ORDEN DE 1 DE FEBRERO DE 2021 DE REGULACIÓN DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN DEL FONDO GALLEGO DE GARANTÍA AGRARIA Y DE ADAPTACIÓN DE LA NORMATIVA DE SEGURIDAD DE LA INFORMACIÓN.
La Ley 39/2015, de 1 de octubre 
, del procedimiento administrativo común de las administraciones públicas, en su artículo 13, configura como uno de los derechos de las personas en sus relaciones con las administraciones públicas los relativos a la seguridad y confidencialidad de los datos de las personas que figuren en los archivos, sistemas y aplicaciones de las administraciones públicas.
Por otro lado, la Ley 40/2015, de 1 de octubre , de régimen jurídico del sector público, regula en su artículo 156 el Esquema nacional de seguridad en el ámbito de la Administración electrónica. Este último es objeto de regulación específica en el Real decreto 3/2010, de 8 de enero , por el que se regula el Esquema nacional de seguridad en el ámbito de la administración electrónica, que fue modificado mediante Real decreto 951/2015, de 23 de octubre.
El Esquema nacional de seguridad, tal y como expone el Real decreto 3/2010, de 8 de enero , persigue la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, de los datos, de las comunicaciones y de los servicios electrónicos, que permita a la ciudadanía y a las administraciones públicas el ejercicio de derechos y el cumplimiento de sus deberes a través de la aplicación segura de estas tecnologías.
El artículo 11 del Real decreto 3/2010, de 8 de enero, obliga a todos los órganos superiores de las administraciones públicas a disponer formalmente de su política de seguridad. En esta política debe constar la organización e implantación del proceso de seguridad.
Procede tener también presente la regulación contenida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (también denominado Reglamento de protección de datos). Este reglamento tiene por objeto proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
Para dar cumplimiento a la normativa anteriormente citada, la Xunta de Galicia cuenta con la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia, aprobada por el Consello de la Xunta mediante Resolución de 4 de mayo de 2018 de la Agencia para la Modernización Tecnológica de Galicia, por la que se publica la modificación de la política de seguridad de la información de la Administración general y del sector público autonómico de Galicia, publicada en el Diario Oficial de Galicia núm. 91, de 14 de mayo de 2018.
En el punto 5.5.a) de esta resolución se regula la figura de la persona coordinadora de Seguridad de la Información, que es la persona encargada de coordinar los asuntos relativos a la seguridad de la información dentro de su ámbito de actuación, de promover la formación y concienciación en materia de seguridad de la información, de determinar las decisiones a tomar para proteger adecuadamente la información y los servicios y de supervisar su implantación en todos los aspectos no relacionados con las TIC. Esta figura se define con más precisión en el modelo de roles y responsabilidades aprobado por la Comisión de Seguridad y Gobierno Electrónico, donde se recomienda que sus funciones sean asumidas por un órgano colegiado. Esta previsión posteriormente se recoge en el artículo 8.1 del Decreto 73/2014, de 12 de junio, por el que se crean y regulan los órganos colegiados con competencias en materia de seguridad de la información y gobierno electrónico de la Administración general y del sector público autonómico de Galicia, conforme con la modificación que de él efectuó el Decreto 169/2016, de 24 de noviembre.
De ahí la conveniencia de regular formalmente un órgano colegiado en materia de seguridad de la información en el seno del Fondo Gallego de Garantía Agraria (Fogga), que es el Comité de Seguridad del Fondo Gallego de Garantía Agraria, que tiene que disponer de importantes facultades de coordinación en esta materia.
Esta norma prevé la participación de la Agencia para la Modernización Tecnológica de Galicia (Amtega) en el citado comité. En concreto, dispondrá de dos miembros permanentes en el comité. A este respecto procede destacar que la Amtega es la unidad competente en la gestión de los sistemas de información que dan servicio al Fogga. Asimismo, la Amtega es la encargada, de acuerdo con las competencias y acuerdos legalmente establecidos, de aplicar las medidas técnicas que protejan los activos técnicos que gestiona para las consellerías de la Xunta de Galicia acogidas a su régimen.
El Decreto 130/2020, de 17 de septiembre , por el que se fija la estructura orgánica de las vicepresidencias y de las consellerías de la Xunta de Galicia, reguló la estructura de las diversas consellerías y previó la adscripción del organismo autónomo Fogga a la Consellería del Medio Rural.
