A) Disposiciones Generales - PRESIDENCIA DE LA COMUNIDAD (BOCM-20231227-1)
Ley – Ley 14/2023, de 20 de diciembre, por la que se crea la Agencia de Ciberseguridad de la Comunidad de Madrid
11 páginas totales
Página
BOCM
MIÉRCOLES 27 DE DICIEMBRE DE 2023
B.O.C.M. Núm. 307
El 27 de diciembre de 2022 se publicó la Directiva NIS2 (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se
modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se
deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Esta Directiva establece obligaciones de ciberseguridad, medidas para la gestión de riesgos de ciberseguridad y obligaciones
de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y
ejecución para las diferentes administraciones.
Del mismo modo, la Estrategia de Seguridad Nacional 2021, aprobada el 28 de diciembre por el Consejo de Ministros, establece como una de las prioridades la puesta en marcha
de una plataforma nacional de notificación y seguimiento de ciberincidentes liderada por el
CCN-CERT, que coordina el Grupo de Trabajo de Seguridad de la Conferencia Sectorial
de Administración electrónica y que formará parte la Comunidad de Madrid a través de la
creación de la Agencia de Ciberseguridad de la Comunidad de Madrid.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a la
seguridad entre los principios de actuación de las Administraciones Públicas y recoge el Esquema Nacional de Seguridad (en adelante ENS), de aplicación a todo el sector público, que
ofrece un planteamiento común de principios, requisitos y medidas de seguridad.
El ENS proporciona al sector público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la
gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de
requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas.
Mediante la creación de esta Agencia de Ciberseguridad se dota a la Administración
autonómica madrileña de un ente encargado de ayudar y cooperar en el cumplimiento del
Esquema Nacional de Seguridad, en los términos previstos en el artículo 156 de la
Ley 40/2015, de 1 de octubre.
La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por
la Comunidad de Madrid en su Estatuto de Autonomía, aprobado por Ley Orgánica 3/1983,
de 25 de febrero. Concretamente, el artículo 26.1.1 le atribuye competencias exclusivas en
materia de organización, régimen y funcionamiento de sus instituciones de autogobierno y
el artículo 26.1.3 le atribuye el procedimiento administrativo derivado de las especialidades de la organización propia. Al mismo tiempo, el artículo 7, además de reconocer a los
ciudadanos de Madrid como titulares de los derechos y deberes fundamentales establecidos
en la Constitución, señala que los poderes públicos madrileños asumen, en el marco de sus
competencias, entre otros principios rectores de su política, la promoción de las condiciones necesarias para el libre ejercicio de los derechos y libertades de los ciudadanos y la
igualdad de los individuos y los grupos en que se integran.
En relación con el ejercicio de estas competencias, conviene recordar que, como ha señalado el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre, que resolvió el recurso de inconstitucionalidad interpuesto contra la Ley 15/2017, de 25 de julio, de
la Agencia de Ciberseguridad de Cataluña, la ciberseguridad no es un concepto o materia
reconducible a un único título competencial y, puede, identificarse con la seguridad nacional o con la seguridad pública cuando se trata de la protección ordinaria de las redes y las
infraestructuras de telecomunicaciones, pero también puede proyectarse sobre otros planos,
como es el caso de la Administración electrónica, que abarca la organización de medios y
previsión de medidas de protección de la Administración y, por extensión, la protección de
los derechos de los ciudadanos cuando se relacionan con aquélla por medios electrónicos.
Por último, la Agencia será una herramienta para el cumplimiento de la misión de la
Comunidad de Madrid de asistencia a los municipios y asegurar la prestación de los servicios públicos de competencia municipal en todo el territorio de la provincia, tal y como está
establecido en la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local.
II
La Ley consta de una parte expositiva, catorce artículos distribuidos en cuatro capítulos, una disposición adicional, una disposición derogatoria y tres disposiciones finales.
