Ayuso saca a consulta pública el anteproyecto para la creación de una Agencia Madrileña de Ciberseguridad

El Consejo de Gobierno de la Comunidad de Madrid ha abierto a consulta pública, a través del Portal de Transparencia, el anteproyecto de Ley para la creación de la nueva Agencia de Ciberseguridad. El plazo concluye el próximo 22 de octubre.

El borrador del texto, al que ya se pueden presentar alegaciones, regula el estatus jurídico del nuevo organismo, así como el patrimonio del que estará dotado, su contabilidad y el control de su actividad, entre otros aspectos.

El objetivo principal para la puesta en marcha de este organismo público es el de gobernar y coordinar la seguridad de los sistemas de información y de las redes electrónicas en la Administración regional y en las entidades locales de la Comunidad de Madrid.

También se encargará de impulsar la capacitación en ciberseguridad y en materia de desarrollo digital seguro de los ciudadanos y empresas, especialmente de las pymes. 

Una propuesta acertada 

Francisco Pérez Bes, exsecretario General del Instituto Nacional de Ciberseguridad (INCIBE) y actual socio de Derecho Digital en Ecix Group, considera que la propuesta de la Comunidad de Madrid sigue la senda de otras comunidades, como Cataluña o País Vasco, que ya optaron por crear un órgano propio dedicado a la ciberseguridad.

“Con relación a este extremo, no debemos olvidar que, en el año 2019, el Tribunal Constitucional, en la resolución del recurso de inconstitucionalidad contra la ley de creación de la Agencia Catalana de Ciberseguridad, ya se pronunció acerca del asunto competencial, al declarar que la ciberseguridad, en cuanto aspecto incluido dentro del concepto de seguridad pública, es una competencia exclusiva del Estado y que, por tanto, no puede ser una materia delegada a las comunidades autónomas”, señala.

Recuerda que “en el caso de Madrid, debemos tener en cuenta que ahí se encuentran muchas empresas que cumplen con los requisitos para ser designadas operadores críticos o, por lo menos, para ser legalmente consideradas como operadores de servicios esenciales, por lo que -de entrada- una propuesta de esta naturaleza parece acertada”.

“Ahora bien, es normal que, en un primer momento, pueda plantearse la conveniencia de la creación de una agencia, en base al principio de eficiencia, teniendo en cuenta el rol que vienen desarrollando entidades como el INCIBE, el CNPIC o el CCN, y sus correspondientes CERTs”, apunta.

En su opinión, “no es menos cierto que la creación de una entidad cercana a la realidad de los ciudadanos, de las administraciones y de las empresas de un territorio como la Comunidad de Madrid, coadyuvará a mejorar la eficacia de muchas medidas que, desde el sector público, se impulsen para reforzar la ciberseguridad de la sociedad madrileña en su conjunto”.

A este respecto cree que podría intervenir “no solo en lo que respecta a aquellas acciones dirigidas a mejorar la sensibilización, la concienciación o la formación en esta materia, a las que tantos esfuerzos se han venido dedicando desde hace ya varios años, sino, en particular, al acompañamiento a las administraciones locales con menos recursos y a las pequeñas empresas que puedan necesitar ayuda o asesoramiento técnico en un determinado momento”.

Sobre todo, destaca, “el apoyo a la industria local y a la promoción del talento y de los profesionales que quieran dedicar su carrera profesional a la ciberseguridad”.

“Además, esta iniciativa también mejoraría el desarrollo de buenas prácticas en la gestión de riesgos cibernéticos en las empresas, reforzaría el cumplimiento normativo en seguridad de la información, y fomentaría la ciberseguridad como aspecto del buen gobierno corporativo y de la Responsabilidad Social Empresarial”, comenta.

La puesta en marcha de esta iniciativa, “permitiría seguir incrementando el nivel de concienciación de los ciudadanos (empresarios, profesionales, menores y mayores), la integración laboral de personas discapacitadas y el desarrollo de la ciberseguridad en entornos rurales, en la necesaria lucha contra el analfabetismo digital que reclaman desde organismos europeos”, afirma.