Asimismo, el Decreto 149/2018, de 5 de diciembre , por el que se establece la estructura orgánica de la Consellería del Medio Rural y se modifica parcialmente el Decreto 177/2016, de 15 de diciembre, por el que se fija la estructura orgánica de la Vicepresidencia y de las consellerías de la Xunta de Galicia, en su artículo 2.2.a) adscribe a esta el Fondo Gallego de Garantía Agraria (Fogga), que es un organismo autónomo de carácter comercial y financiero, creado por la Ley 7/1994, de 29 de diciembre.
El Decreto 155/2006, de 7 de septiembre, por el que se establece el régimen del organismo pagador de los fondos europeos agrarios de Galicia, constituye al Fogga como organismo pagador del Fondo Europeo Agrícola de Garantía (Feaga) y el Fondo Europeo Agrícola para el Desarrollo Rural (Feader).
Según los estatutos de este organismo, aprobados por el Decreto 7/2014, de 16 de enero , el Fondo Gallego de Garantía Agraria (Fogga), se configura como una entidad pública instrumental, con personalidad jurídica propia y diferenciada respecto de la Administración general de la Comunidad Autónoma de Galicia y plena capacidad de obrar para el cumplimiento de sus fines. De especial relevancia en relación con la configuración y estructura interna del Fogga resulta su consideración como organismo pagador de los fondos europeos agrícolas en Galicia, en virtud de lo dispuesto en el Decreto 155/2006, de 7 de septiembre, y en la Orden de 4 de octubre de 2007 por la que se autoriza al Fondo Gallego de Garantía Agraria como organismo pagador de dichos fondos en Galicia.
En tanto organismo pagador, debe respetar las prescripciones previstas en el Reglamento (UE) n.º 907/2014 de la Comisión, de 11 de marzo de 2014, que completa el Reglamento (UE) n.º 1306/2013 del Parlamento Europeo y del Consejo, en lo relativo a los organismos pagadores y otros órganos, la gestión financiera, la liquidación de cuentas, las garantías y el uso del euro. El artículo 1.2.c) de este reglamento exige que los organismos pagadores cumplan los criterios de autorización previstos en su anexo I en diversos ámbitos, como el de la información y comunicación.
El anexo I.3 del Reglamento 907/2014 exige que el organismo pagador aplique en materia de seguridad de la información los criterios previstos en las normas que contiene.
Teniendo en cuenta de la actual actividad de gestión y control del Fogga resulta idónea la aplicación del código de prácticas para la gestión de la seguridad de la información contenido en la norma ISO 27002. Así pues, esta orden viene a regular la utilización de ese estándar de seguridad en el ámbito del Fogga.
El Reglamento (UE) n.º 1306/2013, de 17 de diciembre, del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, sobre la financiación, gestión y seguimiento de la política agrícola común, por el que se derogan los reglamentos (CE) n.º 352/78, (CE) n.º 165/94, (CE) n.º 2799/98, (CE) n.º 814/2000, (CE) n.º 1290/2005 y (CE) n.º 485/2008 del Consejo faculta, en su artículo 7.1, a los organismos pagadores para delegar la realización de sus tareas de gestión y control de los gastos, con excepción de la ejecución de los pagados. En particular, el artículo 1.2 del citado Decreto 155/2006, de 7 de septiembre, faculta expresamente al Fogga para delegar sus tareas, con excepción del pago de las ayudas comunitarias. Sin embargo, conviene tener presente que las mismas exigencias que se regulan para el organismo pagador son aplicables a las unidades en las que este delegue sus tareas. En consonancia con esto, cuando se alude al estándar de seguridad del Fogga, por extensión se está haciendo referencia al estándar aplicable a las entidades y unidades en las que este delegó sus tareas, aplicándose a ellas sus exigencias exclusivamente en el ámbito de gestión de los fondos Feaga y/o Feader, no en los restantes ámbitos de actuación que hubieran podido tener.
En su virtud, en el ejercicio de las facultades que me fueron concedidas con base en el artículo 34 de la Ley 1/1983, de 22 de febrero, de normas reguladoras de la Xunta y de su Presidencia,
DISPONGO:
TÍTULO PRELIMINAR
Disposiciones generales
Artículo 1. Objeto
Esta orden tiene por objeto:
a) Regular el Comité de Seguridad del Fondo Gallego de Garantía Agraria.
b) Establecer el estándar de calidad ISO 27002 como norma básica para la implantación del sistema de seguridad de las tecnologías de la información en el ámbito del Fogga. La aplicación de este estándar de calidad ISO 27002 lleva implícito el cumplimiento de las exigencias del Esquema nacional de seguridad.
TÍTULO I
Comité de Seguridad de la Información del Fogga
Artículo 2. Naturaleza y composición
1. El Comité de Seguridad del Fogga es el órgano paritario de participación en el Fogga destinado a la consulta regular y periódica de las actuaciones en materia de gestión de seguridad de la información.
