A) Disposiciones Generales - PRESIDENCIA DE LA COMUNIDAD (BOCM-20231227-1)
Ley – Ley 14/2023, de 20 de diciembre, por la que se crea la Agencia de Ciberseguridad de la Comunidad de Madrid
11 páginas totales
Página
B.O.C.M. Núm. 307
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
MIÉRCOLES 27 DE DICIEMBRE DE 2023
y ofrecer una respuesta coordinada ante cualquier situación de crisis, así como para impulsar un nuevo liderazgo en la protección de la información de los ciudadanos.
La seguridad de la información en general y la ciberseguridad en particular son concebidas como una parte intrínseca a la digitalización. Así el programa Europa Digital 2021-2027
recoge en uno de sus ejes para conseguir la digitalización europea la promoción de la ciberseguridad. De la misma forma, la Agenda España Digital 2026 establece que el reto para 2026
es incrementar las capacidades de ciberseguridad en España, fomentar el desarrollo del ecosistema empresarial en este sector (industria, I+D+i y talento), y potenciar el liderazgo internacional del país en materia de ciberseguridad, en colaboración con las comunidades autónomas a través de proyectos estratégicos de digitalización dentro del programa RETECH (Redes
territoriales de especialización tecnológica) del Plan de Recuperación, Transformación y Resiliencia, sin perjuicio de los futuros programas marcos que puedan aprobarse en materia de
ciberseguridad.
Nos encontramos, por tanto, ante una materia transversal que complementa y da soporte a muchas otras iniciativas y competencias de los distintos organismos de la Comunidad de Madrid, sin que deba entenderse esta función como una intromisión, sino como un
refuerzo y una acción de gobierno coordinada. Por ello, la Agencia de Ciberseguridad ha
de tener presente la imprescindible coordinación entre todas las unidades que trabajan en
conexión con y desde las redes de comunicaciones, así como también es necesaria la coordinación con otras unidades y organismos, muy especialmente con aquellos competentes en
los distintos ámbitos de la seguridad física y de las personas.
La existencia de una Agencia de Ciberseguridad no exime a todas las entidades y organismos, dentro del ámbito de actuación de ésta, de su responsabilidad de vigilancia y aplicación de medidas de ciberseguridad propias a sus sistemas y peculiaridades. En este sentido,
el objeto definido en el articulado se centra en dirigir y coordinar y no en implementar, operar o ejecutar funciones que seguirán siendo responsabilidad de cada uno de los organismos.
Consecuentemente, será misión de la Agencia de Ciberseguridad proponer al Consejo
de Gobierno la política global de seguridad de la información de la Comunidad de Madrid
en la que, siguiendo la propuesta de las guías sobre seguridad de las tecnologías de la información y la comunicación del Centro Criptológico Nacional (en adelante CCN), se definirá la organización de la ciberseguridad, su gobernanza y su estructura normativa, que cada
organismo responsable de sistemas de información y redes electrónicas de comunicaciones
desarrollará mediante políticas de seguridad relacionadas con los aspectos específicos de su
competencia y que, a su vez, se desarrollarán en normas y planes concretos para cada uno
de los sistemas que gestionen.
Así pues, la presente ley tiene como finalidad la creación de un ente de Derecho público, la Agencia de Ciberseguridad de la Comunidad de Madrid, con personalidad jurídica
propia, sometida, con carácter general al Derecho privado salvo en el ejercicio de potestades administrativas que se sujetará al Derecho público, a la que se otorgan, entre otras funciones, las de: asesorar al Gobierno de la Comunidad de Madrid en el desarrollo de su estrategia de ciberseguridad y proponer la política global de seguridad de la información de
la Comunidad de Madrid; proponer y promover el uso de soluciones y servicios de ciberseguridad destinados a la prevención, detección y respuesta ante las amenazas contra la seguridad de las redes y sistemas en su ámbito de actuación; promocionar el talento y fomentar
el emprendimiento del ecosistema empresarial de ciberseguridad, como herramienta pilar
del crecimiento industrial y económico; y coordinar con organismos público-privados, operadores esenciales y críticos y entidades locales de la Comunidad de Madrid, en la medida
en que se relacionen con la Administración autonómica por medios electrónicos, en aras a
la consecución de los objetivos especificados en las políticas de ciberseguridad, en particular promoviendo y colaborando en el intercambio de información sobre incidentes y desarrollo de buenas prácticas.
La Agencia de Ciberseguridad servirá a la Comunidad de Madrid para prestar apoyo a las
entidades locales de la región, especialmente las enunciadas por el artículo 36.1.g), para que
sean capaces de responder a sus responsabilidades en materia de ciberseguridad, tal y como
está establecido en la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local.
En definitiva, se trata de dotar a la Comunidad de Madrid de un organismo que actúe
como catalizador de una cultura de ciberseguridad que genere un clima de confianza y seguridad que contribuya al desarrollo de la economía y la sociedad digital.
La Agencia en su ámbito de competencia definirá y promoverá la aplicación de políticas
públicas en materia de ciberseguridad siguiendo lo establecido en las legislaciones nacional y
europea. Igualmente se guiará por los principios éticos en el ámbito de sus competencias.
