T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-8217)
Pleno. Sentencia 10/2023, de 23 de febrero de 2023. Recurso de inconstitucionalidad 718-2020. Interpuesto por el Gobierno de la Generalitat de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: extinción parcial del proceso, constitucionalidad de los preceptos que modifican disposiciones legales relativas a la administración y firma electrónica e intervención, seguridad y disciplina de redes y servicios de comunicaciones.
45 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47838
(iii) El art 7 del Real Decreto-ley 14/2019 modifica el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información, introduciendo un
apartado 3 en el art. 11 del siguiente tenor literal:
«El Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la
respuesta técnica de los equipos de respuesta a incidentes de seguridad informática
(CSIRT) en materia de seguridad de las redes y sistemas de información del sector
público comprendido en la Ley 39/2015, de 1 de octubre, del procedimiento
administrativo común de las administraciones públicas, y en la Ley 40/2015, de 1 de
octubre, de régimen jurídico del sector público.
Los CSIRT de las administraciones públicas consultarán, cuando proceda, con los
órganos con competencias en materia de seguridad nacional, seguridad pública,
seguridad ciudadana y protección de datos de carácter personal y colaborarán con ellos
en el ejercicio de sus respectivas funciones.
El CCN ejercerá la función de enlace para garantizar la cooperación transfronteriza
de los CSIRT de las administraciones públicas con los CSIRT internacionales, en la
respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan.»
En la demanda se argumenta que este precepto desconoce las competencias
autonómicas en relación con los incidentes de seguridad que se refieran a servicios en el
ámbito de competencias autonómico, con lo que se vulneran los arts. 150 y 159 EAC y
se desconoce la doctrina de la STC 142/2018, de 20 de diciembre, en relación a la
Agencia Catalana de Ciberseguridad. El abogado del Estado ha negado la vulneración
denunciada señalando que esta coordinación ya se establecía tanto en el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información,
como en el esquema nacional de seguridad en la administración electrónica aprobado en
el año 2010, lo que encuentra justificación en las competencias exclusivas en materia de
comunicaciones (art. 149.1.21 CE) y de seguridad pública (art. 149.1.29 CE), sin que
menoscabe las competencias autonómicas para crear centros de soporte ante incidentes
en el ámbito de su sector público.
El Real Decreto-ley 12/2018 ahora modificado tiene, entre otros objetivos, el de
trasponer al derecho español la Directiva (UE) 2016/1148, del Parlamento Europeo y del
Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado
nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva
NIS, por las siglas Network and Information Systems). Esta norma persigue regular la
seguridad de las redes y sistemas de información utilizados para la provisión de los
servicios esenciales y de los servicios digitales y establecer un sistema de notificación de
incidentes. Además, establece un marco institucional para su aplicación y la coordinación
entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito
comunitario. El real decreto-ley se aplica a los servicios esenciales dependientes de las
redes y sistemas de información comprendidos en los sectores estratégicos definidos en
el anexo de la Ley 8/2011, así como a los servicios de la sociedad de la información en el
sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de
la sociedad de la información y de comercio electrónico. La norma identifica los sectores
en los que es necesario garantizar la protección de las redes y sistemas de información,
y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos
sectores, así como los principales operadores que prestan dichos servicios.
Conforme a su art. 1, tiene por objeto regular la seguridad de las redes y sistemas de
información utilizados para la provisión de los servicios esenciales y de los servicios
digitales, y establecer un sistema de notificación de incidentes. En lo que a esto último
respecta, desarrolla la red CSIRT (por sus siglas en inglés de Computer Security Incident
Response Team) creada por la Directiva NIS, definiendo a dichos organismos como los
equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a escala
nacional (definido como suceso inesperado o no deseado con consecuencias en
detrimento de la seguridad de las redes y sistemas de información), difunden alertas
sobre ellos y aportan soluciones para mitigar sus efectos (arts. 11 y 12). El art. 11.1 a) 1
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47838
(iii) El art 7 del Real Decreto-ley 14/2019 modifica el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información, introduciendo un
apartado 3 en el art. 11 del siguiente tenor literal:
«El Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la
respuesta técnica de los equipos de respuesta a incidentes de seguridad informática
(CSIRT) en materia de seguridad de las redes y sistemas de información del sector
público comprendido en la Ley 39/2015, de 1 de octubre, del procedimiento
administrativo común de las administraciones públicas, y en la Ley 40/2015, de 1 de
octubre, de régimen jurídico del sector público.
Los CSIRT de las administraciones públicas consultarán, cuando proceda, con los
órganos con competencias en materia de seguridad nacional, seguridad pública,
seguridad ciudadana y protección de datos de carácter personal y colaborarán con ellos
en el ejercicio de sus respectivas funciones.
El CCN ejercerá la función de enlace para garantizar la cooperación transfronteriza
de los CSIRT de las administraciones públicas con los CSIRT internacionales, en la
respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan.»
En la demanda se argumenta que este precepto desconoce las competencias
autonómicas en relación con los incidentes de seguridad que se refieran a servicios en el
ámbito de competencias autonómico, con lo que se vulneran los arts. 150 y 159 EAC y
se desconoce la doctrina de la STC 142/2018, de 20 de diciembre, en relación a la
Agencia Catalana de Ciberseguridad. El abogado del Estado ha negado la vulneración
denunciada señalando que esta coordinación ya se establecía tanto en el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información,
como en el esquema nacional de seguridad en la administración electrónica aprobado en
el año 2010, lo que encuentra justificación en las competencias exclusivas en materia de
comunicaciones (art. 149.1.21 CE) y de seguridad pública (art. 149.1.29 CE), sin que
menoscabe las competencias autonómicas para crear centros de soporte ante incidentes
en el ámbito de su sector público.
El Real Decreto-ley 12/2018 ahora modificado tiene, entre otros objetivos, el de
trasponer al derecho español la Directiva (UE) 2016/1148, del Parlamento Europeo y del
Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado
nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva
NIS, por las siglas Network and Information Systems). Esta norma persigue regular la
seguridad de las redes y sistemas de información utilizados para la provisión de los
servicios esenciales y de los servicios digitales y establecer un sistema de notificación de
incidentes. Además, establece un marco institucional para su aplicación y la coordinación
entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito
comunitario. El real decreto-ley se aplica a los servicios esenciales dependientes de las
redes y sistemas de información comprendidos en los sectores estratégicos definidos en
el anexo de la Ley 8/2011, así como a los servicios de la sociedad de la información en el
sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de
la sociedad de la información y de comercio electrónico. La norma identifica los sectores
en los que es necesario garantizar la protección de las redes y sistemas de información,
y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos
sectores, así como los principales operadores que prestan dichos servicios.
Conforme a su art. 1, tiene por objeto regular la seguridad de las redes y sistemas de
información utilizados para la provisión de los servicios esenciales y de los servicios
digitales, y establecer un sistema de notificación de incidentes. En lo que a esto último
respecta, desarrolla la red CSIRT (por sus siglas en inglés de Computer Security Incident
Response Team) creada por la Directiva NIS, definiendo a dichos organismos como los
equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a escala
nacional (definido como suceso inesperado o no deseado con consecuencias en
detrimento de la seguridad de las redes y sistemas de información), difunden alertas
sobre ellos y aportan soluciones para mitigar sus efectos (arts. 11 y 12). El art. 11.1 a) 1
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
