Legalize
Legalize / España / Cataluña / Ley

Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña

Rango Ley
Publicación 2017-08-17
Estado Vigente
Comunidad Autónoma Cataluña
Departamento Comunidad Autónoma de Cataluña
Fuente BOE
Historial de reformas JSON API

Téngase en cuenta que, salvo lo indicado en el artículo 2, con motivo de la desestimación del recurso de inconstitucionalidad 5284/2017, se levanta la suspensión de la vigencia y aplicación de esta norma, por Sentencia del TC 142/2018, de 20 de diciembre. Ref. BOE-A-2019-959; suspensión que se produjo por providencia del TC de 28 de noviembre de 2017 Ref. BOE-A-2017-14162 y que se mantuvo por Auto del TC de 20 de marzo de 2018 Ref. BOE-A-2018-4236.

EL PRESIDENTE DE LA GENERALIDAD DE CATALUÑA

Sea notorio a todos los ciudadanos que el Parlamento de Cataluña ha aprobado y yo, en nombre del Rey y de acuerdo con lo que establece el artículo 65 del Estatuto de autonomía de Cataluña, promulgo la siguiente Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña

PREÁMBULO

La sociedad de la información se configura como una plataforma global para la libre circulación de la información, las ideas y el conocimiento, y los poderes públicos apuestan claramente por su implantación, utilizando cada día más las herramientas que tanto las administraciones como los prestadores de servicios ponen a su disposición. El uso cotidiano de las tecnologías de la información y la comunicación (TIC) y el tratamiento que realizan de la información las convierten en elementos esenciales para el actual desarrollo económico y la convivencia social. La dependencia, por tanto, de estas tecnologías, sistemas e información hace que resulten básicos para garantizar la continuidad de las actividades, para ofrecer seguridad jurídica en las acciones del ciudadano y el tráfico mercantil, y para garantizar el progreso y desarrollo social de los ciudadanos en esta sociedad de la información.

Sin embargo, varios retos y amenazas afectan al desarrollo de la sociedad de la información y ponen en peligro su seguridad. La interrelación y dependencia de las infraestructuras y los servicios de comunicaciones hacen que su protección ante ciberamenazas se haya convertido en un pilar básico.

Tanto en el ámbito nacional como en el internacional, puede detectarse que la actividad organizada en la red que tiene como objetivo perjudicar a acciones y servicios públicos de gobiernos y empresas privadas de relevancia notable se ha incrementado exponencialmente, así como el impacto de las acciones, que en muchos casos ha llegado a afectar a los servicios básicos para el buen funcionamiento de las administraciones y para la ciudadanía.

En los últimos tiempos, la beligerancia de las actuaciones en la red dirigidas hacia Cataluña, en general, y, concretamente, hacia la Administración de la Generalidad y sus servicios públicos, hace necesario abordar una actuación decidida para la protección de la información, las infraestructuras y los intereses de la Generalidad y de las personas e instituciones públicas y privadas de Cataluña.

La evolución en la motivación y complejidad de los ciberataques sitúan las infraestructuras esenciales de Cataluña como objetivo. Estas infraestructuras son necesarias para garantizar el correcto funcionamiento del Gobierno y de las administraciones públicas, y para la protección y el buen funcionamiento de los servicios básicos para la ciudadanía, o sea, los servicios que garantizan la seguridad y continuidad social básica, como, por ejemplo, los principales suministros o el apoyo a la movilidad y la red viaria. Por esta razón, es preciso garantizar la protección de estos servicios y deviene una prioridad velar por su ciberseguridad.

