Política de la seguridad de la información de la Administración

Decreto 49/2025, de 1 de abril, del Consell, por el que se establece la política de la seguridad de la información de la Administración de la Generalitat (DOGV de 2 de abril de 2025). Texto completo.

DECRETO 49/2025, DE 1 DE ABRIL, DEL CONSELL, POR EL QUE SE ESTABLECE LA POLÍTICA DE LA SEGURIDAD DE LA INFORMACIÓN DE LA ADMINISTRACIÓN DE LA GENERALITAT.

PREÁMBULO

El Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat y el Decreto 130/2012, de 24 de agosto , del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat, requieren una profunda revisión debido a las numerosas modificaciones tanto del marco normativo europeo como del español; por lo que, de conformidad con las directrices establecidas en el artículo 3.4 del Decreto 24/2009, de 13 de febrero, del Consell, sobre la forma, la estructura y el procedimiento de elaboración de los proyectos normativos de la Generalitat, que establece como criterio que las disposiciones modificativas sean utilizadas con carácter restrictivo, debiendo primar la aprobación de una nueva disposición sobre el mantenimiento de la norma originaria y sus posteriores modificaciones, se opta por la aprobación de un nuevo Decreto que comprenda tanto la política como la organización de la seguridad en toda la Administración de la Generalitat.

El presente decreto es aplicable a la Presidencia, a las consellerias de la Administración de la Generalitat y a las entidades del sector público instrumental de la Generalitat cuando así lo determinen los órganos competentes en el ejercicio de las potestades de organización de la propia entidad. Se faculta a la conselleria con competencias en sanidad, a la conselleria con competencias en educación, a la conselleria con competencias en justicia, para que desarrollen las disposiciones necesarias para establecer la organización de la seguridad de la información en determinados ámbitos de su competencia.

Básicamente, en este nuevo decreto se establece una política de seguridad acorde con la nueva realidad respecto a la progresiva transformación digital en nuestra sociedad, el nuevo escenario de ciberseguridad, el avance de las tecnologías de la información y la evolución de las amenazas, todo ello conforme a lo estipulado en el artículo 12 del Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS); incluyendo una referencia a los principios rectores y a los requisitos mínimos de seguridad, la misión de la organización, el marco regulatorio, las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso, los riesgos derivados con el tratamiento de datos personales, los roles o funciones de seguridad, definiendo para cada uno, sus deberes y responsabilidades, así como el procedimiento para su designación y renovación.

Los importantes cambios normativos producidos desde el 2012, provocan una necesaria adaptación de la política de la seguridad: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD ); la Ley orgánica 3/2018, de 5 de diciembre , de protección de datos personales y garantía de los derechos digitales; la Ley 39/2015, de 1 de octubre , del procedimiento administrativo común de las administraciones públicas; la Ley 40/2015, de 1 de octubre , de régimen jurídico del sector público; y especialmente la aprobación del ENS.

Además, el Estado ha aprobado toda una serie de instrucciones técnicas de seguridad, que hay que tener en consideración: la Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad; la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información; la Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad; y la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el ENS.

Hay que significar la aprobación del Real decreto 203/2021, de 30 de marzo , por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, de carácter básico en algunos de sus preceptos, en cuanto a su relación con la ciberseguridad y su impacto en la seguridad de las redes y sistemas de información, de acuerdo con lo dispuesto en los artículos 149.1. 21.ª y 149.1. 29.ª de la Constitución , tal y como establece su disposición final primera.

También a nivel autonómico se han ido produciendo cambios relevantes: la derogación de la Ley 3/2010, de 5 de mayo , de administración electrónica de la Comunitat Valenciana; la modificación de la Ley 3/2005, de 15 de junio , de la Generalitat, de archivos; el Decreto 20/2020, de 14 de febrero, del Consell, de modificación del Decreto 112/2008 , por el cual se crea la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunitat Valenciana (CITEC); la creación y asignación de funciones del Delegado o la Delegada de Protección de Datos de la Administración de la Generalitat y el Decreto 10/2024, de 12 de abril , del President de la Generalitat, por el que se determina el nivel administrativo de la Presidencia de la Generalitat, que regula las atribuciones del Delegado o la Delegada de Protección de Datos.

Asimismo, el Decreto 53/2024, de 13 de mayo , del Consell, por el que se crea la Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA).

