I. Disposiciones generales. COMUNIDAD DE MADRID. Organización. (BOE-A-2024-5611)
Ley 14/2023, de 20 de diciembre, por la que se crea la Agencia de Ciberseguridad de la Comunidad de Madrid.
12 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 21 de marzo de 2024
Sec. I. Pág. 33007
autonómica por medios electrónicos, en aras a la consecución de los objetivos
especificados en las políticas de ciberseguridad, en particular promoviendo y colaborando
en el intercambio de información sobre incidentes y desarrollo de buenas prácticas.
La Agencia de Ciberseguridad servirá a la Comunidad de Madrid para prestar apoyo
a las entidades locales de la región, especialmente las enunciadas por el artículo 36.1.g),
para que sean capaces de responder a sus responsabilidades en materia de
ciberseguridad, tal y como está establecido en la Ley 7/1985, de 2 de abril, Reguladora
de las Bases de Régimen Local.
En definitiva, se trata de dotar a la Comunidad de Madrid de un organismo que actúe
como catalizador de una cultura de ciberseguridad que genere un clima de confianza y
seguridad que contribuya al desarrollo de la economía y la sociedad digital.
La Agencia en su ámbito de competencia definirá y promoverá la aplicación de
políticas públicas en materia de ciberseguridad siguiendo lo establecido en las
legislaciones nacional y europea. Igualmente se guiará por los principios éticos en el
ámbito de sus competencias.
El 27 de diciembre de 2022 se publicó la Directiva NIS2 (UE) 2022/2555 del
Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas
destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por
la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por
la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Esta Directiva establece
obligaciones de ciberseguridad, medidas para la gestión de riesgos de ciberseguridad y
obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones
relativas al intercambio de información sobre ciberseguridad, así como obligaciones de
supervisión y ejecución para las diferentes administraciones.
Del mismo modo, la Estrategia de Seguridad Nacional 2021, aprobada el 28 de
diciembre por el Consejo de Ministros, establece como una de las prioridades la puesta
en marcha de una plataforma nacional de notificación y seguimiento de ciberincidentes
liderada por el CCN-CERT, que coordina el Grupo de Trabajo de Seguridad de la
Conferencia Sectorial de Administración electrónica y que formará parte la Comunidad
de Madrid a través de la creación de la Agencia de Ciberseguridad de la Comunidad de
Madrid.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a
la seguridad entre los principios de actuación de las Administraciones Públicas y recoge
el Esquema Nacional de Seguridad (en adelante ENS), de aplicación a todo el sector
público, que ofrece un planteamiento común de principios, requisitos y medidas de
seguridad.
El ENS proporciona al sector público en España un planteamiento común de
seguridad para la protección de la información que maneja y los servicios que presta;
impulsa la gestión continuada de la seguridad, imprescindible para la transformación
digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y
proporciona un conjunto de requisitos uniforme a la industria, constituyendo también un
referente de buenas prácticas.
Mediante la creación de esta Agencia de Ciberseguridad se dota a la Administración
autonómica madrileña de un ente encargado de ayudar y cooperar en el cumplimiento
del Esquema Nacional de Seguridad, en los términos previstos en el artículo 156 de la
Ley 40/2015, de 1 de octubre.
La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por la
Comunidad de Madrid en su Estatuto de Autonomía, aprobado por Ley Orgánica 3/1983,
de 25 de febrero. Concretamente, el artículo 26.1.1 le atribuye competencias exclusivas en
materia de organización, régimen y funcionamiento de sus instituciones de autogobierno y el
artículo 26.1.3 le atribuye el procedimiento administrativo derivado de las especialidades de
la organización propia. Al mismo tiempo, el artículo 7, además de reconocer a los
ciudadanos de Madrid como titulares de los derechos y deberes fundamentales
establecidos en la Constitución, señala que los poderes públicos madrileños asumen, en el
marco de sus competencias, entre otros principios rectores de su política, la promoción de
cve: BOE-A-2024-5611
Verificable en https://www.boe.es
Núm. 71
Jueves 21 de marzo de 2024
Sec. I. Pág. 33007
autonómica por medios electrónicos, en aras a la consecución de los objetivos
especificados en las políticas de ciberseguridad, en particular promoviendo y colaborando
en el intercambio de información sobre incidentes y desarrollo de buenas prácticas.
