Acuerdo de 18 de diciembre de 2024, del
Consejo de Administración de la Agencia de Ciberseguridad de la Comunidad de
Madrid, por la que se crea el Comité de Seguridad de la Información, y se
regula su organización, funciones y régimen de funcionamiento.
En el
ámbito de la seguridad de la información y la ciberseguridad, es fundamental
que las administraciones públicas cumplan con las obligaciones normativas que
garantizan la protección de los sistemas de información y la continuidad de los
servicios esenciales. En este contexto, el Real Decreto 311/2022, por el que se
regula el Esquema Nacional de Seguridad (ENS), y la Directiva (UE) 2022/2555
del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, relativa a las
medidas destinadas a garantizar un elevado nivel común de ciberseguridad en
toda la Unión Europea (Directiva NIS2), establecen directrices claras sobre la
creación de órganos de gobierno y estructuras organizativas dedicadas a la
gestión de la ciberseguridad.
El Real
Decreto 311/2022, que actualiza el Esquema Nacional de Seguridad, obliga a las
administraciones públicas a adoptar un enfoque integral de seguridad basado en
la gestión de riesgos y en la mejora continua. Entre sus disposiciones, el
decreto establece la necesidad de contar con órganos específicos de gobierno,
como comités de seguridad, que tengan la responsabilidad de supervisar la
implementación de las políticas de seguridad, coordinar las respuestas ante
incidentes de seguridad y asegurar el cumplimiento de las medidas establecidas
en el ENS. Estos comités son esenciales para garantizar la gobernanza efectiva
de la ciberseguridad en todas las entidades del sector público.
Por otro
lado, la Directiva NIS2 refuerza los requisitos de gobernanza de la
ciberseguridad para los Estados miembros de la Unión Europea, promoviendo la
creación de estructuras organizativas que puedan coordinar y gestionar
eficazmente los riesgos de ciberseguridad. La directiva subraya la importancia
de establecer órganos de gestión y supervisión de la ciberseguridad, como
comités de seguridad de la información, que sean responsables de evaluar los
riesgos, desarrollar políticas de seguridad y responder a los incidentes
cibernéticos. Esta normativa, que actualiza y refuerza las medidas de la
anterior Directiva NIS, insiste en la necesidad de una gobernanza clara y
robusta que permita a las entidades públicas y privadas mejorar su resiliencia
frente a las ciberamenazas.
Además,
la Estrategia de Digitalización de la Comunidad de Madrid 2023-2026 establece
como uno de sus ejes estratégicos, el número 10, el fortalecimiento de la
seguridad digital en la administración pública. Este eje estratégico subraya la
importancia de garantizar la protección de los sistemas de información y la
ciberseguridad como pilares fundamentales para la transformación digital de la
región. En línea con este objetivo, se promueve la creación de órganos
específicos que aseguren una gestión eficiente y segura de la información, lo
que refuerza la necesidad de constituir un comité de seguridad dedicado.
En este
orden de cosas, el artículo 4 de la Ley
14/2023, de 20 de diciembre, por la que se crea la Agencia de
Ciberseguridad de la Comunidad de Madrid (en adelante, la Agencia de
Ciberseguridad), al establecer los órganos de gobierno de la Agencia de
Ciberseguridad, dispone que ésta contará con un Comité de Seguridad de la
Información cuya estructura, funciones y régimen de funcionamiento se
establecerá por Acuerdo de su Consejo de Administración, a propuesta de la
consejería competente en materia de digitalización.
En su
virtud, a propuesta de la Consejería de Digitalización, y previa reunión del
Consejo de Administración el día 28 de octubre de 2024,
ACUERDA
Primero. Objeto
Este
acuerdo tiene por objeto la creación y regulación del Comité de Seguridad de la
Información de la Agencia de Ciberseguridad de la Comunidad de Madrid (en
adelante, el Comité), en cumplimiento de lo dispuesto en el artículo 4 de la
Ley 14/2023, de 20 de diciembre, por la que se crea la Agencia de
Ciberseguridad de la Comunidad de Madrid.
