ORDEN DE 22 DE JULIO DE 2022, POR LA QUE SE MODIFICA LA ORDEN DE LA CONSEJERÍA DE HACIENDA, INDUSTRIA Y ENERGÍA, DE 21 DE OCTUBRE DE 2019, POR LA QUE SE ESTABLECE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA CONSEJERÍA.
El Decreto 1/2011, de 11 de enero 
, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, de acuerdo con lo dispuesto en su artículo 1.1, tiene por objeto definir y regular la política de seguridad de las tecnologías de la información y comunicaciones de la Administración de la Junta de Andalucía, conformando, junto a las disposiciones y documentos técnicos que la desarrollen, el marco regulador de seguridad TIC.
El artículo 10.1 de dicho decreto determina que cada Consejería y entidad deberá contar con un Comité de Seguridad TIC, que no tendrá carácter colegiado y que actuará como órgano de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada.
En su cumplimiento, se dictó la Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la Consejería. Entre otros aspectos, a través de la misma se procedió a crear el Comité de Seguridad TIC de la Consejería.
Entre los componentes de este Comité se encuentra como vocal la persona titular del órgano directivo que tenga asignada las competencias relacionadas con la estrategia y aplicación de las tecnologías de la información y de las comunicaciones. En la actualidad este órgano directivo no se encuentra en la Consejería de Hacienda y Financiación Europea, tal y como se desprende del Decreto 116/2020, de 8 de septiembre , por el que se establece la estructura orgánica de la Consejería de Hacienda y Financiación Europea.
A ello hay que añadir que mediante lo previsto en la disposición adicional vigesimosegunda de la Ley 3/2020, de 28 de diciembre , del Presupuesto de la Comunidad Autónoma de Andalucía para el año 2021, se creó la Agencia Digital de Andalucía, y mediante el Decreto 128/2021, de 30 de marzo , se aprobaron sus Estatutos. Entre los fines de esta Agencia figura la materia de la Seguridad TIC. En este sentido, el artículo 6.3, apartados ñ) y u), de dichos Estatutos establece que para el ejercicio de sus fines corresponden a la Agencia, entre otras, las funciones y competencias relativas al desarrollo y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía y del sector público andaluz y al asesoramiento y asistencia técnica en tecnologías de la información y la comunicación.
Por lo tanto, resulta necesaria la modificación de la Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019, para adaptar la composición del mencionado Comité a la vigente estructura orgánica y actual atribución de funciones en materia de Seguridad TIC, que ya no residen en el órgano directivo central que se encontraba en esta Consejería sino en la Agencia Digital de Andalucía, y considerando el factor clave que hoy en día tiene esta Agencia en la materia.
Por otro lado, con fecha 16 de octubre de 2020 entró en vigor el Decreto 171/2020, de 13 de octubre , por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía. El objeto de este decreto, según lo establecido en su artículo 1.1, es establecer una política de seguridad interior en la Administración de la Junta de Andalucía que defina un completo sistema para la prevención y reacción ante daños intencionadamente provocados por agentes externos, personal propio o personas usuarias, contra sus propias personas usuarias, su personal, sus activos y la continuidad de su funcionamiento y servicios.
El artículo 6.1.b) señala que la organización funcional de la seguridad interior en el ámbito de cada Consejería y entidades dependientes debe tener la siguiente estructura mínima: un Comité de Seguridad Interior y Seguridad TIC y una Unidad de Seguridad Interior.
El artículo 9 determina que las respectivas normas de creación de los Comités de Seguridad TIC a los que alude el artículo 10 del Decreto 1/2011, de 11 de enero, deben modificar su denominación, añadiendo su definición como órganos de dirección y seguimiento en materia de seguridad interior, y actualizando la composición y régimen de los mismos, con descripción incluso de las nuevas funciones a incorporar. Y el artículo 10.1 dispone que cada Consejería y aquellas de sus entidades dependientes en las que estas lo consideren necesario por virtud del volumen o singularidad de los activos, contará con una Unidad de Seguridad Interior.