“Todo ello, en su conjunto, puede suponer un impulso económico del territorio muy positivo”, señala.

Francisco Pérez, vocal de la Junta Directiva de ENATIC y socio de Ecixgroup.

Ahora bien, «no debe olvidarse que la puesta en marcha de este organismo va a exigir también una adecuada labor de coordinación con el resto de organismos nacionales, con las fuerzas y cuerpos de seguridad del Estado, y con otras entidades públicas y privadas», afirma.

Este experto se refiere especialmente en todo lo relacionado con la eventual gestión de incidentes, y con otros aspectos que, aunque con un impacto inicial en la Comunidad de Madrid, puedan afectar a la seguridad nacional.

Desde su punto de vista, “convendría que todas las acciones que pretendan llevarse a cabo se alinearan con las estrategias nacionales de ciberseguridad que puedan desarrollarse en el futuro”.

Madrid debería ser referente en ciberseguridad

Por su parte, Alejandra Frías, magistrada y exvocal del Consejo Nacional de Ciberseguridad, advierte que mereciendo una valoración positiva la creación de la futura agencia, que pone de manifiesto el interés de la Comunidad en este área tan importante, el proyecto nace desfasado si se quiere posicionar a Madrid como referente de la revolución tecnológica.

“Además, se olvida de que a fecha de hoy el verdadero objetivo de Madrid debe ser lograr convertirse en sede de la futura Agencia Europea de Inteligencia Artificial y para ello hace falta una Agencia con un ámbito de actuación mucho más amplio y transversal”.

“Madrid va detrás de otras Comunidades Autónomas como País Vasco y Cataluña que ya en 2017 crearon organismos públicos centrados en materia de ciberseguridad”, recuerda.

La magistrada Alejandra Frías, exvocal del Consejo Nacional de Ciberseguridad.

Para esta jurista, “es importante recordar que Cataluña lo hizo a través de una Ley que fue objeto de un recurso de inconstitucionalidad que declaró la nulidad parcial de algunos de los preceptos de la ley autonómica relativos a las funciones de la Agencia de Ciberseguridad de Cataluña».

En esta sentencia del Pleno del Tribunal Constitucional, 142/2018, de 20 de diciembre, «el TC vino a señalar que la ciberseguridad puede identificarse con la seguridad nacional (no podemos olvidar que el artículo 10 de la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, incluye a la Ciberseguridad como uno de los ámbitos de especial interés de la seguridad nacional), o con la seguridad pública cuando se trata de la protección ordinaria de las redes y las infraestructuras de telecomunicaciones».

Sin embargo, también puede proyectarse sobre otros planos, como la administración electrónica que abarca la organización de medios y previsión de medidas de protección de la Administración y, por extensión, la protección de los derechos de los ciudadanos cuando se relacionan con la Administración por medios electrónicos.

“A este último ámbito viene referido el proyecto de creación de la Agencia madrileña”, comenta Frías.

Sobre las entidades que están en marcha, esta experta señala que “el Centro Vasco de Ciberseguridad (BCSC, acrónimo de «Basque Cybersecurity Centre»), creado en 2017 dentro de la Agencia de Desarrollo Empresarial del Gobierno Vasco (SPRI), integrada en el Departamento o Consejería del ramo, cuenta también con un ámbito de actuación mucho más amplio y transversal que la futura agencia madrileña”.

Sin embargo, en su opinión, la Comunidad Autónoma más innovadora fue Galicia, que ya en 2010 autorizó la creación de la Agencia para la Modernización Tecnológica de Galicia (Amtega), adscrita a la Presidencia de la Xunta de Galicia, (Ley 16/2010, del 17 de diciembre, de organización y funcionamiento de la Administración general y del sector público autonómico de Galicia), que se materializó en 2011 (Decreto 252/2011, del 15 de diciembre) y que desde entonces viene funcionando, siendo la Ciberseguridad uno de sus ámbitos de actuación (Nodo de ciberseguridad en Galicia).