El Comité
tiene como finalidad garantizar la protección de la seguridad de la información
y la ciberseguridad en el ámbito de aplicación establecido en el artículo 2 de
la Ley 14/2023, de 20 de diciembre, dando cuenta en todo caso al Consejo de
Administración y a su Presidente de las recomendaciones que adopte en el
ejercicio de sus funciones.
El Comité
se regirá por el marco de directrices y normas técnicas de seguridad de
cumplimiento obligatorio, aprobadas por el Consejo de Administración, de
acuerdo con lo dispuesto en el artículo 6.4.e) de la Ley 14/2023, de 20 de
diciembre.
Segundo. Naturaleza jurídica
El Comité
tiene naturaleza de comisión de trabajo de las reguladas en el artículo 22.3 de
la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
En lo no
previsto en este acuerdo, será de aplicación la regulación contenida en dicha
ley sobre el funcionamiento de los órganos colegiados.
Tercero. Funciones
El Comité
desempeñará las siguientes funciones:
a)
Establecer las condiciones para la implementación y supervisión del Sistema de
Gestión de Seguridad de la Información de la Comunidad de Madrid.
b)
Coordinar la evaluación de riesgos combinados y vulnerabilidades comunes de las
entidades de su ámbito de actuación.
c)
Participar en la respuesta a ciberincidentes, y facilitar la comunicación y
colaboración entre las entidades afectadas, dentro de su ámbito actuación.
d)
Establecer criterios sobre los programas de formación y actividades de
concienciación en materia de seguridad de la información y ciberseguridad para
los empleados de la administración pública regional.
e)
Fomentar el intercambio de experiencias y mejores prácticas en materia de
seguridad de la información y ciberseguridad de la Administración y el sector
público autonómico.
Cuarto. Composición
1. El
Comité estará compuesto por los siguientes miembros:
Presidente: El Presidente del Consejo de Administración de la Agencia de
Ciberseguridad.
Vicepresidente: El Consejero Delegado de la Agencia de Ciberseguridad.
Secretario: Un empleado público de la Agencia de Ciberseguridad cuyas funciones
estén relacionadas con los asuntos a tratar, designado por el Consejero
Delegado, con voz, pero sin voto.
Vocales:
La
persona titular de la dirección general competente en materia de Estrategia
Digital de la Consejería de Digitalización de la Comunidad de Madrid.
La
persona titular de la dirección general competente en materia de Salud Digital
de la Consejería de Digitalización de la Comunidad de Madrid.
La
persona titular de la Agencia para la Administración Digital de la Comunidad de
Madrid.
La
persona que ocupe el cargo de Responsable de Seguridad de la Información de la
Agencia de Seguridad y Emergencias Madrid 112.
La
persona que ocupe el cargo de Responsable de Seguridad de la Información de la
Agencia para la Administración Digital de la Comunidad de Madrid.
La
persona que ocupe el cargo de Responsable de Seguridad de la Información para
la Dirección General competente en sistemas de salud digital.
La
persona que ocupe el cargo de Responsable de Seguridad de la Información para
la Dirección General de Estrategia Digital.
La
persona titular de la Subdirección General de Operaciones de la Agencia de
Ciberseguridad de la Comunidad de Madrid.
La
persona titular de la Subdirección General de Servicios de la Agencia de
Ciberseguridad de la Comunidad de Madrid.
El Comité
podrá invitar a sus reuniones, con carácter consultivo y sin derecho a voto, a
representantes de otros organismos, entidades públicas o privadas, expertos en
ciberseguridad, y cualquier otro profesional cuya presencia se considere relevante
para los asuntos a tratar. La invitación de estas personas será acordada por el
Presidente en función de las necesidades específicas de cada reunión.
2. En
caso de vacante, ausencia, enfermedad u otra causa legal, los vocales podrán
ser suplidos por los titulares de las unidades que designen aquellos, al menos
con rango dentro del siguiente escalón jerárquico del órgano correspondiente.
Quinto. Grupos de Trabajo para la Seguridad
El Comité
contará con los Grupos de Trabajo para la Seguridad que establezca el Comité, a
propuesta del Consejero Delegado de la Agencia de Ciberseguridad.