En el ámbito provincial, serán los servicios periféricos de la Consejería los encargados de gestionar dicha materia, al amparo de lo dispuesto en los artículos 11 , 12 y 13 del Decreto 171/2020, de 13 de octubre. De acuerdo con lo previsto en la disposición adicional segunda del Decreto 226/2020, de 29 de diciembre , por el que se regula la organización territorial provincial de la Administración de la Junta de Andalucía, en la actualidad dichos servicios periféricos están adscritos a las Delegaciones del Gobierno de la Junta de Andalucía.
El que se presenta, tal y como señala el preámbulo del Decreto 171/2020, de 13 de octubre , es un modelo organizativo mínimo en materia de seguridad interior, “cuyas funciones deberán ser asignadas a elementos preexistentes de las estructuras orgánicas y que por lo tanto no presupone el incremento de otras nuevas, ni de nuevos puestos de trabajo”. Con fundamento en los principios de simplificación, economía, eficacia y eficiencia administrativas, el citado Decreto ha optado por evitar la creación ex-novo de un Comité para la seguridad interior en cada Consejería o entidad, incluyendo las que hubieran sido sus funciones y tareas entre las de los Comités de Seguridad TIC, que de este modo deberán modificar su denominación, funciones y composición para incluir los aspectos correspondientes al ámbito de la seguridad interior.
Para cumplir este mandato normativo, surge de nuevo la necesidad de modificar la Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019.
Como consecuencia de lo expuesto, la citada orden se modifica básicamente para actualizar la denominación, composición y atribuciones del Comité y para adecuar la estructura organizativa y de gestión a la materia de Seguridad Interior y de Seguridad TIC, para con ello velar por el cumplimiento de la normativa correspondiente a ambas materias en el ámbito de nuestra Consejería.
En lo que se refiere a la composición del Comité de Seguridad Interior y Seguridad TIC, además de las modificaciones introducidas como consecuencia de la reestructuración de la Consejería, destaca la previsión conforme a la cual a las reuniones del Comité podrá asistir, con voz pero sin voto, una persona asesora de la Dirección General de Patrimonio. Esta medida se introduce en atención a las competencias que le corresponden a dicho órgano directivo en materia de gestión de edificios administrativos.
Asimismo, cabe reseñar que se contempla como novedad que las entidades vinculadas o dependientes de la Consejería serán convocadas a las sesiones del Comité de Seguridad Interior y Seguridad TIC, con voz pero sin voto.
De conformidad con lo dispuesto en el artículo 5 de la Ley 12/2007, de 26 de noviembre, para la promoción de la igualdad de género en Andalucía, en la elaboración de esta disposición se ha tenido presente la perspectiva de la igualdad de género.
También se ha tenido en cuenta la adecuación de la presente norma a los principios de buena regulación a los que se refiere el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, así como el artículo 7 del Decreto 622/2019, de 27 de diciembre, de administración electrónica, simplificación de procedimientos y racionalización organizativa de la Junta de Andalucía. En este sentido, en aras de los principios de necesidad y eficacia, la razón de interés general que justifica la aprobación de la norma es dar cumplimiento a lo dispuesto en los artículos 9 y 10 del Decreto 171/2020, de 13 de octubre, para integrar en la organización de esta Consejería la materia de seguridad interior, actualizando, entre otros aspectos, la denominación, composición y atribuciones del Comité de Seguridad TIC de la Consejería. Al mismo tiempo, mediante esta solución organizativa, se avanza en la coordinación entre la seguridad física y la ciberseguridad, favoreciendo de este modo las sinergias posibles entre ambas materias, lo que conlleva que a través de esta norma se ajuste la estructura organizativa y de gestión a la materia de Seguridad Interior y de Seguridad TIC, con la finalidad de velar por el cumplimiento de la normativa correspondiente a ambas materias en el ámbito de nuestra Consejería.
En virtud del principio de proporcionalidad, esta orden contiene la regulación imprescindible para alcanzar el fin ya expuesto, de tal forma que la Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019, se modifica básicamente, y de manera puntual, para actualizar la denominación, composición y atribuciones del mencionado Comité y para adecuar la estructura organizativa y de gestión a la materia de Seguridad Interior y de Seguridad TIC.