El presente Decreto se ha configurado siguiendo las directrices de la Guía de Seguridad de las TIC CCN-STIC 801, editada por el Centro Criptológico Nacional, sobre responsabilidades y funciones en el ENS; definiendo exclusivamente los roles de seguridad correspondientes al ENS, ya que los roles de protección de datos, de acuerdo con el delegado o la delegada de protección de datos de la Administración de la Generalitat, se designarán en un decreto específico sobre protección de datos para la Administración de la Generalitat.

La estructura organizativa que define el decreto simplifica el modelo actualmente vigente y descentraliza en gran medida las responsabilidades de seguridad en las consellerias y, en su caso, en las entidades del sector público instrumental.

En el nivel de gobierno, el decreto acerca las responsabilidades de la información y del servicio a los órganos directivos competentes en la información y funcionalidad de cada sistema de información.

Es habitual que coincidan en la misma persona las responsabilidades de la información y del servicio; pero tiene sentido la diferenciación cuando la prestación del servicio maneja información de diferentes procedencias, así como cuando la prestación del servicio no depende del órgano que es responsable de la información.

En el nivel de supervisión, concentra la responsabilidad de la seguridad en el órgano de carácter directivo que tiene atribuida la competencia sobre los servicios generales de cada conselleria y en su caso en la entidad del sector público instrumental; como agente clave para coordinar la seguridad en todos los aspectos: física, jurídica, recursos humanos, administrativa, archivo, comunicación, información, privacidad y tecnología.

En el nivel operativo, asigna la responsabilidad del sistema al órgano directivo competente en materia de tecnologías de la información que gestiona la explotación de los sistemas de información y designa directamente a los administradores de seguridad del sistema, considerando la administración de la seguridad como una parte intrínseca de la administración de los sistemas.

Respecto al Comité de Seguridad de la Información, se suprime como tal, asumiendo la seguridad de la información corporativa la ya existente Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA).

En cada entidad, la dirección ostenta la última responsabilidad en seguridad de la información, la coordinación entre los diferentes roles y la resolución de conflictos entre éstos.

En cuanto a la coordinación global de la ciberseguridad en toda la Administración de la Generalitat, conforme al Acuerdo del Consell sobre esta materia, se atribuye la totalidad de la gestión en ciberseguridad a la Dirección General de Tecnologías de la Información y las Comunicaciones.

La política de seguridad de la información judicial electrónica (PSIJE) tiene como finalidad definir la utilización de medios electrónicos en el ámbito de la Administración de Justicia, así como el establecimiento del marco organizativo y tecnológico de la misma; se aplica a todos los sistemas de información y comunicación utilizados para la Administración de Justicia por todos los órganos, departamentos y unidades del Consejo General del Poder Judicial (CGPJ), de la Fiscalía General del Estado, del Ministerio de Justicia y de las Comunidades Autónomas (CCAA) que tienen transferidas las competencias en esta materia, así como en los organismos públicos que dependan de los mismos.

En la PSIJE se determina para los sistemas auxiliares de la Administración de Justicia, qué funciones asumirán las administraciones con competencia en materia de justicia; con este fin, puesto que la Comunitat Valenciana tiene asumidas las competencias en materia de justicia, el decreto faculta a la persona titular de la Conselleria con competencias en justicia para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información para las funciones que son determinadas por las CCAA en la PSIJE.

En cuanto a la coordinación entre las responsabilidades de protección de datos y de seguridad de la información, el responsable de seguridad integrará los resultados de los análisis de riesgos en materia de protección de datos, y en su caso de las evaluaciones de impacto, con las declaraciones de aplicabilidad, de forma que en un único plan de seguridad para cada sistema de información se contemplen todas las medidas técnicas y organizativas que deban implantarse.

En la tramitación de esta norma se han respetado los principios de buena regulación previstos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas.

El respeto al principio de necesidad ha quedado justificado en el presente preámbulo por los cambios normativos producidos en el ámbito de la normativa europea, nacional y autonómica. La norma establece la organización de la política de la seguridad de la información conforme a los principios de eficacia y proporcionalidad, por ello establece una estructura orgánica con base en los órganos y unidades administrativas existentes en la administración del Consell y su sector público y las funciones que desempeñan.