El Capítulo I establece la creación, naturaleza y régimen jurídico de la Agencia de Ciberseguridad de la Comunidad de Madrid y define su ámbito de aplicación, objeto y funciones.
BOCM-20231227-1
Pág. 14
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
MIÉRCOLES 27 DE DICIEMBRE DE 2023
B.O.C.M. Núm. 307
El 27 de diciembre de 2022 se publicó la Directiva NIS2 (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se
modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se
deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Esta Directiva establece obligaciones de ciberseguridad, medidas para la gestión de riesgos de ciberseguridad y obligaciones
de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y
ejecución para las diferentes administraciones.
Del mismo modo, la Estrategia de Seguridad Nacional 2021, aprobada el 28 de diciembre por el Consejo de Ministros, establece como una de las prioridades la puesta en marcha
de una plataforma nacional de notificación y seguimiento de ciberincidentes liderada por el
CCN-CERT, que coordina el Grupo de Trabajo de Seguridad de la Conferencia Sectorial
de Administración electrónica y que formará parte la Comunidad de Madrid a través de la
creación de la Agencia de Ciberseguridad de la Comunidad de Madrid.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a la
seguridad entre los principios de actuación de las Administraciones Públicas y recoge el Esquema Nacional de Seguridad (en adelante ENS), de aplicación a todo el sector público, que
ofrece un planteamiento común de principios, requisitos y medidas de seguridad.
El ENS proporciona al sector público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la
gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de
requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas.
Mediante la creación de esta Agencia de Ciberseguridad se dota a la Administración
autonómica madrileña de un ente encargado de ayudar y cooperar en el cumplimiento del
Esquema Nacional de Seguridad, en los términos previstos en el artículo 156 de la
Ley 40/2015, de 1 de octubre.
La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por
la Comunidad de Madrid en su Estatuto de Autonomía, aprobado por Ley Orgánica 3/1983,
de 25 de febrero. Concretamente, el artículo 26.1.1 le atribuye competencias exclusivas en
materia de organización, régimen y funcionamiento de sus instituciones de autogobierno y
el artículo 26.1.3 le atribuye el procedimiento administrativo derivado de las especialidades de la organización propia. Al mismo tiempo, el artículo 7, además de reconocer a los
ciudadanos de Madrid como titulares de los derechos y deberes fundamentales establecidos
en la Constitución, señala que los poderes públicos madrileños asumen, en el marco de sus
competencias, entre otros principios rectores de su política, la promoción de las condiciones necesarias para el libre ejercicio de los derechos y libertades de los ciudadanos y la
igualdad de los individuos y los grupos en que se integran.
En relación con el ejercicio de estas competencias, conviene recordar que, como ha señalado el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre, que resolvió el recurso de inconstitucionalidad interpuesto contra la Ley 15/2017, de 25 de julio, de
la Agencia de Ciberseguridad de Cataluña, la ciberseguridad no es un concepto o materia
reconducible a un único título competencial y, puede, identificarse con la seguridad nacional o con la seguridad pública cuando se trata de la protección ordinaria de las redes y las
infraestructuras de telecomunicaciones, pero también puede proyectarse sobre otros planos,
como es el caso de la Administración electrónica, que abarca la organización de medios y
previsión de medidas de protección de la Administración y, por extensión, la protección de
los derechos de los ciudadanos cuando se relacionan con aquélla por medios electrónicos.
Por último, la Agencia será una herramienta para el cumplimiento de la misión de la
Comunidad de Madrid de asistencia a los municipios y asegurar la prestación de los servicios públicos de competencia municipal en todo el territorio de la provincia, tal y como está
establecido en la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local.
II
La Ley consta de una parte expositiva, catorce artículos distribuidos en cuatro capítulos, una disposición adicional, una disposición derogatoria y tres disposiciones finales.
El Capítulo I establece la creación, naturaleza y régimen jurídico de la Agencia de Ciberseguridad de la Comunidad de Madrid y define su ámbito de aplicación, objeto y funciones.
BOCM-20231227-1
Pág. 14
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