En cuanto al principio de seguridad jurídica y a la justificación sobre el rango del proyecto normativo y su debida coherencia con el resto del ordenamiento jurídico, se resalta que la competencia para la aprobación de esta norma corresponde a la persona titular de la Consejería, al estar ante el ejercicio de la potestad reglamentaria prevista en el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, y su forma, de conformidad con lo dispuesto en el artículo 46.4 de la misma ley, debe ser la de orden.
Por otro lado, al tratarse de una norma organizativa que no afecta directamente a los derechos e intereses legítimos de la ciudadanía, se ha prescindido en su tramitación de la realización de los trámites de consulta, audiencia e información públicas, en virtud de lo dispuesto en los artículos 45.1.f) de la Ley 6/2006, de 24 de octubre; 133.4 (primer párrafo) de la Ley 39/2015, de 1 de octubre , y 28.2 de la Ley 7/2017, de 27 de diciembre, de Participación Ciudadana de Andalucía. Todo ello, sin perjuicio de realizar las consultas internas necesarias a los órganos directivos del ámbito de la Administración de la Junta de Andalucía a los que atañe el objeto de esta norma, así como de solicitar los correspondientes informes preceptivos.
En aplicación del principio de transparencia, entre otros aspectos, y de acuerdo con lo dispuesto en el artículo 45.3 de la Ley 6/2006, de 24 de octubre, la norma se publicará en el Boletín Oficial de la Junta de Andalucía.
En aplicación del principio de eficiencia, al estar ante una norma de carácter interno y organizativo, su aprobación no supondrá una carga administrativa, ni para las empresas ni para la ciudadanía.
La norma se compone de una parte expositiva, un artículo único y una disposición final única.
En su virtud, a propuesta de la Secretaria General Técnica, y en el ejercicio de las atribuciones que me confiere el artículo 44.2 de la Ley 6/2006, de 24 de octubre, y el artículo 26.2.a) de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía,
DISPONGO
Artículo único. Modificación de la Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la Consejería.
La Orden de la Consejería de Hacienda, Industria y Energía, de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la Consejería, queda modificada en los siguientes términos:
Uno. Se modifica el índice de la orden, dando nueva redacción al título de los artículos 5 y 6, así como al de la disposición adicional cuarta y añadiendo el artículo 7.bis, que quedan redactados del siguiente modo:
“Artículo 5. Estructura organizativa de la Consejería en materia de seguridad de la información y seguridad interior.
Artículo 6. Comité de Seguridad Interior y Seguridad TIC.”
“Artículo 7.bis. Unidad de Seguridad Interior.”
“Disposición adicional cuarta. Habilitación para la ejecución.”
Dos. Se añade un nuevo apartado 3 al artículo 1, con la siguiente redacción:
“3. La presente orden también tiene como objeto establecer la organización funcional de la seguridad de la información y de la seguridad interior en la Consejería.”
Tres. Se modifica el apartado 1 y se añade un nuevo apartado 2 al artículo 2, que queda redactado del siguiente modo:
“Artículo 2. Ámbito de aplicación.
1. En el ámbito de la política de seguridad de la información, esta orden será de aplicación a:
a) La Consejería, tanto en sus servicios centrales como periféricos.
b) Las entidades vinculadas o dependientes de la Consejería, de conformidad con el artículo 10.3 del Decreto 1/2011, de 11 de enero, y sin perjuicio de que dichas entidades aprueben su propia política de seguridad de la información en coherencia con la presente orden.
c) Toda persona que, no estando adscrita a la Consejería, tenga acceso a la información gestionada por la Consejería o a los sistemas de información de la misma.
2. Con respecto a la regulación que se establece en la presente orden en materia de seguridad interior, será de aplicación tanto en los servicios centrales de la Consejería como en sus entidades vinculadas o dependientes. En el ámbito provincial, serán los servicios periféricos de la Consejería los encargados de gestionar dicha materia, siguiendo las bases que se establecen en el Decreto 171/2020, de 13 de octubre , por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía.”
