El Consell aprueba el decreto que establece la política y organización de la seguridad de la información en la Administración de la Generalitat - Tecnologías de la Información y las Comunicaciones

El Consell ha aprobado el decreto que regula y establece la política y la organización de la seguridad de la información en la Administración de la Generalitat.

El objeto del decreto es aprobar la política de la seguridad de la información, aplicable a la Administración de la Generalitat, determinando su estructura y detallando las atribuciones para cada uno de los roles que la conforman. Asimismo, mediante la nueva disposición se refuerza el compromiso de los órganos de dirección con la gobernanza de la seguridad.

El Decreto 66/2012 y el Decreto 130/2012 por el que se establecían tanto la política como la organización de la seguridad de la información de la Generalitat, respectivamente, requerían una profunda revisión, debido a las numerosas modificaciones llevadas a cabo en el marco normativo europeo y en el español.

Por esta razón, la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), dependiente de la Conselleria de Hacienda y Economía, ha elaborado una nueva disposición que aglutina tanto la política como la organización de la seguridad en toda la Administración de la Generalitat. El decreto es aplicable a la Presidencia, las conselleries y las entidades del sector público instrumental, solo cuando así lo determinen los órganos competentes en el ejercicio de las potestades de organización de la propia entidad.

Además, con el objetivo de facilitar la organización de responsabilidades y roles dentro de la Administración, se faculta a las conselleries con competencias en sanidad, educación y justicia para que desarrollen las disposiciones necesarias para establecer la organización de la seguridad de la información en determinados ámbitos de su competencia.

Política de seguridad

La adaptación de la política de la seguridad resultaba necesaria debido a los importantes cambios normativos producidos desde 2012, tanto en el ámbito de la Unión Europea como en el estatal. Además, el Estado ha aprobado una serie de instrucciones técnicas de seguridad que debían ser tenidas en consideración y, también, a nivel autonómico se han ido produciendo cambios relevantes.

El nuevo decreto establece una política de seguridad acorde con la progresiva transformación digital de la sociedad y el nuevo escenario de ciberseguridad, propiciado por el avance de la tecnología y la evolución de las amenazas.

Además, tiene en cuenta lo estipulado en el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, incluyendo una referencia a los principios rectores y a los  requisitos  mínimos  de  seguridad,  la  misión  de  la  organización,  el  marco  regulatorio,  las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso, los riesgos derivados con el tratamiento de datos personales, los roles o funciones de seguridad, definiendo,  para  cada  uno,  sus  deberes  y  responsabilidades,  así  como  el  procedimiento  para  su designación y renovación.

Organización de la ciberseguridad en la Generalitat y su sector público

El decreto se ha configurado siguiendo las directrices de la Guía de Seguridad de las TIC, editada por el Centro Criptológico Nacional, sobre responsabilidades y funciones en el Esquema Nacional de Seguridad y definiendo exclusivamente los roles de seguridad, ya que los roles de protección de datos se designarán en un decreto específico.

La estructura organizativa que define el decreto simplifica el modelo actualmente vigente e involucra directamente a las conselleries y a las entidades del sector público instrumental en la gobernanza de la seguridad. 

En el nivel de gobierno, el decreto acerca las responsabilidades de la información y del servicio a los órganos directivos competentes en la información y funcionalidad de cada sistema de información.

En el nivel de supervisión, concentra la responsabilidad de la seguridad en el órgano de carácter directivo que tiene atribuida la competencia sobre los servicios generales de cada conselleria y, en su caso, en la entidad del sector público instrumental, como agente clave para coordinar todos los aspectos de la seguridad (física, jurídica, de recursos humanos, administrativa, archivo, comunicación, información, privacidad y tecnología). 

En el nivel operativo, asigna la responsabilidad del sistema al órgano directivo competente en materia de TIC, que gestiona la explotación de los sistemas de información y designa directamente a los administradores de seguridad del sistema, considerando la administración de la seguridad como una parte intrínseca de la administración de los sistemas. 

Respecto al Comité de Seguridad de la Información, se suprime como tal, asumiendo la seguridad de la información corporativa la ya existente Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA).

En consonancia con la Directiva 2022/2555 de la Unión Europea, conocida como NIS2, el decreto establece que, en cada entidad, los órganos de dirección ostentan la última responsabilidad en seguridad de la información, la coordinación entre los diferentes roles y la resolución de conflictos entre éstos.

En cuanto a la coordinación global de la ciberseguridad en toda la Administración de la Generalitat, se atribuye la totalidad de la gestión en ciberseguridad a la DGTIC.