Uno de los principales objetivos del servicio público de ciberseguridad es la necesidad de investigar ciberataques en el ámbito de sus competencias. Actualmente Cataluña no tiene esta capacidad, que es imprescindible para garantizar la correcta protección de las personas públicas y privadas en el territorio de Cataluña y la coordinación eficiente con los cuerpos de seguridad cuando de estos incidentes puedan derivarse conductas ilícitas. Esta capacidad permitirá, además, apoyar a las autoridades competentes para que puedan ejercer mejor sus funciones públicas en la red. Este apoyo es imprescindible para garantizar que las autoridades puedan cumplir sus funciones con la máxima seguridad técnica y jurídica en el ámbito de la sociedad de la información.

Así, es preciso un equipo de respuesta a incidentes que gestione los incidentes de ciberseguridad que afecten al territorio de Cataluña y que tenga las competencias establecidas por la normativa de la sociedad de la información.

Para dar respuesta a estas necesidades, es preciso un organismo que, en el ámbito de las competencias de la Generalidad, vele por el cumplimiento de las funciones del servicio público de ciberseguridad y permita garantizar y aumentar el nivel de seguridad de las redes y los sistemas de información en Cataluña. Sus funciones deben basarse en la implantación de medidas de protección sobre la infraestructura pública y sus servicios, así como en la coordinación con los proveedores privados de servicios de la sociedad de la información para la consecución de sus objetivos.

Actualmente, la Generalidad cuenta con la Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), que es una entidad sin ánimo de lucro que tiene por objeto el establecimiento y seguimiento de los programas y planes de actuación necesarios para garantizar una sociedad de la información segura. El Centro de Seguridad de la Información de Cataluña es una herramienta para la generación de un tejido empresarial catalán de aplicaciones y servicios de seguridad de las tecnologías de la información y la comunicación que sea referente nacional e internacional. Las finalidades de las actividades y actuaciones de esta Fundación son el fomento y la promoción de la seguridad de las tecnologías de la información y la comunicación en el ámbito nacional, de acuerdo con los planes de actuación que se elaboren. La Fundación Centro de Seguridad de la Información de Cataluña, sin embargo, por su forma jurídica, no puede ejercer las funciones ni prestar el servicio público de ciberseguridad.

La afectación de los mencionados ataques cibernéticos da fundamento a la necesidad de abordar esta materia en el ámbito de Cataluña para dotar la ciudadanía, las empresas y las instituciones de un servicio de ciberseguridad público encargado de su protección y de llevar a cabo actuaciones y proporcionar información para reducir el impacto de estos ataques.

Así pues, la presente ley tiene como finalidad la disolución del Cesicat y la creación de una entidad de derecho público, la Agencia de Ciberseguridad de Cataluña, con personalidad jurídica propia, sometida al derecho privado, a la que se otorgan las funciones mencionadas. De esta forma, se garantiza que el Gobierno disponga de las herramientas necesarias para afrontar los riesgos y amenazas que plantea actualmente la plena integración a la sociedad de la información.

Este nuevo organismo puede ejercer las siguientes funciones, entre otras: desarrollar y liderar el servicio público de ciberseguridad necesario para la protección del territorio de Cataluña ante las amenazas actuales, coordinar la ciberseguridad entre los diferentes actores en el ámbito de Cataluña como responsable de esta materia, y garantizar la ciberseguridad de la Administración de la Generalidad y de su sector público, y, si procede, de las demás entidades e instituciones públicas de Cataluña, de los entes locales y de las personas físicas y jurídicas situadas en Cataluña.

Ante los riesgos que la ciberseguridad plantea a Cataluña y a sus instituciones, la falta de esta figura impedía gestionar correctamente los incidentes de carácter global que las afectan y coordinar los esfuerzos de los diferentes equipos que puedan tener conocimiento de ellos.

Para garantizar la necesaria actualización y adecuación de las medidas de protección para hacer frente a las amenazas, la Agencia de Ciberseguridad de Cataluña ejecuta los planes de actuación en materia de ciberseguridad que el Gobierno elabora y aprueba. La ejecución de estos planes garantiza que se desarrollen y apliquen las medidas necesarias para hacer frente a ciberataques y ciberamenazas, que se reduzca el riesgo y que se mejoren los niveles de ciberseguridad de la ciudadanía, las instituciones y las empresas.