Cuatro. Se modifica el artículo 3, que queda redactado en los siguientes términos:
“Artículo 3. Definiciones, objetivos y principios.
1. En lo referente a la política de seguridad de la información, serán aplicables las definiciones, objetivos y principios establecidos en los artículos 2 , 4 y 5 del Decreto 1/2011, de 11 de enero.
2. Las definiciones, objetivos y principios básicos de la política de la seguridad interior son los dispuestos en los artículos 3 , 4 y 5 del Decreto 171/2020, de 13 de octubre.”
Cinco. Se modifica el apartado 2 del artículo 4, que pasa a tener la siguiente redacción:
“2. Todas las personas empleadas que presten servicios en la Consejería o en sus entidades vinculadas o dependientes tienen la obligación de conocer y cumplir la política de seguridad de la información y las normas de seguridad derivadas, siendo responsabilidad del Comité de Seguridad Interior y Seguridad TIC establecer mecanismos adecuados para que la información llegue a las personas afectadas.”
Seis. Se da nueva redacción al artículo 5, que queda con el siguiente contenido:
“Artículo 5. Estructura organizativa de la Consejería en materia de seguridad de la información y seguridad interior.
1. La estructura organizativa de la seguridad de la información de la Consejería, de acuerdo con el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, regulado por el Real Decreto 3/2010, de 8 de enero , y del Decreto 1/2011, de 11 de enero , está compuesta por:
a) Comité de Seguridad Interior y Seguridad TIC.
b) Unidad de Seguridad TIC, cuya persona titular tendrá la condición de Responsable de Seguridad.
c) Responsables de la Información.
d) Responsables del Servicio.
e) Responsables del Sistema.
Además, en el ámbito de la Consejería, y de acuerdo con lo establecido en la normativa sobre protección de datos personales, deberán contemplarse las siguientes figuras:
a) El Delegado o Delegada de Protección de Datos.
b) Responsables del Tratamiento.
c) Encargados del Tratamiento.
Cada una de las entidades vinculadas o dependientes deberá disponer de una estructura organizativa de la seguridad de la información similar a la que se describe para la Consejería, con la salvedad de que no es necesaria la Unidad de Seguridad TIC, pero sí la figura de Responsable de Seguridad.
2. De acuerdo con el Decreto 171/2020, de 13 de octubre , la organización para la gestión de la seguridad interior se configura en la Consejería mediante la siguiente estructura:
a) Comité de Seguridad Interior y Seguridad TIC.
b) Unidad de Seguridad Interior.
c) Puntos Coordinadores de Seguridad.
De conformidad con lo previsto en el artículo 10.1 del Decreto 171/2020, de 13 de octubre, las entidades vinculadas o dependientes, además de su correspondiente Comité de Seguridad Interior y Seguridad TIC, podrán contar con una Unidad de Seguridad Interior cuando así lo consideren necesario en virtud del volumen o singularidad de sus activos. Su designación corresponderá al Comité de Seguridad Interior y Seguridad TIC de la entidad.”
Siete. Se modifica el artículo 6, que queda redactado de la siguiente manera:
“Artículo 6. Comité de Seguridad Interior y Seguridad TIC.
1. La Consejería contará con un Comité de Seguridad Interior y Seguridad TIC como órgano de los regulados en el artículo 10 del Decreto 1/2011, de 11 de enero, para la dirección y seguimiento en materia de seguridad de la información y de los activos TIC, y del tratamiento de datos personales de los que la Consejería sea titular, a través del correspondiente responsable de la información, del servicio o del tratamiento, o cuya gestión tenga encomendada. Asimismo, y de acuerdo con lo dispuesto en el artículo 9 del Decreto 171/2020, de 13 de octubre, le corresponderá la dirección y el seguimiento en materia de seguridad interior.
