestructuras críticas y entidades locales
de la Comunidad de Madrid, así como con todos aquellos que se relacionen con la
Administración y el sector público de la Comunidad de Madrid por medios
electrónicos, para impulsar los planes específicos de actuación, elaborados por
cada uno de ellos, para la consecución de los objetivos marcados en las
políticas de ciberseguridad.
e) Participar y
representar a la Comunidad de Madrid en los distintos ámbitos institucionales,
eventos, foros o asociaciones especializadas en materia de ciberseguridad.
f) Proponer y
promover el uso de soluciones y servicios de ciberseguridad destinados a la
prevención, detección y respuesta ante las amenazas contra la seguridad de las
redes y sistemas en su ámbito de actuación.
g) Impulsar las
actividades de difusión, formación y concienciación en materia de
ciberseguridad adecuadas a los diferentes colectivos destinatarios, poniendo
especial énfasis en la reducción de la brecha digital.
h) Impulsar un
espacio de cooperación y confianza que contribuya al desarrollo de la
digitalización, la ciberseguridad, la economía digital y de toda la sociedad
digital en su conjunto, con la Comunidad de Madrid.
i) Fomentar el
emprendimiento del ecosistema empresarial de ciberseguridad como uno de los
pilares del crecimiento industrial y económico.
j) Promover ayudas
que fomenten e impulsen el desarrollo e implantación de la ciberseguridad en
las empresas y PYMES madrileñas, en la estricta medida en que se relacionen con
la Administración por medios electrónicos.
k) Promover y dirigir
proyectos de prospección sobre el impacto de nuevas tecnologías y técnicas en
la ciberseguridad para evaluar tanto las mejoras como los riesgos que pueden
suponer, e impulsar tanto la modernización como la innovación en
ciberseguridad.
l) Cualesquiera otras
competencias que conforme al ordenamiento jurídico le sean expresamente
conferidas o delegadas.
CAPÍTULO
II
Estructura
orgánica
Artículo 4. Órganos de la
Agencia.
Los órganos
de gobierno de la Agencia son:
a) El presidente del
Consejo de Administración.
b) El Consejo de
Administración.
c) El consejero
delegado de la Agencia.
La
Agencia contará con un Comité de Seguridad de la Información cuya estructura,
funciones y régimen de funcionamiento se establecerá por Acuerdo del Consejo de
Administración, a propuesta de la consejería competente en materia de
digitalización.
Artículo 5. Presidencia.
1.
Ostentará la presidencia de la Agencia la persona titular de la consejería
competente en materia de digitalización.
2. Son
atribuciones del presidente de la Agencia:
a) La representación
institucional del Ente.
b) Suscribir en
nombre de la Agencia los convenios y demás instrumentos de colaboración, de
acuerdo con las funciones específicas de la Agencia, dentro de sus
competencias.
c) Impulsar las
actividades de la Agencia.
d) Acordar la
convocatoria de las sesiones ordinarias y extraordinarias del Consejo de
Administración y fijar el orden del día, teniendo en cuenta, en su caso, las
peticiones y sugerencias de los demás miembros formuladas con la antelación
suficiente.
e) Presidir las
sesiones, moderar el desarrollo de los debates y suspenderlos por causas
justificadas.
f) Dirimir, con su
voto, los empates a efectos de la adopción de acuerdos.
g) Visar las actas y
certificaciones de los acuerdos del Consejo de Administración.
h) Controlar la
actuación del consejero delegado, conforme a la normativa aplicable.
i) Desempeñar el
resto de competencias que pueda atribuirle el ordenamiento jurídico.
j) Cualesquiera otras
funciones que pudieran serle delegadas.
Artículo 6. El Consejo de
Administración.
1. El
Consejo de Administración de la Agencia, está integrado por los miembros
siguientes:
a) El presidente de
la Agencia.
b) Un vicepresidente,
que será la persona titular de la viceconsejería competente en materia de
digitalización.
c) Vocales:
1.º) El
consejero delegado de la Agencia.
2.º) La
persona titular de la viceconsejería competente en materia de seguridad y emergencias.
3.º) La
persona titular de la dirección general con competencias en materia de digitalización.
4.º) El
consejero delegado de la Agencia para la Administración Digital de la Comunidad
de Madrid.
5.º) La
persona titular de la dirección de IMDEA Networks Institute.
6.º) La
persona titular de la dirección general competente en sistemas de salud
digital.