2. El Comité de Seguridad de Fogga está integrado por miembros permanentes, miembros invitados y miembros especiales.
3. Los miembros permanentes del Comité de Seguridad del Fogga son:
a) La persona titular de la Secretaría del Fogga.
b) La persona titular del Servicio de Gestión Económica del Fogga.
c) La persona titular del Servicio de Gestión Administrativa del Fogga.
d) La persona titular de la Subdirección General de Gestión de la PAC.
e) La persona titular del Servicio de Auditoría Interna del Fogga.
f) Un máximo de dos personas representantes de la Agencia para la Modernización Tecnológica de Galicia, como unidad competente en la gestión de los sistemas de información que dan servicio al Fogga. Una de las personas previstas en esta letra deberá representar a la unidad de la Amtega competente en materia de seguridad de la información.
4. Los miembros invitados del Comité de Seguridad del Fogga son los que se indican a continuación:
a) Una persona representante de cada uno de los gestores autorizados por el Fogga de los fondos europeos Feaga y Feader. Cada unidad gestora autorizada es competente para designar a su representante y a un suplente y lo comunicará a la Secretaría del Fogga.
b) Una persona representante de la Subdirección General de Auditoría de Fondos Comunitarios y Subvenciones integrada en la Intervención General de la Xunta de Galicia.
5. El Comité de Seguridad de la Información del Fogga contará con una presidencia y una secretaría.
6. En la composición del Comité se atenderá al principio de presencia equilibrada de mujeres y hombres. La comunicación que se realice para la designación de representantes recordará la importancia social de tender a este objetivo de igualdad.
Artículo 3. Presidencia
1. La presidencia del Comité de Seguridad de la Información del Fogga será asumida por la persona titular de la Secretaría del Fogga.
2. En caso de vacante, ausencia o enfermedad, la persona titular de la presidencia será sustituida por la persona titular de la Subdirección General de Gestión de la PAC y, en su defecto, por la persona que designe la Presidencia.
3. Son funciones de la presidencia las siguientes:
a) Impulsar y dirigir la acción y proyectos aprobados en el Comité de Seguridad.
b) Representar al Comité de Seguridad.
c) Convocar las reuniones del Comité y establecer el orden del día, teniendo en cuenta de peticiones de los demás miembros del Comité presentadas con la debida antelación.
d) Presidir las reuniones, moderar los debates y suspenderlos por causas justificadas.
e) Visar las actas y los certificados de los acuerdos del Comité.
Artículo 4. Secretaría
1. La Secretaría del Comité de Seguridad de la Información será asumida por la persona titular del Servicio de Gestión Administrativa del Fogga.
2. En caso de vacante, ausencia o enfermedad, a persona titular de la presidencia será sustituida por la persona titular del Servicio de Gestión Económico del Fogga y, en su defecto, por la persona que designe la persona titular de la secretaría del Comité.
3. Son funciones de la persona titular de la secretaría las siguientes:
a) Representar al Comité de Seguridad.
b) Efectuar las convocatorias del Comité en nombre de la presidencia, así como enviar otras comunicaciones a sus miembros.
c) Redactar las actas de cada sesión y expedir certificados de los acuerdos adoptados.
d) Custodiar la documentación relativa al Comité.
Artículo 5. Miembros permanentes del Comité
1. Los miembros permanentes del Comité dispondrán de voz y voto de las reuniones.
2. Corresponde a los miembros permanentes del Comité las siguientes funciones:
a) Participar en los debates, presentar propuestas y ejercer su derecho al voto.
b) Formular propuestas para la orden del día.
c) Demandar la información que precisen para el desarrollo de sus funciones.
3. La Agencia para la Modernización Tecnológica de Galicia (Amtega) dispondrá de dos miembros permanentes en el Comité.
Artículo 6. Miembros invitados del Comité
Los miembros invitados pueden asistir a las sesiones con voz pero sin voto, con el objeto de disponer de la facultad de conocer las cuestiones de interés para el cumplimiento de la normativa en materia de seguridad de la información a la que están obligados.
Artículo 7. Miembros especiales
Podrán asistir en calidad de miembros especiales, con voz pero sin voto, a las reuniones del Comité:
a) Los suplentes de los miembros, aunque asista el titular.
b) El personal de otras unidades o entidades cuando lo solicite algún miembro permanente por considerarlo relevante para la toma de decisiones de la Comisión.