Asimismo, se dicta en coherencia con lo dispuesto en el resto del ordenamiento jurídico nacional y de la Unión Europea, manteniendo un marco normativo integrado y claro en aras al respeto del principio de seguridad jurídica. Por último, con fundamento en el principio de eficiencia y la política en materia de gasto, el presente decreto no implica aumento del gasto.

En virtud de lo dispuesto en la disposición final segunda sobre desarrollo normativo del Real decreto 311/2022, de 3 de mayo , por el que se regula el ENS, conforme a lo dispuesto en los artículos 31 y 33 de la Ley 5/1983, de 30 de diciembre, del Consell, previo el cumplimiento de los trámites preceptivos establecidos en el artículo 43 de la misma ley, a propuesta de la consellera de Hacienda y Economía, conforme con el Consell Jurídic Consultiu y previa deliberación del Consell, en la reunión del día 1 de abril de 2025,

DECRETO

CAPÍTULO I

Disposiciones Generales

Artículo 1. Objeto

El objeto del presente decreto es aprobar la política de la seguridad de la información, determinando su estructura y detallando las atribuciones para cada uno de los roles que la conforman.

Artículo 2. Ámbito subjetivo de aplicación

La política de la seguridad de la información regulada en el presente decreto es aplicable a la Presidencia y a las consellerias de la Administración de la Generalitat.

Cualquier entidad integrada en el sector público instrumental de la Generalitat, conforme al artículo 2 de la Ley 1/2015, de 6 de febrero, de hacienda pública, del sector público instrumental y de subvenciones, que guarde relación de vinculación, dependencia o adscripción con la Administración de la Generalitat, podrá quedar incluida en el ámbito subjetivo de esta política de seguridad de la información, cuando así lo determinen los órganos competentes en el ejercicio de las potestades de organización de la propia entidad.

Artículo 3. Definiciones

A los efectos previstos en este decreto las definiciones, palabras, expresiones y términos han de ser entendidos en el sentido indicado en el glosario de términos aprobado en el anexo IV del Real decreto 311/2022, de 3 de mayo , por el que se regula el ENS.

CAPÍTULO II

Política de seguridad de la información

Artículo 4. Principios rectores y requisitos mínimos de seguridad.

Los principios básicos y requisitos mínimos de la seguridad de la información desarrollados bajo el marco de esta política de la seguridad de la información son los recogidos en el Real decreto 311/2022, de 3 de mayo , por el que se regula el ENS, en particular, los previstos en sus capítulos II y III, y en su normativa de desarrollo.

Artículo 5. Misión de la Administración de la Generalitat

La misión de la Administración de la Generalitat a la que se refiere la política de seguridad regulada en este Decreto será la que le corresponda en el ejercicio de las competencias atribuidas por la Ley orgánica 5/1982, de 1 de julio , de Estatuto de Autonomía de la Comunitat Valenciana, de acuerdo con la Ley 5/1983, de 30 de diciembre , del Consell y con las normas organizativas y atribuciones decretadas en cada momento por el President de la Generalitat.

Artículo 6. Marco regulatorio

El marco normativo en que se desarrollan las actividades de la Administración de la Generalitat en materia de seguridad de la información, sin perjuicio de la legislación específica, se compone de:

a) El RGPD .

b) La Ley orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.

c) La Ley 39/2015, de 1 de octubre , del procedimiento administrativo común de las administraciones públicas.

d) La Ley 40/2015, de 1 de octubre , de régimen jurídico del sector público.

e) El Real decreto 203/2021, de 30 de marzo , por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

f) El Real decreto 311/2022, de 3 de mayo , por el que se regula el ENS.

g) El Decreto 53/2024, de 13 de mayo , del Consell, por el que se crea la Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA).

h) El Decreto 10/2024, de 12 de abril , del president de la Generalitat, por el que se determina el nivel administrativo de la Presidencia de la Generalitat, que regula las atribuciones del Delegado o delegada de protección de datos.

i) Todas aquellas normas aplicables a la administración electrónica y seguridad de la información que complementen, desarrollen o sustituyan a las anteriores y que se encuentren dentro del ámbito de aplicación de la Política de Seguridad de la Información de la Administración de la Generalitat.

