Art. [preambulo]
En vigor desde 1 ago 2017
EL PRESIDENTE DE LA GENERALIDAD DE CATALUÑA
Sea notorio a todos los ciudadanos que el Parlamento de Cataluña ha aprobado y yo, en nombre del Rey y de acuerdo con lo que establece el artículo 65 del Estatuto de autonomía de Cataluña, promulgo la siguiente Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña
PREÁMBULO
La sociedad de la información se configura como una plataforma global para la libre circulación de la información, las ideas y el conocimiento, y los poderes públicos apuestan claramente por su implantación, utilizando cada día más las herramientas que tanto las administraciones como los prestadores de servicios ponen a su disposición. El uso cotidiano de las tecnologías de la información y la comunicación (TIC) y el tratamiento que realizan de la información las convierten en elementos esenciales para el actual desarrollo económico y la convivencia social. La dependencia, por tanto, de estas tecnologías, sistemas e información hace que resulten básicos para garantizar la continuidad de las actividades, para ofrecer seguridad jurídica en las acciones del ciudadano y el tráfico mercantil, y para garantizar el progreso y desarrollo social de los ciudadanos en esta sociedad de la información.
Sin embargo, varios retos y amenazas afectan al desarrollo de la sociedad de la información y ponen en peligro su seguridad. La interrelación y dependencia de las infraestructuras y los servicios de comunicaciones hacen que su protección ante ciberamenazas se haya convertido en un pilar básico.
Tanto en el ámbito nacional como en el internacional, puede detectarse que la actividad organizada en la red que tiene como objetivo perjudicar a acciones y servicios públicos de gobiernos y empresas privadas de relevancia notable se ha incrementado exponencialmente, así como el impacto de las acciones, que en muchos casos ha llegado a afectar a los servicios básicos para el buen funcionamiento de las administraciones y para la ciudadanía.
En los últimos tiempos, la beligerancia de las actuaciones en la red dirigidas hacia Cataluña, en general, y, concretamente, hacia la Administración de la Generalidad y sus servicios públicos, hace necesario abordar una actuación decidida para la protección de la información, las infraestructuras y los intereses de la Generalidad y de las personas e instituciones públicas y privadas de Cataluña.
La evolución en la motivación y complejidad de los ciberataques sitúan las infraestructuras esenciales de Cataluña como objetivo. Estas infraestructuras son necesarias para garantizar el correcto funcionamiento del Gobierno y de las administraciones públicas, y para la protección y el buen funcionamiento de los servicios básicos para la ciudadanía, o sea, los servicios que garantizan la seguridad y continuidad social básica, como, por ejemplo, los principales suministros o el apoyo a la movilidad y la red viaria. Por esta razón, es preciso garantizar la protección de estos servicios y deviene una prioridad velar por su ciberseguridad.
Uno de los principales objetivos del servicio público de ciberseguridad es la necesidad de investigar ciberataques en el ámbito de sus competencias. Actualmente Cataluña no tiene esta capacidad, que es imprescindible para garantizar la correcta protección de las personas públicas y privadas en el territorio de Cataluña y la coordinación eficiente con los cuerpos de seguridad cuando de estos incidentes puedan derivarse conductas ilícitas. Esta capacidad permitirá, además, apoyar a las autoridades competentes para que puedan ejercer mejor sus funciones públicas en la red. Este apoyo es imprescindible para garantizar que las autoridades puedan cumplir sus funciones con la máxima seguridad técnica y jurídica en el ámbito de la sociedad de la información.
Así, es preciso un equipo de respuesta a incidentes que gestione los incidentes de ciberseguridad que afecten al territorio de Cataluña y que tenga las competencias establecidas por la normativa de la sociedad de la información.
Para dar respuesta a estas necesidades, es preciso un organismo que, en el ámbito de las competencias de la Generalidad, vele por el cumplimiento de las funciones del servicio público de ciberseguridad y permita garantizar y aumentar el nivel de seguridad de las redes y los sistemas de información en Cataluña. Sus funciones deben basarse en la implantación de medidas de protección sobre la infraestructura pública y sus servicios, así como en la coordinación con los proveedores privados de servicios de la sociedad de la información para la consecución de sus objetivos.
Actualmente, la Generalidad cuenta con la Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), que es una entidad sin ánimo de lucro que tiene por objeto el establecimiento y seguimiento de los programas y planes de actuación necesarios para garantizar una sociedad de la información segura. El Centro de Seguridad de la Información de Cataluña es una herramienta para la generación de un tejido empresarial catalán de aplicaciones y servicios de seguridad de las tecnologías de la información y la comunicación que sea referente nacional e internacional. Las finalidades de las actividades y actuaciones de esta Fundación son el fomento y la promoción de la seguridad de las tecnologías de la información y la comunicación en el ámbito nacional, de acuerdo con los planes de actuación que se elaboren. La Fundación Centro de Seguridad de la Información de Cataluña, sin embargo, por su forma jurídica, no puede ejercer las funciones ni prestar el servicio público de ciberseguridad.