2. El Comité de Seguridad Interior y Seguridad TIC de la Consejería estará formado por las siguientes personas:
a) Presidencia: la persona titular de la Viceconsejería.
b) Vicepresidencia: la persona titular de la Secretaría General Técnica.
c) Vocalías: las personas titulares de cada uno de los órganos directivos centrales de la Consejería que tengan responsabilidad sobre algún tratamiento, información, servicio y/o sistema.
d) Secretaría: la persona responsable de los sistemas TIC de la Agencia Digital de Andalucía que se ocupe de los sistemas de la Consejería.
3. En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia será sustituida por la persona titular de la Vicepresidencia. Tanto la Vicepresidencia como las vocalías y la Secretaría podrán designar a una persona que les sustituya, con carácter permanente y aplicando un criterio de paridad entre mujeres y hombres, de entre personal funcionario a su servicio que ocupe puestos de trabajo de nivel 28 o superior. Dicha designación será comunicada a la Secretaría.
4. Quien ostente la condición de Delegado o Delegada de Protección de Datos asistirá en calidad de persona asesora, con voz pero sin voto, a las reuniones del Comité de Seguridad Interior y Seguridad TIC.
5. La persona titular de la Unidad de Seguridad TIC, así como la persona titular de la Unidad de Seguridad Interior, asistirán en calidad de personas asesoras, con voz pero sin voto, a las reuniones del Comité de Seguridad Interior y Seguridad TIC.
6. Podrá asistir, con voz pero sin voto, una persona asesora de la Dirección General de Patrimonio.
7. Las personas directivas representantes de las entidades vinculadas o dependientes de la Consejería serán convocadas a las sesiones del Comité de Seguridad Interior y Seguridad TIC, con voz pero sin voto.
8. El Comité se reunirá de forma ordinaria al menos una vez al año. También podrá celebrar reuniones extraordinarias, adicionales a las ordinarias, si se produjeran incidentes de seguridad graves o se produjeran conflictos que pudieran afectar gravemente a los servicios prestados por la Consejería. La evaluación de la gravedad para convocar una reunión extraordinaria la realizará la persona titular de la Vicepresidencia del Comité, que lo someterá a la Presidencia del mismo. Todas las reuniones se realizarán previa convocatoria y de las mismas se levantará acta.
9. El Comité podrá convocar, a través de la Presidencia por iniciativa propia o a propuesta de alguno de sus miembros, y cuando el tratamiento de determinados temas específicos lo requiera, a personal técnico de la organización a los efectos de recibir asesoramiento especializado.
10. Serán funciones propias del Comité de Seguridad Interior y Seguridad TIC, como órgano de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada, y dentro del marco fijado por el Decreto 1/2011, de 11 de enero :
a) Velar por el desarrollo, implantación, concienciación, formación y divulgación, así como por el cumplimiento y actualización de la política de seguridad de la información en la Consejería.
b) Definir y hacer seguimiento de los objetivos, iniciativas y medidas en materia de tratamiento de datos personales y seguridad de la información.
c) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.
d) De acuerdo con lo establecido en el artículo 11.1 del Decreto 1/2011, de 11 de enero, nombrar a la persona titular de la Unidad de Seguridad TIC de la Consejería.
e) Velar por que todos los ámbitos de responsabilidad y actuación en relación a la seguridad de la información y su tratamiento queden perfectamente definidos, conociendo los nombramientos de las personas, órganos y unidades a que hace referencia el artículo 5, y garantizando que todos y cada uno de los miembros de la estructura de seguridad definida conozcan y cumplan sus funciones y responsabilidades.
f) Elevar propuestas de revisión de la política de seguridad de la información de la Consejería, de directrices y normas de seguridad de la Consejería, o de revisión del marco normativo en materia de tratamientos de datos personales y seguridad de la información de la Administración de la Junta de Andalucía, a los órganos competentes para su reglamentaria tramitación.
g) Impulsar la aprobación de las normas sobre tratamiento de datos personales y seguridad de la información.
h) Establecer directrices y supervisar el cumplimiento de la normativa en materia de tratamiento de datos personales y seguridad de la información.
i) Supervisar el nivel de riesgo y supervisar la toma de decisiones en la respuesta a incidentes de seguridad que afecten a la información y/o a los activos TIC.