Artículo 8. Ámbito de actuación
El Comité de Seguridad de la Información del Fogga tiene como ámbito de actuación los aspectos relativos a la seguridad de la información requeridos al Fogga por la legislación aplicable, por la normativa de protección de datos de carácter personal y otras, así como por la normativa corporativa de mayor nivel, y que no sean competencia de la Amtega o de las unidades TIC con competencias no asumidas por esta.
Artículo 9. Funciones
De acuerdo con la política de seguridad las funciones del Comité de Seguridad del Fogga son las siguientes:
a) Promover que los requisitos de seguridad estén alineados con los objetivos estratégicos del Fogga.
b) Coordinar la implantación de la política de seguridad en el Fogga.
c) Supervisar los cambios significativos de los sistemas que puedan afectar a la política de seguridad.
d) Revisar la efectividad de la política de seguridad e informes de incidencias más significativas en esta materia.
e) Diseñar los procedimientos de seguridad dentro del Fogga y su aprobación.
f) Mantener la política de seguridad actualizada y alineada con las actividades del Fogga y controlar las amenazas sobre la información y otros activos del Fogga.
g) Investigar y actuar para prevenir incidencias de seguridad.
h) Asegurar que se dispone de los recursos necesarios para dar respuesta a las demandas.
i) Proponer la designación de responsabilidades de seguridad asociadas a cada elemento de las políticas de seguridad dentro del Fogga.
j) Promover iniciativas sobre la seguridad de la información y revisar el estado de la seguridad de la información.
k) Centralizar la planificación, desarrollo y control de proyectos de seguridad, definiendo metodologías y procesos para la gestión de la seguridad de la información.
l) Implantar y administrar los controles de seguridad de los sistemas de información, pudiendo delegar tareas de gestión de usuarios en otras unidades, encargándose a Amtega de la parte técnica que le corresponde.
m) Liderar e impulsar la adopción de normas de seguridad de la información, de carácter obligatorio, en las entidades y organismos gestores delegados (normas ISO 27001 e ISO 27002), del Esquema nacional de seguridad en el ámbito del Fogga en coordinación con las directrices corporativas de la Xunta de Galicia en esta materia y del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ; de la Ley orgánica 3/2018, de 5 de diciembre , de protección de datos personales y garantía de los derechos digitales y demás normativa nacional de aplicación, en coordinación con las directrices corporativas de la Xunta de Galicia en esta materia.
Artículo 10. Funcionamiento
1. El Comité se rige para el ejercicio de sus funciones por sus propias normas de funcionamiento y régimen interno, mediante la aprobación de un reglamento interno de funcionamiento.
2. Sin perjuicio de lo anterior, el funcionamiento del comité se ajustará a lo establecido en los artículos 16 al 21 de la Ley 16/2010, de 17 de diciembre, de organización y funcionamiento de la Administración general y del sector público autonómico de Galicia, y en los artículos 15 al 18 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.
TÍTULO II
Estándar de seguridad del Fogga
Artículo 11. Estándar de seguridad en el Fogga y requisitos del Esquema nacional de seguridad
El Fondo Gallego de Garantía Agraria se ajustará en su actuación al Código de prácticas para la gestión de la seguridad de la información contenido en la norma ISO 27002, que será la norma básica para la implantación del sistema de seguridad de las tecnologías de la información en el ámbito del Fogga conforme a lo previsto en el anexo I.3 del Reglamento 907/2014 de la Comisión, de 11 de marzo de 2014, que completa el Reglamento (UE) n.º 1306/2013 del Parlamento Europeo y del Consejo, en lo relativo a los organismos pagadores y otros órganos, la gestión financiera, la liquidación de cuentas, las garantías y el uso del euro. La aplicación de este estándar de calidad ISO 27002 lleva implícito el cumplimiento de las exigencias del Esquema nacional de seguridad.
Disposición adicional primera. No incremento del gasto
La constitución y el funcionamiento del órgano colegiado previsto en esta orden no supondrán en ningún caso un incremento del gasto público y no generará aumento de los créditos presupuestarios asignados al Fogga.
Disposición derrogatoria. Derogación normativa
Queda derogada la Orden de 4 de julio de 2005 por la que se adopta el estándar de calidad ISO 17799 como norma de seguridad de los sistemas de información de la Consellería de Política Agroalimentaria y Desarrollo Rural.
Disposición final primera. Facultad de desarrollo
Se faculta a la persona titular de la Dirección del Fogga, en el ámbito de sus respectivas competencias, para dictar las instrucciones precisas para el desarrollo y ejecución de esta orden.
Disposición final segunda. Entrada en vigor
Esta orden entrará en vigor el día siguiente al de su publicación en el Diario Oficial de Galicia.