7.º) La
persona titular de la dirección general competente en innovación.
8.º) La
persona titular de la dirección general competente en promoción económica.
9.º) La
persona titular de la dirección general competente en administración local.
10.º) La
persona titular de la dirección general competente en materia de cooperación
con el Estado.
d) Secretario. La
persona titular de la secretaría general técnica con competencias en materia de
digitalización.
2. En
caso de vacante, ausencia, enfermedad u otra causa legal, la persona titular de
la presidencia será sustituida por la persona titular de la vicepresidencia; la
persona titular de la vicepresidencia será sustituida por el consejero delegado
de la Agencia; y las personas titulares de las vocalías serán sustituidas por
personas titulares de órganos directivos de su respectiva consejería con rango
mínimo de director general, designadas por la persona titular de la consejería
respectiva o, en su caso, por quien designe la Agencia para la Administración
Digital de la Comunidad de Madrid o IMDEA Networks Institute.
3. El
Consejo de Administración aprobará, antes de cumplirse el primer año de
existencia de la Agencia de Ciberseguridad, un reglamento de funcionamiento
interno del mismo en el que se fijará el régimen de sesiones y de acuerdos, así
como las funciones del secretario.
Igualmente
podrá aprobar la constitución de comisiones o grupos de trabajo para materias y
asuntos determinados, con la composición y funciones que el mismo determine, en
la que también podrán participar expertos externos.
4. Las
funciones del Consejo de Administración son:
a) Determinar los
objetivos de seguridad de la información para la Administración de la Comunidad
de Madrid, dotando de los medios y apoyo necesario para su consecución mediante
la propuesta de la política global de seguridad de la información para la
Administración General e institucional de la Comunidad de Madrid.
b) Aprobar, a
propuesta del consejero delegado, el Plan Estratégico de la Agencia.
c) Aprobar, a
propuesta del consejero delegado, el Plan de difusión, formación y
concienciación en materia de ciberseguridad para la Región de Madrid.
d) Aprobar, a
propuesta del consejero delegado, la memoria anual de actividad correspondiente
al año inmediatamente anterior.
e) Aprobar un marco
de directrices y normas técnicas de seguridad de cumplimiento obligatorio para
la Administración de la Comunidad de Madrid y para los organismos y entidades
vinculados o dependientes.
f) Informar
preceptivamente en los procedimientos de elaboración de disposiciones
normativas tramitadas por la Administración de la Comunidad de Madrid en
materia de ciberseguridad y gobernanza de las tecnologías de la información y
la comunicación.
g) Definir las líneas
generales de carácter estratégico que garantice la coordinación, la cooperación
y el intercambio de información sobre ciberincidentes e inteligencia de
ciberamenazas entre el sector público, el sector privado y los organismos
nacionales competentes, fomentando la prevención y la alerta temprana.
h) Aprobar las
actividades de difusión, formación y concienciación en materia de
ciberseguridad.
i) Aprobar el informe
anual de evaluación de la Estrategia de ciberseguridad de la Comunidad de
Madrid, donde figurará el grado de ejecución y cumplimiento de sus objetivos.
j) Promover e
impulsar las ayudas que fomenten e impulsen el desarrollo e implantación de la
ciberseguridad en las empresas y pymes madrileñas. Esta función podrá ser
delegada en el consejero delegado de la Agencia.
k) Aprobar el
anteproyecto de presupuesto de la Agencia, que se integrará en los Presupuestos
Generales de la Comunidad de Madrid.
l) Aprobar la
estructura y el organigrama de la Agencia hasta el siguiente nivel organizativo
al del consejero delegado, a propuesta de éste, y previo informe favorable de
la Consejería competente en materia de Hacienda.
5. Los
miembros del Consejo de Administración de la Agencia no tienen derecho a
percibir indemnización, dieta o compensación alguna por asistir a las reuniones
de este órgano.
Artículo 7. El consejero
delegado de la Agencia.
1. El
consejero delegado será nombrado y, en su caso, cesado mediante decreto del
Gobierno de la Comunidad de Madrid, a iniciativa y propuesta del presidente del
Consejo de Administración de la Agencia.
El
consejero delegado deberá ser un profesional de reconocido prestigio en el
ámbito de la ciberseguridad.
