Detalle nota de prensa - Comunica GVA
El Consell aprova el decret que establix la política i organització de la seguretat de la informació en l’Administració de la Generalitat
- La nova disposició suposa una revisió del marc normatiu ja existent i la seua adaptació a la regulació europea i espanyola
- El decret determina l’estructura organitzativa i detalla els rols assignats a ciberseguretat en les conselleries i el sector públic
El Consell ha aprovat el decret que regula i establix la política i l’organització de la seguretat de la informació en l’Administració de la Generalitat.
L’objecte del decret és aprovar la política de la seguretat de la informació, aplicable a l’Administració de la Generalitat, determinant la seua estructura i detallant les atribucions per a cada un dels rols que la conformen. Així mateix, mitjançant la nova disposició es reforça el compromís dels òrgans de direcció amb la governança de la seguretat.
El Decret 66/2012 i el Decret 130/2012 pel qual s’establien tant la política com l’organització de la seguretat de la informació de la Generalitat, respectivament, requerien una profunda revisió, a causa de les nombroses modificacions dutes a terme en el marc normatiu europeu i en l’espanyol.
Per esta raó, la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC), dependent de la Conselleria d’Hisenda i Economia, ha elaborat una nova disposició que aglutina tant la política com l’organització de la seguretat en tota l’Administració de la Generalitat. El decret és aplicable a la Presidència, les conselleries i les entitats del sector públic instrumental, només quan així ho determinen els òrgans competents en l’exercici de les potestats d’organització de la mateixa entitat.
A més, amb l’objectiu de facilitar l’organització de responsabilitats i rols dins de l’Administració, es faculta les conselleries amb competències en sanitat, educació i justícia perquè desenrotllen les disposicions necessàries per a establir l’organització de la seguretat de la informació en determinats àmbits de la seua competència.
Política de seguretat
L’adaptació de la política de la seguretat resultava necessària a causa dels importants canvis normatius produïts des del 2012, tant en l’àmbit de la Unió Europea com en l’estatal. A més, l’Estat ha aprovat una sèrie d’instruccions tècniques de seguretat que havien de ser tingudes en consideració i, també, en l’àmbit autonòmic s’han anat produint canvis rellevants.
El nou decret establix una política de seguretat d’acord amb la progressiva transformació digital de la societat i el nou escenari de ciberseguretat, propiciat per l’avanç de la tecnologia i l’evolució de les amenaces.
A més, té en compte l’estipulat en el Reial decret 311/2022, pel qual es regula l’Esquema Nacional de Seguretat, incloent una referència als principis rectors i als requisits mínims de seguretat, la missió de l’organització, el marc regulador, les directrius per a l’estructuració de la documentació de seguretat del sistema, la seua gestió i accés, els riscos derivats amb el tractament de dades personals, els rols o funcions de seguretat, definint, per a cada un, els seus deures i responsabilitats, així com el procediment per a la seua designació i renovació.
Organització de la ciberseguretat en la Generalitat i el seu sector públic
El decret s’ha configurat seguint les directrius de la Guia de seguretat de les TIC, editada pel Centre Criptològic Nacional, sobre responsabilitats i funcions en l’Esquema Nacional de Seguretat i definint exclusivament els rols de seguretat, ja que els rols de protecció de dades es designaran en un decret específic.
L’estructura organitzativa que definix el decret simplifica el model actualment vigent i involucra directament les conselleries i les entitats del sector públic instrumental en la governança de la seguretat.
En l’àmbit de govern, el decret acosta les responsabilitats de la informació i del servici als òrgans directius competents en la informació i funcionalitat de cada sistema d’informació.
En l’àmbit de supervisió, concentra la responsabilitat de la seguretat en l’òrgan de caràcter directiu que té atribuïda la competència sobre els servicis generals de cada conselleria i, si és el cas, en l’entitat del sector públic instrumental, com a agent clau per a coordinar tots els aspectes de la seguretat (física, jurídica, de recursos humans, administrativa, arxiu, comunicació, informació, privacitat i tecnologia).
En l’àmbit operatiu, assigna la responsabilitat del sistema a l’òrgan directiu competent en matèria de TIC, que gestiona l’explotació dels sistemes d’informació i designa directament els administradors de seguretat del sistema, i que considera l’administració de la seguretat com una part intrínseca de l’administració dels sistemes.
Respecte al Comité de Seguretat de la Informació, se suprimix com a tal, i assumirà la seguretat de la informació corporativa la ja existent Comissió Interdepartamental per a la Transformació Digital i Simplificació Administrativa a la Comunitat Valenciana (CITSA).
D’acord amb la Directiva 2022/2555 de la Unió Europea, coneguda com NIS2, el decret establix que, en cada entitat, els òrgans de direcció ostenten l’última responsabilitat en seguretat de la informació, la coordinació entre els diferents rols i la resolució de conflictes entre estos.
Quant a la coordinació global de la ciberseguretat en tota l’Administració de la Generalitat, s’atribuïx la totalitat de la gestió en ciberseguretat a la DGTIC.