La afectación de los mencionados ataques cibernéticos da fundamento a la necesidad de abordar esta materia en el ámbito de Cataluña para dotar la ciudadanía, las empresas y las instituciones de un servicio de ciberseguridad público encargado de su protección y de llevar a cabo actuaciones y proporcionar información para reducir el impacto de estos ataques.
Así pues, la presente ley tiene como finalidad la disolución del Cesicat y la creación de una entidad de derecho público, la Agencia de Ciberseguridad de Cataluña, con personalidad jurídica propia, sometida al derecho privado, a la que se otorgan las funciones mencionadas. De esta forma, se garantiza que el Gobierno disponga de las herramientas necesarias para afrontar los riesgos y amenazas que plantea actualmente la plena integración a la sociedad de la información.
Este nuevo organismo puede ejercer las siguientes funciones, entre otras: desarrollar y liderar el servicio público de ciberseguridad necesario para la protección del territorio de Cataluña ante las amenazas actuales, coordinar la ciberseguridad entre los diferentes actores en el ámbito de Cataluña como responsable de esta materia, y garantizar la ciberseguridad de la Administración de la Generalidad y de su sector público, y, si procede, de las demás entidades e instituciones públicas de Cataluña, de los entes locales y de las personas físicas y jurídicas situadas en Cataluña.
Ante los riesgos que la ciberseguridad plantea a Cataluña y a sus instituciones, la falta de esta figura impedía gestionar correctamente los incidentes de carácter global que las afectan y coordinar los esfuerzos de los diferentes equipos que puedan tener conocimiento de ellos.
Para garantizar la necesaria actualización y adecuación de las medidas de protección para hacer frente a las amenazas, la Agencia de Ciberseguridad de Cataluña ejecuta los planes de actuación en materia de ciberseguridad que el Gobierno elabora y aprueba. La ejecución de estos planes garantiza que se desarrollen y apliquen las medidas necesarias para hacer frente a ciberataques y ciberamenazas, que se reduzca el riesgo y que se mejoren los niveles de ciberseguridad de la ciudadanía, las instituciones y las empresas.
Se modifica la Ley 29/2010, de 3 de agosto, del uso de los medios electrónicos en el sector público de Cataluña, para su adecuación a lo establecido por la presente ley.
La competencia de la Generalidad para la creación de la Agencia de Ciberseguridad de Cataluña viene dada por el artículo 150 del Estatuto de autonomía de Cataluña, de acuerdo con el cual corresponde a la Generalidad, en materia de organización de su Administración, la competencia exclusiva sobre la estructura, la regulación de los órganos y directivos públicos, el funcionamiento y la articulación territorial, y las diversas modalidades organizativas e instrumentales para la actuación administrativa.
El artículo 140.7 del propio Estatuto dispone que corresponde a la Generalidad, de acuerdo con la normativa del Estado, la competencia ejecutiva en materia de comunicaciones electrónicas, que incluye, en todo caso, promover la existencia de un conjunto mínimo de servicios de acceso universal.
De acuerdo con el artículo 121.1.a del Estatuto, corresponde a la Generalidad la competencia exclusiva en materia de comercio, que incluye, en todo caso, la ordenación administrativa del comercio electrónico.
De conformidad con el artículo 53 del propio Estatuto, los poderes públicos deben facilitar el conocimiento de la sociedad de la información y deben impulsar el acceso a la comunicación y a las tecnologías de la información, en condiciones de igualdad, en todos los ámbitos de la vida social, incluido el laboral; deben fomentar que estas tecnologías se pongan al servicio de las personas y no afecten negativamente a sus derechos, y deben garantizar la prestación de servicios mediante dichas tecnologías, de acuerdo con los principios de universalidad, continuidad y actualización.
Por otra parte, de acuerdo con el artículo 49 del Estatuto, los poderes públicos deben garantizar la protección de la seguridad y la defensa de los derechos y de los intereses legítimos de los consumidores y usuarios.
La presente ley responde también a la necesidad de dar cumplimiento a la Moción 75/X, de 13 de febrero de 2014, sobre las políticas de impulso de las tecnologías de la información y de la comunicación, en la que el Parlamento insta al Gobierno a adoptar la forma jurídica más adecuada para llevar a cabo las funciones asignadas al Centro de Seguridad de la Información de Cataluña y a garantizar el escrutinio público y el control parlamentario de la actividad de este organismo. También responde a la necesidad de dar cumplimiento a la Resolución 535/X, de 19 de febrero de 2014, sobre la modificación de los estatutos del Centro de Seguridad de la Información de Cataluña, en que el Parlamento insta al Gobierno a reconvertir el Centro de Seguridad de la Información de Cataluña en una agencia gubernamental.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es-ct/l/2017/07/25/15#preambulo-pr