Se modifica la Ley 29/2010, de 3 de agosto, del uso de los medios electrónicos en el sector público de Cataluña, para su adecuación a lo establecido por la presente ley.

La competencia de la Generalidad para la creación de la Agencia de Ciberseguridad de Cataluña viene dada por el artículo 150 del Estatuto de autonomía de Cataluña, de acuerdo con el cual corresponde a la Generalidad, en materia de organización de su Administración, la competencia exclusiva sobre la estructura, la regulación de los órganos y directivos públicos, el funcionamiento y la articulación territorial, y las diversas modalidades organizativas e instrumentales para la actuación administrativa.

El artículo 140.7 del propio Estatuto dispone que corresponde a la Generalidad, de acuerdo con la normativa del Estado, la competencia ejecutiva en materia de comunicaciones electrónicas, que incluye, en todo caso, promover la existencia de un conjunto mínimo de servicios de acceso universal.

De acuerdo con el artículo 121.1.a del Estatuto, corresponde a la Generalidad la competencia exclusiva en materia de comercio, que incluye, en todo caso, la ordenación administrativa del comercio electrónico.

De conformidad con el artículo 53 del propio Estatuto, los poderes públicos deben facilitar el conocimiento de la sociedad de la información y deben impulsar el acceso a la comunicación y a las tecnologías de la información, en condiciones de igualdad, en todos los ámbitos de la vida social, incluido el laboral; deben fomentar que estas tecnologías se pongan al servicio de las personas y no afecten negativamente a sus derechos, y deben garantizar la prestación de servicios mediante dichas tecnologías, de acuerdo con los principios de universalidad, continuidad y actualización.

Por otra parte, de acuerdo con el artículo 49 del Estatuto, los poderes públicos deben garantizar la protección de la seguridad y la defensa de los derechos y de los intereses legítimos de los consumidores y usuarios.

La presente ley responde también a la necesidad de dar cumplimiento a la Moción 75/X, de 13 de febrero de 2014, sobre las políticas de impulso de las tecnologías de la información y de la comunicación, en la que el Parlamento insta al Gobierno a adoptar la forma jurídica más adecuada para llevar a cabo las funciones asignadas al Centro de Seguridad de la Información de Cataluña y a garantizar el escrutinio público y el control parlamentario de la actividad de este organismo. También responde a la necesidad de dar cumplimiento a la Resolución 535/X, de 19 de febrero de 2014, sobre la modificación de los estatutos del Centro de Seguridad de la Información de Cataluña, en que el Parlamento insta al Gobierno a reconvertir el Centro de Seguridad de la Información de Cataluña en una agencia gubernamental.

CAPÍTULO I

Disposiciones generales

Artículo 1. Creación, naturaleza jurídica y régimen jurídico.

1.

Se crea la Agencia de Ciberseguridad de Cataluña, como entidad de derecho público de la Administración de la Generalidad, con personalidad jurídica propia, que ajusta su actividad al ordenamiento jurídico privado, con plena capacidad de obrar para el cumplimiento de sus fines y con plena autonomía orgánica y funcional, adscrita al departamento competente en materia de ciberseguridad y sociedad digital.

2.

La Agencia de Ciberseguridad de Cataluña se rige por la presente ley y por sus estatutos, por el Estatuto de la empresa pública catalana y por las demás leyes y disposiciones que le son de aplicación.

3.

La actividad de la Agencia de Ciberseguridad de Cataluña se ajusta, con carácter general, en sus relaciones externas, a las normas de derecho civil, mercantil y laboral que le son de aplicación, salvo los actos que implican el ejercicio de potestades públicas, que se someten al derecho administrativo. La Agencia, en sus relaciones con el departamento al que se adscribe, se somete al derecho administrativo.

4.