2. El
consejero delegado de la Agencia es el máximo órgano directivo de ésta y le
corresponde, sin perjuicio de las competencias del Consejo de Administración,
la dirección ordinaria de la Agencia, la adopción de las medidas necesarias
para la ejecución de las decisiones del Consejo de Administración; y, en
particular:
a) Formular y elevar
al Consejo de Administración el Plan Estratégico de la Agencia.
b) Potenciar y apoyar
las actividades de prevención, detección y respuesta del CSIRT, así como la
coordinación con la red de CSIRT.
c) Formular y elevar
al Consejo de Administración el Plan de difusión, formación y concienciación en
materia de ciberseguridad.
d) Elaborar el
informe anual de evaluación de la estrategia global de seguridad de la
información de la Comunidad de Madrid, donde figurará el grado de ejecución y
cumplimiento de sus objetivos.
e) Elaborar el Libro
Blanco de la ciberseguridad que ofrezca buenas propuestas de acción y buenas
prácticas sobre su gestión y ofrezca confianza a todos los actores políticos,
económicos y sociales del ecosistema digital madrileño en sus relaciones con la
Comunidad de Madrid.
f) Proponer líneas de
colaboración en el ámbito de la ciberseguridad con los entes locales de Madrid.
g) Formular y elevar
al Consejo de Administración la propuesta de memoria anual de actividad
correspondiente al año inmediatamente anterior, en la cual se informará también
sobre el seguimiento del plan plurianual de actuación.
h) Participar en los
foros nacionales e internacionales en materia de ciberseguridad.
i) Formular y elevar
al Consejo de Administración el borrador del anteproyecto de presupuestos anual
de la Agencia.
j) Actuar como órgano
de contratación de la Agencia y celebrar, en su nombre, los contratos y
encargos de ejecución relativos a los asuntos propios de la misma.
k) Autorizar los
gastos, efectuar las disposiciones, contraer obligaciones y ordenar pagos,
conforme a la normativa aplicable y salvo en los casos reservados por ley a la
competencia del Consejo de Gobierno o de la consejería a que se halle adscrita
la Agencia.
l) Ejercer las
competencias en materia de gestión del personal adscrito a la Agencia, excepto
de aquellas competencias que correspondan a la consejería competente en materia
de gestión de recursos humanos.
m) Proponer, para su
aprobación, a la consejería competente en materia de hacienda la propuesta de
plantilla presupuestaria, así como sus modificaciones.
n) Establecer los
requisitos y características de las pruebas para acceder a los puestos de
trabajo, así como su convocatoria, gestión y resolución, en el marco de la
legislación en materia de selección de personal que sea de aplicación.
ñ) Ejercer
todas las competencias en materia de personal y todas las facultades referentes
a su dirección y gestión, en particular respecto a negociación colectiva,
retribuciones, jornada de trabajo, régimen disciplinario, contratación y cese
del personal dependiente de la Agencia, con arreglo a la legislación laboral y
al convenio colectivo de aplicación.
o) Proponer al
presidente del Consejo de Administración la oferta de empleo público de la
Agencia.
p) Todas aquellas
funciones que el Consejo de Administración le encomiende en el ámbito de
actuación de la Agencia.
CAPÍTULO
III
Régimen
de personal y de contratación
Artículo 8. Régimen de
personal.
El
personal de la Agencia de Ciberseguridad tendrá naturaleza laboral y se regirá
por la legislación laboral, los preceptos del Estatuto Básico del Empleado
Público que así lo dispongan, el convenio colectivo que resulte de aplicación y
demás normativa de función pública aplicable a este tipo de personal.
El
personal funcionario adscrito a la Agencia para el ejercicio de potestades
administrativas se regirá por las disposiciones que le sean de aplicación
atendiendo a la naturaleza de su relación de empleo, en particular, el Estatuto
Básico del Empleado Público, la Ley 1/1986, de 10
de abril,
de la Función Pública de la Comunidad de Madrid, los respectivos acuerdos de la
mesa sectorial por los que se regulen las condiciones de trabajo y demás
normativa de función pública aplicable a este tipo de personal.
Artículo 9. Régimen de
contratación.
El
régimen de contratación de la Agencia será el establecido para las
Administraciones Públicas en la legislación de contratos del sector público. A
estos efectos, la Agencia tiene el carácter de poder adjudicador con la
consideración de Administración Pública, en virtud de los apartados 1.j), 2.b)
y 3.d) del artículo 3 de la Ley 9/2017, de 8
de noviembre,
de Contratos del Sector Público, por la que se transponen al ordenamiento
jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE
y 2014/24/UE, de 26 de febrero de 2014.