j) Coordinar a los Comités de Seguridad Interior y Seguridad TIC de las entidades instrumentales vinculadas o dependientes de la Consejería.
k) Promover y fomentar la divulgación y formación en cultura de la seguridad de la información, así como la educación, entrenamiento y concienciación sobre las medidas legales y organizativas relativas al tratamiento de datos personales y a la seguridad de la información entre el personal de la Consejería.
l) Impulsar que por los Responsables o las Responsables de la Información se proceda a la determinación de los niveles de seguridad de la información tratada, en la que se valorarán los impactos que tendrían los incidentes que afectaran a la seguridad de la información; todo ello, con la colaboración de la Unidad de Seguridad TIC.
m) Impulsar los preceptivos análisis de riesgos, junto a los Responsables o las Responsables de los Servicios que correspondan, contando con la participación de la Unidad de Seguridad TIC.
n) Velar por que la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
ñ) Velar por que el desarrollo de normas que tengan incidencia en el tratamiento de datos personales y/o en el desarrollo o explotación de sistemas de información se adecue a lo establecido en la política de seguridad de la información.
o) Dar respuesta a las consultas recibidas relativas a los conflictos que puedan aparecer entre las diferentes personas responsables o entre diferentes áreas de la organización en materia de seguridad de la información.
p) Coordinar las medidas técnicas y organizativas establecidas en la normativa de protección de datos personales, una vez realizados los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento del Delegado o Delegada de Protección de Datos.
q) Impulsar las tareas para la clasificación de activos de información a que hace referencia el artículo 17.
r) Definir y desarrollar la composición y tareas del Grupo de Respuesta a Incidentes en los Sistemas de Información.
11. En el ámbito de la Seguridad Interior, el Comité de Seguridad Interior y Seguridad TIC tendrá asignadas las siguientes funciones:
a) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes estratégicos para la seguridad interior, incluido el Plan de Seguridad Interior de la Consejería.
b) Velar por la disponibilidad de los recursos necesarios para el desarrollo de las iniciativas y planes estratégicos definidos.
c) Establecer directrices comunes y supervisar el cumplimiento de la normativa de seguridad interior en el ámbito de la Consejería.
d) Designar a los miembros de la Unidad de Seguridad Interior, así como designar a su responsable.
e) Aprobar el modelo de relación con los Puntos Coordinadores de Seguridad Interior y tomar conocimiento de la designación de sus titulares.
f) Promover programas de formación, entrenamiento y concienciación sobre las medidas relativas a la seguridad interior entre el personal de la Consejería.
g) Analizar y adoptar decisiones para la prevención o para la respuesta a incidentes susceptibles de generar una crisis de seguridad en la Consejería.
h) Cualquier otra que se le asigne en materia de seguridad interior.
12. El Comité aprobará, por mayoría simple de sus miembros, sus propias reglas de organización, funcionamiento y adopción de acuerdos.
13. La Consejería contará con un Grupo de Respuesta a Incidentes en los Sistemas de Información que tendrá como función la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de información críticos de la Consejería. En caso de que el incidente suponga una violación de la seguridad de los datos personales, se actuará conforme a lo que se regula en el artículo 19.
La composición de este grupo será la siguiente:
a) La persona titular de la Presidencia del Comité de Seguridad Interior y Seguridad TIC.
b) La persona titular de la Vicepresidencia del Comité de Seguridad Interior y Seguridad TIC.
c) Las personas titulares de los órganos directivos centrales que se vean afectados por el incidente.
d) La persona responsable de la Unidad de Seguridad TIC de la Consejería.
e) La persona que ostente la condición de Delegado o Delegada de protección de datos.
Su composición podrá ser modificada mediante acuerdo del Comité de de Seguridad Interior y Seguridad TIC”.
Ocho. Se modifican los apartados 2, 7 y 8 del artículo 7, que quedan redactados del siguiente modo:
“2. La persona titular de la Unidad de Seguridad TIC será designada por el Comité de Seguridad Interior y Seguridad TIC, a propuesta de la Agencia Digital de Andalucía.”