Las funciones que la presente ley atribuye a la Agencia de Ciberseguridad de Cataluña tienen la consideración de esenciales y son básicas para garantizar el correcto funcionamiento de la Administración de la Generalidad y su sector público.

Artículo 2. Objeto y funciones.

1.

(Anulado).

2.

La Agencia de Ciberseguridad de Cataluña tiene por objetivo la ejecución de las políticas públicas en materia de ciberseguridad, y en particular:

a)

Asesorar al Gobierno y prestarle apoyo en la elaboración de los planes de ciberseguridad que debe aprobar y en la consecución de los objetivos establecidos en estos planes.

b)

Ejecutar los planes de ciberseguridad que en cada momento estén vigentes.

c)

Coordinarse con otros organismos en todo lo que se considere necesario para la consecución de los objetivos especificados en los planes de ciberseguridad.

d)

Organizar las actividades de difusión, formación y concienciación en materia de ciberseguridad adecuadas a los diferentes colectivos destinatarios, poniendo especial énfasis en los que presentan situaciones de vulnerabilidad y facilitando las herramientas y los programas adecuados.

e)

Impulsar un clima de confianza y seguridad que contribuya al desarrollo de la economía y la sociedad digital en Cataluña.

3.

La Agencia de Ciberseguridad de Cataluña, en la ejecución de los objetivos a que se refiere el apartado 2, puede ejercer sus funciones con relación a las personas físicas o jurídicas situadas en Cataluña y establecer la colaboración necesaria con los prestadores de servicios de la sociedad de la información y de comunicaciones electrónicas que actúen o tengan infraestructura en Cataluña.

4.

Las funciones de la Agencia de Ciberseguridad de Cataluña son las siguientes:

a)

Prevenir y detectar incidentes de ciberseguridad en Cataluña y responder a ellos, desplegando las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan.

b)

Planificar, gestionar, coordinar y supervisar la ciberseguridad en Cataluña, estableciendo la capacidad preventiva y reactiva necesaria para paliar los efectos de los incidentes de ciberseguridad que afecten al territorio de Cataluña, así como las pruebas que puedan organizarse en materia de ciberseguridad y continuidad. En el ámbito de la Administración de la Generalidad y su sector público, la Agencia debe ejercer estas funciones mediante la prestación de sus servicios, coordinando las actuaciones que requieran su apoyo con el Centro de Telecomunicaciones y Tecnologías de la Información.

c)

Ejercer las funciones de equipo de respuesta a emergencias (CERT) competente en Cataluña que establece la legislación vigente, en particular la normativa de servicios de la sociedad de la información, incluyendo la relación con otros organismos de ciberseguridad nacionales e internacionales, y la coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial. Asimismo, debe ejercer estas funciones como equipo de respuesta a emergencias del Gobierno.

d)

Minimizar los daños y el tiempo de recuperación en caso de ciberataque.

e)

Actuar como apoyo, en materia de ciberseguridad, de cualquier autoridad competente para el ejercicio de sus funciones públicas y, en particular, en las tareas de lucha contra las conductas ilícitas, incluidas la intervención directa y la obtención de pruebas electrónicas. En la investigación y represión de ilícitos penales, la Agencia debe colaborar con los cuerpos policiales y las autoridades judiciales de acuerdo con lo establecido por la normativa vigente, previo requerimiento, actuando de forma coordinada, y preservando y poniendo a su disposición los elementos relevantes para la investigación y los que puedan constituir una prueba.

f)

Investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia.

g)

Recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en Cataluña para conocer el estado de la seguridad de la información, informar al Gobierno y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad.

h)

Apoyar a los responsables de la continuidad de los servicios e infraestructuras de las tecnologías de la información y la comunicación de la Generalidad y de las demás administraciones públicas que lo requieran.

5.

Son funciones de la Agencia de Ciberseguridad de Cataluña, en el ámbito del Gobierno y de la Administración de la Generalidad y su sector público dependiente, las siguientes:

La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.