Frías indica que “el anclaje institucional de la agencia gallega es el más acertado, ya que no depende de ninguna Consejería, sino que lo hace directamente de la Presidencia de la Xunta, lo que facilita la coordinación de actuaciones y su actuación transversal”.

“Quiero destacar que este aspecto es muy importante y fue uno de los puntos focales cuando en el seno del Consejo Nacional de Ciberseguridad se estudió cual debía ser el modelo de Gobernanza de la Ciberseguridad en España”, comenta.

En su opinión, “de crearse finalmente con esta configuración, de forma análoga a la Estrategia Nacional de Ciberseguridad de 26 de abril de 2019 (que sustituye a la de 2013) sería deseable que la futura Agencia impulsase la elaboración y aprobación de una Estrategia de Ciberseguridad madrileña donde se plasmen los objetivos y prioridades en su actuación”.

Asimismo, Frías señala que «derivados de la estrategia regional deberían surgir Planes Regionales de Ciberseguridad y de otras materias que sin embargo tienen difícil encaje en su ámbito de actuación tal cual está configurado el proyecto (Internet de las cosas, inteligencia artificial, Big Data…)”.

La importancia de la ciberseguridad

Por su parte, Pablo García Mexia, consultor-director de Derecho Digital en Herbert Smith Freehills y letrado de las Cortes, señala que “con todas las reservas que se desprenden de que no estamos aún a la vista de texto legal alguno, sino del mero anuncio de que se elaborará».

«Se trata de una importante y favorable iniciativa, que demuestra el peso decisivo de la ciberseguridad en todas las facetas de la sociedad actual”.

A su juicio, es “especialmente favorable que el objetivo principal será el de promover una cultura de ciberseguridad, en la medida en que ésta constituye el mejor elemento de prevención en esta materia y además porque la formación de la sociedad española en este campo, como sin duda la de otros países avanzados, exige aún grandes esfuerzos”.

Para este experto, “siendo todo ello así, es sin embargo claro que estas materias están ya cubiertas por diversos (quizá demasiados) organismos a escala estatal, entre los que sin duda destacan el CCN-CNI e INCIBE”.

“Por ello, será clave que la nueva agencia madrileña se incardine armónicamente con todos ellos a fin de garantizar un cumplimiento óptimo de los objetivos que sean comunes”, advierte.

Pablo García, director del área de Derecho Digital en Herbert Smith Freehills.

“A mi juicio, el mayor acierto de esta iniciativa radica en que, si bien obviamente circunscrita al ámbito territorial de la Comunidad de Madrid, viene a colmar una importante laguna en un flanco particularmente vulnerable de la ciberseguridad, como es el de las administraciones locales».

«Las competencias de coordinación y soporte de la nueva agencia serán sin duda de gran utilidad para los entes locales madrileños”.

Sostiene que “será decisivo el engarce con la mayor administración local madrileña, el Ayuntamiento de Madrid, que como es sabido cuenta con muy importantes capacidades en este ámbito”.

Noticias Relacionadas:

Francisco Pérez Bes: «Los procuradores, por su posición estratégica en la cadena de gestión, deben implementar medidas de seguridad adecuadas a ese riesgo»

Miguel Fraga, nuevo socio de  Mercantil y M&A en el despacho Herbert Smith Freehills

Una App para conectarse a los juicios para profesionales y ciudadanos: así es el nuevo proyecto de la Comunidad de Madrid

Isabel Díaz Ayuso, Salvador Illa y Francina Armengol, llamados a la Comisión de las mascarillas del Congreso

Herbert Smith Freehills refuerza su práctica de Financiero con el fichaje de Luis Clouet como nuevo ‘of counsel’

Más seguridad jurídica para propietarios e inquilinos: la Comunidad de Madrid refuerza el Plan Alquila