La Agencia de Ciberseguridad servirá a la Comunidad de Madrid para prestar apoyo
a las entidades locales de la región, especialmente las enunciadas por el artículo 36.1.g),
para que sean capaces de responder a sus responsabilidades en materia de
ciberseguridad, tal y como está establecido en la Ley 7/1985, de 2 de abril, Reguladora
de las Bases de Régimen Local.
En definitiva, se trata de dotar a la Comunidad de Madrid de un organismo que actúe
como catalizador de una cultura de ciberseguridad que genere un clima de confianza y
seguridad que contribuya al desarrollo de la economía y la sociedad digital.
La Agencia en su ámbito de competencia definirá y promoverá la aplicación de
políticas públicas en materia de ciberseguridad siguiendo lo establecido en las
legislaciones nacional y europea. Igualmente se guiará por los principios éticos en el
ámbito de sus competencias.
El 27 de diciembre de 2022 se publicó la Directiva NIS2 (UE) 2022/2555 del
Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas
destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por
la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por
la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Esta Directiva establece
obligaciones de ciberseguridad, medidas para la gestión de riesgos de ciberseguridad y
obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones
relativas al intercambio de información sobre ciberseguridad, así como obligaciones de
supervisión y ejecución para las diferentes administraciones.
Del mismo modo, la Estrategia de Seguridad Nacional 2021, aprobada el 28 de
diciembre por el Consejo de Ministros, establece como una de las prioridades la puesta
en marcha de una plataforma nacional de notificación y seguimiento de ciberincidentes
liderada por el CCN-CERT, que coordina el Grupo de Trabajo de Seguridad de la
Conferencia Sectorial de Administración electrónica y que formará parte la Comunidad
de Madrid a través de la creación de la Agencia de Ciberseguridad de la Comunidad de
Madrid.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a
la seguridad entre los principios de actuación de las Administraciones Públicas y recoge
el Esquema Nacional de Seguridad (en adelante ENS), de aplicación a todo el sector
público, que ofrece un planteamiento común de principios, requisitos y medidas de
seguridad.
El ENS proporciona al sector público en España un planteamiento común de
seguridad para la protección de la información que maneja y los servicios que presta;
impulsa la gestión continuada de la seguridad, imprescindible para la transformación
digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y
proporciona un conjunto de requisitos uniforme a la industria, constituyendo también un
referente de buenas prácticas.
Mediante la creación de esta Agencia de Ciberseguridad se dota a la Administración
autonómica madrileña de un ente encargado de ayudar y cooperar en el cumplimiento
del Esquema Nacional de Seguridad, en los términos previstos en el artículo 156 de la
Ley 40/2015, de 1 de octubre.
La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por la
Comunidad de Madrid en su Estatuto de Autonomía, aprobado por Ley Orgánica 3/1983,
de 25 de febrero. Concretamente, el artículo 26.1.1 le atribuye competencias exclusivas en
materia de organización, régimen y funcionamiento de sus instituciones de autogobierno y el
artículo 26.1.3 le atribuye el procedimiento administrativo derivado de las especialidades de
la organización propia. Al mismo tiempo, el artículo 7, además de reconocer a los
ciudadanos de Madrid como titulares de los derechos y deberes fundamentales
establecidos en la Constitución, señala que los poderes públicos madrileños asumen, en el
marco de sus competencias, entre otros principios rectores de su política, la promoción de
cve: BOE-A-2024-5611
Verificable en https://www.boe.es
Núm. 71