“7. La Unidad de Seguridad TIC elaborará y mantendrá un inventario de servicios y sistemas, con indicación expresa de las personas u órganos que asumen las figuras de Responsable de la Información, Responsable del Tratamiento, Responsable del Servicio, Encargado del Tratamiento, Responsable del Sistema y Responsable de Seguridad, para cada uno de ellos. Dicho inventario se entregará, actualizado, al Comité de Seguridad Interior y Seguridad TIC de la Consejería en cada una de sus reuniones, con indicación de aquellas deficiencias o faltas de información que se produzcan, de modo que el Comité disponga de información completa y pueda arbitrar los mecanismos necesarios para la subsanación de las deficiencias o faltas de información”.
“8. La Unidad de Seguridad TIC podrá ejercer como Responsable de Seguridad de las entidades vinculadas o dependientes de la Consejería, si es nombrada como tal por el Comité de Seguridad Interior y Seguridad TIC de las mismas, previo informe favorable del órgano directivo del que dependa jerárquicamente dicha Unidad.”
Nueve. Se añade un artículo 7 bis, con la siguiente redacción:
“Artículo 7.bis. Unidad de Seguridad Interior.
La Consejería, de acuerdo con lo establecido en el artículo 10 del Decreto 171/2020, de 13 de octubre, contará con una Unidad de Seguridad Interior que desempeñará las funciones relacionadas en el citado artículo. La persona responsable de la Unidad de Seguridad Interior y, en su caso, el resto de personas componentes de la Unidad serán designados por el Comité de Seguridad Interior y Seguridad TIC a propuesta de la persona titular de la Secretaría General Técnica.”
Diez. El apartado 1 del artículo 10 queda redactado del siguiente modo:
“1. La persona titular del órgano directivo de la Agencia Digital de Andalucía que tenga asignada las competencias relacionadas con la estrategia y aplicación de las tecnologías de la información y de las comunicaciones, o una unidad administrativa con rango de Servicio, integrada en dicho órgano directivo y designada por la persona titular del mismo, tendrá la condición de Responsable del Sistema, según el Esquema Nacional de Seguridad, de cada sistema de información cuya explotación tenga encomendada dicho órgano directivo.”
Once. Se da nueva redacción al apartado 3 del artículo 11, que queda del siguiente modo:
“3. La figura del Delegado o Delegada de Protección de Datos podrá poner en conocimiento del Comité de Seguridad Interior y Seguridad TIC las cuestiones relacionadas con la protección de datos que considere necesario y participará, desde el inicio, en todas las cuestiones relacionadas con la protección de datos personales, contribuyendo así al cumplimiento de la protección de datos personales desde el diseño y por defecto.”
Doce. Se añade un nuevo apartado 4 al artículo 13, con la siguiente redacción:
“4. De conformidad con lo previsto en la disposición adicional cuarta del Decreto 128/2021, de 30 de marzo , por el que se aprueban los Estatutos de la Agencia Digital de Andalucía, cuando la misma, en el ejercicio de sus fines y funciones, trate datos personales cuya persona responsable del tratamiento esté comprendida en el ámbito del artículo 2.1 de esta orden, se considerará que actúa como encargada del tratamiento en los términos allí establecidos.”
Trece. Se modifica el apartado 1 del artículo 15, que queda con la siguiente redacción:
“1. Los conflictos entre las diferentes personas, unidades u órganos responsables que componen la estructura organizativa de la política de seguridad de la información serán resueltos por la persona superior jerárquico común, que podrá elevar consulta previa al Comité de Seguridad Interior y Seguridad TIC. En caso de conflicto prevalecerán las decisiones del Comité de Seguridad Interior y Seguridad TIC.”
Catorce. Se da nueva redacción a los apartados 4 y 5 del artículo 16, que quedan del siguiente modo:
“4. La selección de las medidas de seguridad a aplicar será propuesta por el Responsable o la Responsable de Seguridad al Comité de Seguridad Interior y Seguridad TIC.
5. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte de la persona que sea Responsable de Seguridad, que elevará un informe al Comité de Seguridad Interior y Seguridad TIC.”
Quince. Se modifica el párrafo b) del apartado 1 y el apartado 3 del artículo 20, que quedan con la siguiente redacción:
“b) Segundo nivel: Normas específicas de seguridad de la información, que desarrollan y detallan la política de seguridad de la información, centrándose en un área o aspecto determinado. Este tipo de normas deberán ser aprobadas por el Comité de Seguridad Interior y Seguridad TIC de la Consejería.”
“3. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos necesarios para compartir la documentación relativa a normas de seguridad de la información con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la política de seguridad de la información.”
Dieciséis. Se modifica el artículo 22, que pasa a tener la siguiente redacción:
“Artículo 22. Cooperación en materia de seguridad TIC.
A efectos de coordinación, obtención de asesoramiento e intercambio de experiencias para la mejora continua de la gestión de la seguridad de la información, se fomentará, en coordinación con la Unidad de Seguridad TIC Corporativa para los agentes externos a la Junta de Andalucía, el establecimiento de mecanismos de coordinación con al menos los siguientes agentes:
a) La Agencia Digital de Andalucía.
b) El Comité de Seguridad Interior y Seguridad TIC de la Junta de Andalucía.
c) La Unidad de Seguridad TIC de la Junta de Andalucía.
d) AndalucíaCERT (centro especializado y orientado a la prevención, detección y respuesta a incidentes y amenazas de seguridad).
e) El Consejo de Transparencia y Protección de Datos de Andalucía.
f) CCN-CERT: Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), como soporte y coordinación para la resolución de incidentes que sufra la Administración General, Autonómica o Local.
g) La Agencia Española de Protección de Datos (AEPD).
h) El Instituto Nacional de Ciberseguridad (INCIBE).
i) El Departamento contra el cibercrimen de la Guardia Civil y Brigada Central de Investigación Tecnológica del Cuerpo Nacional de Policía, para la investigación de acciones relacionadas con la delincuencia informática y los fraudes en el sector de las telecomunicaciones.
Adicionalmente, se podrán mantener contactos con otros organismos y entidades, incluyendo los entes instrumentales de la Consejería.”
Diecisiete. Se da nueva redacción al apartado 1 del artículo 23, que queda del siguiente modo:
“1. Cuando la Consejería preste servicios a otros órganos o entes, o gestione información de otros órganos o entes, se les hará partícipes de esta política de seguridad de la información y de las normas de seguridad de la información que sean de aplicación, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad Interior y Seguridad TIC, o en su defecto a las distintas personas responsables en materia de seguridad de la información enumeradas en la presente orden, y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.”
Dieciocho. Se modifica el apartado 5 del artículo 25, que queda con la siguiente redacción:
“5. Todas las actuaciones citadas en el presente artículo serán coordinadas por el Comité de Seguridad Interior y Seguridad TIC.”
Diecinueve. El apartado 2 de la disposición adicional segunda, pasa a tener la siguiente redacción:
“2. Las revisiones de la política de seguridad de la información se harán a propuesta del Comité de Seguridad Interior y Seguridad TIC.”
Veinte. La disposición adicional cuarta queda redactada de la siguiente manera:
“Disposición adicional cuarta. Habilitación para la ejecución.
Se habilita a la persona titular de la Secretaría General Técnica para dictar cuantas instrucciones sean necesarias para la ejecución de lo establecido en la presente orden en materia de seguridad interior y en coordinación con la Agencia Digital de Andalucía en materia de política de seguridad de la información.”
Veintiuno. Se modifica la disposición final primera, que queda con la siguiente redacción:
“Disposición final primera. Publicidad de la política de seguridad de la información.
A los efectos de su mejor difusión entre las personas empleadas de la organización y de otras partes interesadas, la presente orden se publicará, además de en el Boletín Oficial de la Junta de Andalucía, en los medios y soportes que se establezcan por el Comité de Seguridad Interior y Seguridad TIC.”
Disposición final única. Entrada en vigor.
La presente orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