Artículo 7. Desarrollo y directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso ejecución

1. El cuerpo normativo sobre seguridad de la información que se aprueba con el presente decreto, es de obligado cumplimiento y se desarrollará aplicando lo requisitos mínimos articulados en el capítulo III del ENS. Su desarrollo se estructurará en tres niveles, de manera que cada norma o directriz de un determinado nivel, se fundamente en las normas o directrices de nivel superior.

Dichos niveles de desarrollo son los siguientes:

a) Primer nivel de desarrollo: constituido por la presente política de la seguridad de la información, que se aprueba con el presente decreto.

b) Segundo nivel de desarrollo: constituido principalmente por directrices de seguridad generales que, respetando lo estipulado por la política de la seguridad de la información, determinan qué se puede hacer y qué no desde el punto de vista de la seguridad en relación con los servicios prestados por la Administración de la Generalitat, sin considerar aspectos relativos a implementación ni tecnológicos.

c) Tercer nivel de desarrollo: constituido por políticas específicas que, respetando lo dispuesto en los niveles anteriores, apliquen a ámbitos o sistemas de información particulares. También estará constituido por procedimientos, guías e instrucciones de carácter técnico o procedimental.

La documentación perteneciente al tercer nivel de desarrollo de la política de seguridad será aprobada por el responsable del Sistema.

2. El responsable del sistema será el encargado de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma, para su ámbito de actuación.

3. El personal de cada uno de los órganos u organismos a los que es de aplicación la presente política de la seguridad de la información tendrá la obligación de conocerla y cumplirla, tanto las normas como los procedimientos de seguridad de la información que puedan afectar a sus funciones.

Artículo 8. Riesgos derivados con el tratamiento de datos personales

Para cada sistema de información, cuando trate datos personales, el responsable o el encargado del tratamiento, realizará un análisis de riesgos conforme al artículo 24 del RGPD.

En los supuestos del artículo 35 del RGPD, y conforme al artículo 28 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, el responsable o el encargado del tratamiento, realizará una evaluación de impacto en la protección de datos, asesorado por el delegado/a de protección de datos.

En este caso, prevalecerán las medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la evaluación de impacto en la protección de datos, en caso de resultar agravadas respecto de las previstas en el ENS, siendo el responsable de seguridad quien las integrará en un único plan de seguridad donde se contemplen todas las medidas técnicas y organizativas que deban implantarse.

CAPÍTULO III

Organización de la seguridad

Artículo 9. Estructura, niveles de responsabilidad y roles de seguridad

La organización de la seguridad de la información, salvo en las consellerias competentes en materia de sanidad, educación y justicia, se estructura en tres niveles:

a) Nivel de gobierno:

i. En cada Entidad, la Dirección ostenta la última responsabilidad en seguridad de la información, la coordinación entre los diferentes roles y la resolución de conflictos entre éstos.

ii. Los responsables de la información.

iii. Los responsables del servicio.

b) Nivel de supervisión:

i. El responsable de seguridad.

c) Nivel operativo:

i. El responsable del sistema.

ii. Los administradores de seguridad de sistema.

2. El Comité para la gestión y coordinación de la Seguridad.

Artículo 10. Los responsables de la información

1. Será responsable de la información para cada sistema de información, la persona titular del órgano directivo, o en su caso del órgano colegiado, que ostente la competencia para determinar qué información trata.

2. El responsable de la información ejercerá en su ámbito de actuación las siguientes funciones:

a) Establecer los requisitos de la información en materia de seguridad, aprobando formalmente los niveles de seguridad de la información para cada dimensión de seguridad, dentro del marco establecido en el anexo I del ENS; previa consulta al responsable del sistema e informando al responsable de seguridad.

b) Aprobar la asunción de los riesgos residuales que correspondan a la información.

Artículo 11. Los responsables del servicio

1. Será responsable del servicio para cada sistema de información, la persona titular del órgano directivo, o en su caso del órgano colegiado, que ostente la competencia para determinar qué servicios presta.

2. El responsable del servicio ejercerá en su ámbito de actuación las siguientes funciones:

a) Establecer los requisitos del servicio en materia de seguridad, aprobando formalmente los niveles de seguridad del servicio para cada dimensión de seguridad, dentro del marco establecido en el anexo I del ENS; previa consulta al Responsable del Sistema e informando al Responsable de Seguridad.

b) Aprobar la asunción de los riesgos residuales que correspondan a los servicios.

