Proyecto de Decreto de Política de Seguridad Digital de la Junta de Andalucía

El desarrollo de las tecnologías de la información y las comunicaciones (TIC) ha generado un nuevo marco de relaciones que incrementa enormemente la rapidez y la facilidad de los intercambios de información. Conceptos de distancia y tiempo se redefinen en el entorno del denominado ciberespacio, y las barreras que pudieran presentar se difuminan. La revisión y transformación de las políticas de seguridad es necesaria en este contexto.

Dichas políticas, unidas a los procedimientos y a las medidas de seguridad, deben tener como finalidad afrontar las continuas y cada vez más peligrosas ciberamenazas que afectan a todos los sectores de la sociedad y tras las que se encuentra una intrincada amalgama de actores que van desde hacktivistas y organizaciones criminales hasta gobiernos. Su desarrollo debe realizarse mediante procesos formales y organizados de análisis y gestión de los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de la información.

La continua aparición de nuevas amenazas requiere disponer de una estrategia completa de seguridad, en permanente revisión, con actuaciones en diferentes ámbitos y orientada a crear un clima de confianza, ya que conceptos como privacidad, seguridad y riesgo están cada vez más extendidos en la sociedad, pero de una manera parcial y difusa, lo que genera sensación de indefensión y cierta alarma a empresas, consumidores y usuarios. La gestión de la seguridad de las TIC para lograr dicha confianza, que es elemento fundamental a la hora de aprovechar las nuevas tecnologías, y sobre todo Internet, como soporte esencial de la actividad económica y social, es una tarea compleja que precisa del compromiso de las administraciones, de las empresas y de la ciudadanía.

Ante esta situación, la Unión Europea aspira a reforzar sus normas sobre ciberseguridad para hacer frente a la creciente amenaza que plantean los ataques cibernéticos, así como para aprovechar las oportunidades que presenta la nueva era digital.

El 18 de octubre de 2018, el Consejo Europeo pidió medidas para fortalecer la ciberseguridad en la Unión Europea. Los dirigentes de la UE se refirieron, en particular, a las medidas restrictivas capaces de responder a los ciberataques y disuadir de que se cometan.

La base del compromiso renovado de la UE para luchar contra las ciberamenazas consiste en un conjunto de medidas de reforma sobre ciberseguridad que la Comisión Europea presentó en septiembre de 2017.

Esta reforma tiene por objeto basarse en las medidas establecidas en virtud de la Estrategia de Ciberseguridad y su pilar fundamental, la Directiva sobre seguridad de las redes y sistemas de información (Directiva NIS).

En el ámbito nacional, la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional en su reunión del día 12 de abril de 2019, plantea avanzar en el refuerzo de capacidades para hacer frente a las ciberamenazas y el uso malicioso del ciberespacio, promoviendo medidas que ayuden a garantizar la seguridad, con especial atención al sector público y los servicios esenciales, en un marco más coordinado y con estructuras de cooperación mejoradas.

En la Junta de Andalucía, la Consejería de Economía, Conocimiento, Empresas y Universidad, a través de la Secretaría General de Empresa, Innovación y Emprendimiento, y de acuerdo a lo establecido en el Decreto 104/2019, de 12 de febrero, por el que se regula la estructura orgánica de la Consejería de Economía, Conocimiento, Empresas y Universidad, tiene atribuidas, entre otras funciones y competencias, “la dirección e impulso de la política de telecomunicaciones y seguridad de los sistemas de información de la Administración de la Junta de Andalucía y del sector público andaluz, así como la coordinación de dicha política a través de su contratación centralizada” (artículo 5.2.f) y en particular “la coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía así como la gestión de los recursos comunes para la prevención, detección y respuesta a incidentes y amenazas de seguridad en el ámbito de la Administración de la Junta de Andalucía” (artículo 9.1.m).

El marco regulador de seguridad TIC en la Administración andaluza está conformado por el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones de la Junta de Andalucía, modificado por el decreto 70/2017, de 6 de junio, junto a las disposiciones y documentos técnicos que lo desarrollan.

Sin embargo, y debido a la rápida evolución de la normativa existente con incidencia en aspectos relacionados con la ciberseguridad y que afectan a las administraciones públicas, se hace conveniente la elaboración de un nuevo decreto que contemple los últimos cambios normativos.

En este sentido, la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión cuya transposición al ordenamiento jurídico nacional se ha materializado en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establecen las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos, teniendo especial importancia garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

Adicionalmente, existen otras normativas donde el aspecto de la ciberseguridad va adquiriendo mayor relevancia, sobre todo por la creciente convergencia entre el mundo físico y el mundo digital.

Cabe destacar la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas cuyo objeto consiste en establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las Administraciones Públicas en materia de protección de infraestructuras críticas, previa identificación y designación de las mismas, para mejorar la prevención, preparación y respuesta de nuestro Estado frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas.

Consciente de estos cambios normativos y de la necesidad de adaptar la organización y coordinación en materia de seguridad digital dentro de la Administración de la Comunidad Autónoma de Andalucía, el Comité de Seguridad TIC de la Junta de Andalucía, en su reunión ordinaria celebrada el día 23 de abril de 2019 y conforme al artículo 7.3.c del decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, modificado por el decreto 7072017, elevó propuesta de revisión del marco normativo de seguridad TIC al órgano competente para su reglamentaria tramitación.

En su virtud, y de conformidad con lo establecido en el artículo 27, apartados 1 y 23, de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, y previa deliberación, el Consejo de Gobierno, en su reunión del día 30 de abril de 2019, acordó instar al Consejero de Economía, Conocimiento, Empresas y Universidad a iniciar las actuaciones necesarias para la elaboración de un Proyecto de decreto que establezca la política de seguridad digital de la Junta de Andalucía.