Pág. 13
BOCM-20231227-1
BOCM
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
MIÉRCOLES 27 DE DICIEMBRE DE 2023
y ofrecer una respuesta coordinada ante cualquier situación de crisis, así como para impulsar un nuevo liderazgo en la protección de la información de los ciudadanos.
La seguridad de la información en general y la ciberseguridad en particular son concebidas como una parte intrínseca a la digitalización. Así el programa Europa Digital 2021-2027
recoge en uno de sus ejes para conseguir la digitalización europea la promoción de la ciberseguridad. De la misma forma, la Agenda España Digital 2026 establece que el reto para 2026
es incrementar las capacidades de ciberseguridad en España, fomentar el desarrollo del ecosistema empresarial en este sector (industria, I+D+i y talento), y potenciar el liderazgo internacional del país en materia de ciberseguridad, en colaboración con las comunidades autónomas a través de proyectos estratégicos de digitalización dentro del programa RETECH (Redes
territoriales de especialización tecnológica) del Plan de Recuperación, Transformación y Resiliencia, sin perjuicio de los futuros programas marcos que puedan aprobarse en materia de
ciberseguridad.
Nos encontramos, por tanto, ante una materia transversal que complementa y da soporte a muchas otras iniciativas y competencias de los distintos organismos de la Comunidad de Madrid, sin que deba entenderse esta función como una intromisión, sino como un
refuerzo y una acción de gobierno coordinada. Por ello, la Agencia de Ciberseguridad ha
de tener presente la imprescindible coordinación entre todas las unidades que trabajan en
conexión con y desde las redes de comunicaciones, así como también es necesaria la coordinación con otras unidades y organismos, muy especialmente con aquellos competentes en
los distintos ámbitos de la seguridad física y de las personas.
La existencia de una Agencia de Ciberseguridad no exime a todas las entidades y organismos, dentro del ámbito de actuación de ésta, de su responsabilidad de vigilancia y aplicación de medidas de ciberseguridad propias a sus sistemas y peculiaridades. En este sentido,
el objeto definido en el articulado se centra en dirigir y coordinar y no en implementar, operar o ejecutar funciones que seguirán siendo responsabilidad de cada uno de los organismos.
Consecuentemente, será misión de la Agencia de Ciberseguridad proponer al Consejo
de Gobierno la política global de seguridad de la información de la Comunidad de Madrid
en la que, siguiendo la propuesta de las guías sobre seguridad de las tecnologías de la información y la comunicación del Centro Criptológico Nacional (en adelante CCN), se definirá la organización de la ciberseguridad, su gobernanza y su estructura normativa, que cada
organismo responsable de sistemas de información y redes electrónicas de comunicaciones
desarrollará mediante políticas de seguridad relacionadas con los aspectos específicos de su
competencia y que, a su vez, se desarrollarán en normas y planes concretos para cada uno
de los sistemas que gestionen.
Así pues, la presente ley tiene como finalidad la creación de un ente de Derecho público, la Agencia de Ciberseguridad de la Comunidad de Madrid, con personalidad jurídica
propia, sometida, con carácter general al Derecho privado salvo en el ejercicio de potestades administrativas que se sujetará al Derecho público, a la que se otorgan, entre otras funciones, las de: asesorar al Gobierno de la Comunidad de Madrid en el desarrollo de su estrategia de ciberseguridad y proponer la política global de seguridad de la información de
la Comunidad de Madrid; proponer y promover el uso de soluciones y servicios de ciberseguridad destinados a la prevención, detección y respuesta ante las amenazas contra la seguridad de las redes y sistemas en su ámbito de actuación; promocionar el talento y fomentar
el emprendimiento del ecosistema empresarial de ciberseguridad, como herramienta pilar
del crecimiento industrial y económico; y coordinar con organismos público-privados, operadores esenciales y críticos y entidades locales de la Comunidad de Madrid, en la medida
en que se relacionen con la Administración autonómica por medios electrónicos, en aras a
la consecución de los objetivos especificados en las políticas de ciberseguridad, en particular promoviendo y colaborando en el intercambio de información sobre incidentes y desarrollo de buenas prácticas.
La Agencia de Ciberseguridad servirá a la Comunidad de Madrid para prestar apoyo a las
entidades locales de la región, especialmente las enunciadas por el artículo 36.1.g), para que
sean capaces de responder a sus responsabilidades en materia de ciberseguridad, tal y como
está establecido en la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local.
En definitiva, se trata de dotar a la Comunidad de Madrid de un organismo que actúe
como catalizador de una cultura de ciberseguridad que genere un clima de confianza y seguridad que contribuya al desarrollo de la economía y la sociedad digital.
La Agencia en su ámbito de competencia definirá y promoverá la aplicación de políticas
públicas en materia de ciberseguridad siguiendo lo establecido en las legislaciones nacional y
europea. Igualmente se guiará por los principios éticos en el ámbito de sus competencias.
Pág. 13
BOCM-20231227-1
BOCM