Artículo 12. El responsable de seguridad

1. Será responsable de seguridad para todos los sistemas de información de la entidad, la persona titular del órgano que tenga atribuidas las competencias sobre los servicios generales de la entidad.

2. El responsable de seguridad ejercerá en su ámbito de actuación las siguientes funciones:

a) Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

b) Supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos.

c) Recopilará las principales variables de la seguridad para el Informe del Estado de la Seguridad (informe INES), y lo comunicará conforme se establezca en la Instrucción Técnica de Seguridad.

Artículo 13. El responsable del sistema

1. Será responsable del sistema, para cada sistema de información, la persona titular del órgano directivo con competencias en materia de tecnologías de la información que gestione la explotación del sistema de información.

2. El responsable del sistema ejercerá en su ámbito de actuación las siguientes funciones:

a) Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.

b) Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

c) Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.

3. En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o números de usuarios se necesite de personal adicional para llevar a cabo las funciones del responsable del sistema, se podrán designar cuantos responsables del sistema delegados se consideren necesarios. Se designará como responsable del sistema delegado a personas empleadas públicas, que serán nombradas, por resolución administrativa, a propuesta del responsable del sistema. La responsabilidad final sigue recayendo sobre responsable del sistema. Los delegados se harán cargo, en su ámbito, de todas aquellas funciones que le sean delegadas por el responsable del sistema. Cada delegado tendrá una dependencia funcional directa del responsable del sistema, que es a quien reporta. Estas delegaciones se realizarán conforme a los artículos 8 , 9 y 12 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.

Artículo 14. Los administradores de la seguridad del sistema

1. Será administrador de la seguridad del sistema la persona titular de cada uno de los servicios en los que se organizan las unidades administrativas del órgano directivo con competencias en materia de tecnologías de la información que gestione la explotación de los sistemas de información.

2. Cada administrador de la seguridad del sistema ejercerá en su ámbito de actuación las siguientes funciones:

a) Implementar, gestionar, mantener y monitorizar las medidas de seguridad en los sistemas de información.

b) Aplicar los procedimientos operativos de seguridad que apruebe el responsable del sistema.

c) Colaborar en la detección, investigación y resolución de incidentes de seguridad.

Artículo 15. Comité para la gestión y coordinación de la seguridad

La Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA) asume la gestión y coordinación de la seguridad de la información corporativa, conforme a lo establecido en el artículo 3 del Decreto 53/2024, de 13 de mayo, del Consell, de su creación.

DISPOSICIONES ADICIONALES

Primera. Incidencia presupuestaria.

La aplicación y desarrollo de este decreto, no tendrá incidencia alguna en la dotación de todos y cada uno de los capítulos de gasto ya asignados en la Administración de la Generalitat.

Segunda. Coordinación global de la ciberseguridad en la Administración de la Generalitat.

Conforme al Acuerdo del Consell sobre políticas de actuación en materia de ciberseguridad, aprobado el 23 de julio de 2021, la Dirección General de Tecnologías de la Información y las Comunicaciones asume la coordinación global de la ciberseguridad del Consell.

La Dirección General de Tecnologías de la Información y las Comunicaciones asume, en exclusiva para toda la Administración de la Generalitat, la totalidad de las actuaciones de coordinación con las autoridades competentes en materia de ciberseguridad nacional y con el resto de CSIRT de referencia nacionales e internacionales; incluidas las obligaciones de notificación obligatoria de los incidentes al Centro Criptológico Nacional (CCN), la recopilación de evidencias y la remisión de estadísticas de incidentes, conforme a la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.

Tercera. Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV).

CSIRT-CV es el centro de operaciones de ciberseguridad, único para toda la Administración de la Generalitat, prestador de servicios de prevención, detección y respuesta ante incidentes de ciberseguridad en el ámbito de la Administración de la Generalitat, de la ciudadanía, de las empresas y profesionales y del resto de las administraciones públicas de la Comunitat Valenciana.

La unidad administrativa que tenga atribuidas las competencias en ciberseguridad en la Dirección General de Tecnologías de la Información y las Comunicaciones ejercerá la dirección del CSIRT-CV y el mando único en las operaciones de ciberseguridad para la gestión de crisis e incidentes de ciberseguridad; apoyará a los órganos directivos y a los órganos competentes en materia de seguridad, en las posibles situaciones de crisis de ciberseguridad que puedan tener impacto en la Comunitat Valenciana.