Los
Grupos de Trabajo estarán formados por los Responsables de Seguridad de la
Información formalmente designados para el cumplimiento del Esquema Nacional de
Seguridad de los órganos y entidades dependientes de la Administración General
e Institucional de la Comunidad de Madrid, además de las entidades locales
madrileñas. En caso de no existir dicha designación, los representantes serán
aquellas personas que cuenten con la autoridad suficiente en materia de
ciberseguridad para desempeñar tales funciones.
Los
Grupos de Trabajo tendrán la responsabilidad de preparar y estudiar las
decisiones que posteriormente serán adoptadas por el Comité. Estos grupos
facilitarán la gestión operativa y la coordinación en la implementación de las
políticas de seguridad de la información y ciberseguridad, mejorando la
ejecución de las estrategias aprobadas, siempre bajo las directrices e
instrucciones del Comité.
Sexto. El Presidente
Corresponden
al Presidente las siguientes funciones:
a)
Representar al Comité.
b)
Acordar la convocatoria de las sesiones ordinarias y extraordinarias, así como
fijar el orden del día, teniendo en cuenta, en su caso, las peticiones de los
demás miembros, siempre que hayan sido formuladas con la suficiente antelación.
c)
Presidir las sesiones y moderar el desarrollo de las mismas.
d)
Asegurar el cumplimiento de las disposiciones legales y los acuerdos del
Observatorio.
e)
Ejercer cuantas otras funciones sean inherentes a su condición de Presidente.
Séptimo. Los vocales del Comité
Corresponden
a los vocales del Comité las siguientes funciones:
a)
Asistir a las reuniones y participar en los debates.
b)
Proponer al Presidente, a través del Secretario, la inclusión de puntos en el
orden del día de las sesiones ordinarias.
c)
Cuantas otras funciones sean inherentes a su condición.
Octavo. El Secretario.
Corresponden
al Secretario las siguientes funciones:
a)
Asistir, con voz, pero sin voto, a las reuniones.
b) Realizar
la convocatoria de las reuniones por orden del Presidente, así como efectuar y
recibir los actos de comunicación de los miembros del Comité, a través de
medios electrónicos.
c)
Levantar acta de las reuniones que se celebren.
d)
Garantizar que los procedimientos y reglas de constitución sean respetados.
e)
Cuantas otras funciones sean inherentes a la condición de Secretario o le sean
encomendadas por el Presidente.
Noveno. Funcionamiento
El Comité
celebrará dos sesiones ordinarias al año: una en el primer semestre y otra en
el segundo semestre de cada año. Podrá realizarse la convocatoria de sesiones
extraordinarias cuantas veces su Presidente lo considere necesario.
La
convocatoria de las sesiones del Comité, tanto ordinarias como extraordinarias,
será realizada por el Presidente con una antelación mínima de cinco días
hábiles para las sesiones ordinarias y de dos días hábiles para las sesiones
extraordinarias. El orden del día de cada sesión será fijado por el Presidente,
teniendo en cuenta en su caso las peticiones de los demás miembros siempre que
hubieran sido formuladas con la suficiente antelación. El Comité se reunirá
preferentemente mediante el uso de medios electrónicos.
Para la
válida constitución de las sesiones del Comité, se requerirá la asistencia,
presencial o a distancia, del Presidente y del Secretario, o en su caso, de
quienes les suplan, y la de al menos la mitad de sus miembros.
En las
sesiones de los Grupos de Trabajo, se requerirá la asistencia de al menos dos
terceras partes de sus miembros, y en todo caso la de un empleado de la Agencia
de Ciberseguridad para asegurar su coordinación.
Décimo. Régimen económico
1. La
creación y funcionamiento del Comité no supondrá incremento de gasto.
2. Los
miembros del Comité, así como los de los demás órganos previstos en este
acuerdo, cualquiera que sea su procedencia, no percibirán retribución económica
ni indemnización alguna por su pertenencia a la misma ni por la asistencia a
sus sesiones.
3. Las
personas que asistan a las sesiones del Comité en condición de invitados no
percibirán retribución económica ni indemnización alguna por su asistencia a
las sesiones ni por su intervención en las mismas.
Undécimo. Efectos
Este
acuerdo producirá efectos a partir del día siguiente al de su publicación en el
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.
Este documento no tiene valor
jurídico, solo informativo. Los textos con valor jurídico son los de la
publicación oficial.