CAPÍTULO
IV
Régimen
económico y financiero
Artículo 10. Patrimonio.
1. El
patrimonio de la Agencia estará constituido por el conjunto de sus bienes y derechos,
cualquiera que sea su naturaleza y el título de su adquisición o aquel en
virtud del cual le hayan sido atribuidos.
2. El
régimen jurídico del patrimonio de la Agencia se adecuará a la legislación
básica sobre el patrimonio de las Administraciones Públicas y a la legislación
autonómica sobre el patrimonio de la Comunidad de Madrid.
3. La
Comunidad de Madrid le podrá transferir a la Agencia la titularidad de todos
aquellos bienes en la medida en que resulten necesarios para el ejercicio de
las actividades que le sean encomendadas conforme a lo previsto en esta Ley.
Artículo 11. Financiación.
La
Agencia se financiará con cargo a los siguientes recursos:
a) Las aportaciones
consignadas en los Presupuestos Generales de la Comunidad de Madrid.
b) Donaciones y
cualquier otra aportación voluntaria de entidades y particulares.
c) Los ingresos
públicos dimanantes de su actividad.
d) Las subvenciones y
los ingresos que obtenga como consecuencia de convenios con entes públicos o
privados o de aportaciones realizadas a título gratuito.
e) Cualquier otro
recurso no previsto en los apartados anteriores y que legítimamente pueda
corresponderle.
Artículo 12. Régimen
presupuestario.
1. La
Agencia deberá realizar anualmente un anteproyecto de presupuestos, con la estructura
que señale la consejería con competencias en materia de hacienda, y lo remitirá
a ésta para su elevación al acuerdo del Consejo de Gobierno y posterior
remisión a la Asamblea de Madrid.
2. La
Agencia tendrá un presupuesto estimativo, que formará parte de los presupuestos
generales de la Comunidad de Madrid, consolidándose con los de la
Administración de la Comunidad y sus organismos autónomos.
Artículo 13. Contabilidad y
control económico financiero.
1. La
Agencia queda sujeta al régimen de contabilidad pública de la Comunidad de
Madrid en los términos establecidos en el Título VI de la Ley 9/1990, de 8 de
noviembre.
2. La
Intervención General de la Comunidad de Madrid ejercerá el control financiero
de carácter permanente sobre el aspecto económico-financiero de la actividad de
la Agencia, de conformidad con lo prevenido en el artículo 17 de la citada Ley
9/1990, de 8 de noviembre, excepto en la gestión de la actividad subvencional,
que se sujetará al ejercicio de la función interventora según lo determinado en
la Ley 2/1995, de 8
de marzo,
de Subvenciones de la Comunidad de Madrid.
Artículo 14. Tesorería.
1. La
Agencia contará con tesorería propia.
2.
Constituyen la tesorería de la Agencia todos sus recursos financieros, ya sean
dinero, valores o créditos.
3. El
régimen de funcionamiento de la tesorería de la Agencia deberá someterse a las
disposiciones que sobre gestión financiera establezca la consejería competente
en materia de hacienda.
4. La
Tesorería General ejercerá de caja de depósitos de la Agencia.
Disposición adicional única
Extinción y
disolución
En el
supuesto de disolución o extinción, el personal se integrará en las condiciones
fijadas en la Ley de Presupuestos Generales de la Comunidad de cada año.
Disposición derogatoria única
Derogación
normativa
Quedan
derogadas cuantas disposiciones de igual o inferior rango se opongan a lo
establecido en la presente ley.
Disposición final primera
Modificaciones
presupuestarias
Se
habilita al titular de la consejería de competente en materia de hacienda para
realizar las modificaciones presupuestarias necesarias para la aplicación de la
presente ley.
Disposición final segunda
Habilitación de
desarrollo
Se
habilita al Consejo de Gobierno de la Comunidad de Madrid para adoptar las
medidas necesarias para el desarrollo y ejecución de la presente ley.
Disposición final tercera
Entrada en vigor.
La presente
ley entrará en vigor el mismo día de su publicación en el Boletín Oficial de la
Comunidad de Madrid.
Este
documento no tiene valor jurídico, solo informativo. Los textos con valor
jurídico son los de la publicación oficial