DISPOSICIÓN DEROGATORIA

Única. Disposiciones que se derogan

Quedan derogados:

1. El Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat.

2. El Decreto 130/2012, de 24 de agosto , del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat.

3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan o contradigan a lo dispuesto en el presente decreto.

DISPOSICIONES FINALES

Primera. Modificación del artículo 3 del Decreto 53/2024, de 13 de mayo, del Consell, por el que se crea la Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA)

Se amplían las funciones de la CITSA, dotándola de funciones de la seguridad de la información de ámbito corporativo. Con la modificación que se produce el precepto queda redactado del siguiente modo:

“Artículo 3. Funciones

Corresponden a la CITSA las siguientes funciones:

1. Impulsar, priorizar y supervisar el desarrollo e implantación de las estrategias de simplificación administrativa, de calidad de los servicios públicos y de transformación digital de la Administración de la Generalitat y ofrecer el soporte técnico en las materias de su competencia.

2. Impulsar la mejora del conocimiento de los procesos de cada organización y de sus procedimientos administrativos, su estandarización, así como su tramitación íntegramente electrónica.

3. Fomentar el análisis y la agilización de los procedimientos administrativos aplicando metodologías de mejora continua, fomento de la recogida de métricas e indicadores para la toma de decisiones a través del uso de la tecnología.

4. Favorecer la puesta a disposición de la ciudadanía de servicios de calidad, ofreciendo información clara de datos y documentos, y adecuada a sus necesidades.

5. Impulsar la colaboración y cooperación con otras administraciones y entidades públicas para la racionalización de los recursos TIC.

6. Promover una cultura organizativa para la transformación digital entre las personas empleadas públicas y crear dinámicas de mejora de la gestión del conocimiento dentro de la Generalitat.

7. Impulsar la colaboración y cooperación público privada.

8. Impulsar y coordinar las funciones del modelo de gobierno del dato de la Generalitat.

9. La Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa en la Comunitat Valenciana (CITSA) asume las funciones de gestión y coordinación de la seguridad de la información corporativa, y aprobará la documentación perteneciente al segundo nivel de desarrollo de la política de seguridad.

10. Cualquier otra relacionada con su ámbito de actuación o que le sea atribuida.”

Segunda. Organización de la seguridad en la administración sanitaria

Se faculta a la persona titular de la conselleria con competencias en materia de sanidad y salud pública para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información en el ámbito de la Administración Sanitaria.

La organización de la seguridad tendrá en cuenta la organización propia de la Administración de la Generalitat. En consecuencia, deberá garantizarse la actuación coordinada y eficaz, según lo establecido al respecto en el ENS y en las orientaciones de la Guía de Seguridad de las TIC CCN-STIC 801, editada por el Centro Criptológico Nacional, sobre responsabilidades y funciones en el ENS.

Tercera. Organización de la seguridad en la administración educativa

Se faculta a la persona titular de la conselleria con competencias en materia de educación para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información en el ámbito de la administración educativa.

La organización de la seguridad tendrá en cuenta la organización propia de la Administración de la Generalitat. En consecuencia, deberá garantizarse la actuación coordinada y eficaz, según lo establecido al respecto en el ENS y en las orientaciones de la Guía de Seguridad de las TIC CCN-STIC 801, editada por el Centro Criptológico Nacional, sobre responsabilidades y funciones en el ENS.

Cuarta. Organización de la seguridad en la administración de justicia.

Se faculta a la persona titular de la conselleria con competencias en materia de justicia y a la titular de la conselleria con competencias en tecnologías de la información para que desarrollen conjuntamente dentro de su ámbito competencial y teniendo en cuenta el marco normativo de la Administración de Justicia, así como la normativa técnica aprobada por el Comité Técnico Estatal de la Administración Judicial Electrónica, las disposiciones que se aplicarán a los sistemas de información y comunicación utilizados para la Administración de Justicia en la Comunitat Valenciana.

Quinta. Desarrollo normativo

Se faculta a la persona titular de la conselleria con competencias en materia de tecnologías de la información y comunicación para dictar cuantas disposiciones exija la aplicación y ejecución de este decreto.

Sexta. Entrada en vigor

El presente Decreto entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Generalitat Valenciana.

Comentarios