El BOE ha publicado, el 1 de agosto, la Ley 7/2023 de creación de la Agencia Vasca de Ciberseguridad.
La finalidad de esta norma es la creación de un ente público de derecho privado, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines.
De este modo, se garantiza que el gobierno vasco disponga de las herramientas y recursos necesarios para afrontar las amenazas y riesgos en el ámbito de la ciberseguridad que se plantean en la actual sociedad de la información, en ejercicio de las competencias que le atribuye su estatuto de autonomía y, en particular, el artículo 17 del mismo, que establece que la competencia en materia de seguridad pública, concretamente en materias de policía y seguridad ciudadana, corresponde a la Comunidad Autónoma Vasca. La anterior competencia ha de entenderse integrada, a su vez, con otras, tales como las competencias en materias de emergencias y protección civil.
Todas estas competencias configuran un sistema general de seguridad propio. Sin embargo, dado que se trata de un fenómeno transfronterizo, se considera necesario la colaboración con las administraciones y agencias de otros territorios con el objetivo de minimizar los daños y el tiempo de recuperación en caso de ciberataque.
Naturaleza, objeto, funciones y competencias
Este nuevo organismo se configura como un ente público de derecho privado del sector público de la comunidad autonoma, con personalidad jurídica propia, que ajusta su actividad al ordenamiento jurídico privado, con plena capacidad de obrar para el cumplimiento de sus fines y con autonomía orgánica y funcional, adscrita al departamento competente en materia de seguridad a través de la persona titular de la Viceconsejería de Seguridad.
Objeto
La Agencia tiene como objeto promover y coordinar la ciberseguridad en el sector público vasco delimitado en la Ley 3/2022 del Sector Público Vasco, en el ámbito de la seguridad de los sistemas de información y de las redes electrónicas de competencia de dicho sector, y apoyar e impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la comunidad vasca, de su administración pública, de su ciudadanía y de su tejido empresarial.
Funciones
Entre sus funciones para el cumplimiento de su objetivo, corresponden a la Agencia:
Primero, promover una estrategia de ciberseguridad para el conjunto de las administraciones públicas de la Comunidad Autónoma Vasca, y potenciar y coordinar el alineamiento en la ciberseguridad en dicho conjunto.
Segundo, impulsar un marco de estándares, directrices y normas técnicas de seguridad recomendables para el sector público vasco.
Tercero, informar, con carácter preceptivo, en los procedimientos de elaboración de disposiciones normativas tramitadas por la administración vasca en materia de ciberseguridad.
Cuarto, realizar evaluaciones anuales de las políticas públicas en materia de ciberseguridad desplegadas en el ámbito del sector público vasco.
Quinto prevenir y detectar incidentes de ciberseguridad en la Comunidad Autónoma Vasca y responder a ellos, estableciendo criterios y promoviendo el despliegue de las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan, todo ello con respeto del marco competencial aplicable.
Sexto, recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en la comunidad vasca en relación con el estado de la seguridad de la información, prestando especial atención a los sistemas considerados como críticos para el funcionamiento de los servicios públicos o la seguridad de las personas, con vistas a informar al Gobierno Vasco, así como a las administraciones públicas del territorio que intervengan en la prestación de dichos servicios críticos y esenciales, y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad.
Séptimo, ejercer las funciones del equipo de respuesta a emergencias (CERT) dentro de las competencias de la comunidad autónoma. Dado que se trata de un fenómeno transfronterizo, es necesario colaborar con las administraciones y agencias de otros territorios con el objetivo de minimizar los daños y el tiempo de recuperación en caso de ciberataque.
Octavo, coordinar los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y los equipos de respuesta a emergencias o las entidades equivalentes que actúen en su ámbito de actuación y de acuerdo a la legislación vigente, estableciendo modelos de colaboración con otros CSIRT estatales e internacionales. Asimismo, la Agencia ejercerá funciones de alerta temprana y de ayuda en la respuesta ante amenazas, vulnerabilidades, ataques e incidentes de seguriddd en el ámbito del sector público vasco.
Noveno, investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información y servicios de tecnologías de la información.
Decimo, proponer medidas técnicas de ciberseguridad en la utilización de los recursos informáticos y de las comunicaciones existentes, y proponer la formación en estas medidas del personal de la administración vasca y del propio personal de la Agencia.
Y por último, apoyar e impulsar la capacitación en materia de ciberseguridad y el desarrollo digital seguro en el ámbito empresarial y en los sectores esenciales de la Comunidad Autónoma Vasca, como son el sector sanitario, el sector de emergencias y seguridad, el sector de servicios sociales y de intervención social, el sector educativo, el sector del transporte y el sector de la energía y las telecomunicaciones, o cualquier otro sector que pudiera considerarse sensible.
Órganos de gobierno
Corresponde al gobierno vasco aprobar, mediante decreto, los estatutos de la Agencia, los cuales deben determinar y regular las funciones de los órganos de gobierno, el funcionamiento del Consejo de Administración, la estructura orgánica interna y el régimen de funcionamiento de la Agencia.
La Dirección General de la Agencia será designada libremente por el gobierno vasco, a propuesta de la Presidencia del Consejo de Administración. La Dirección General de la Agencia será unipersonal y la persona designada tendrá el cargo de viceconsejero o viceconsejera del Gobierno Vasco.
La dirección de la Agencia contará con un consejo consultivo, cuyas funciones son: asesoramiento a los órganos de gobierno de la Agencia; emisión de informes sobre todas aquellas cuestiones que le sometan los órganos de gobierno de la Agencia, y la formulación de propuestas en temas relacionados con las materias de la competencia de la Agencia.
Régimen patrimonial y de personal
El personal de la Agencia está formado por: el personal propio, contratado en régimen de derecho laboral respetando los principios de igualdad, mérito y capacidad y el personal de la administración pública de la comunidad autónoma vasca.
La Agencia goza de la autonomía financiera establecida por la normativa de finanzas de la daministración de la comunidad. Además aprobará anualmente una memoria de actividades, que debe entregar al Gobierno y al Parlamento, y que el director o directora de la Agencia deberá presentar ante la comisión del Parlamento Vasco que resulte competente en materia de seguridad