DECRETO 25/2025, DE 6 DE MAYO, POR EL QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL SECTOR PÚBLICO DE LA COMUNIDAD AUTÓNOMA DE LA RIOJA.
En el contexto actual, marcado por la acelerada digitalización, la proliferación de ciberamenazas y la adopción de tecnologías como la inteligencia artificial (IA), el Big Data y otras tecnologías de potencial alto impacto sobre la información y los servicios y sobre la seguridad de esta información y servicios, la relación de la administración con los ciudadanos y otras entidades se produce, principalmente, a través de medios electrónicos y sistemas de información.
[Aquí aparecen varias imágenes o ficheros anexos en el original. Consulte el documento PDF oficial y auténtico]
El uso intensivo de nuevas tecnologías avanzadas (IA, Analítica avanzada, Big Data, etc.) por parte de las Administraciones Públicas, amplifica tanto las oportunidades como los riesgos. Estas tecnologías, bien empleadas, pueden mejorar la eficiencia administrativa, personalizar servicios y optimizar la toma de decisiones. Sin embargo, también presentan desafíos éticos y legales, en materia de privacidad, protección de datos y uso indebido de la información, especialmente cuando la dependencia de todas las organizaciones de la tecnología es tan elevada.
En este contexto de riesgos y dependencias, los sistemas de información que soportan toda la actividad administrativa, deben ser gestionados con rigor, implementando medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan comprometer la disponibilidad, integridad, autenticidad, trazabilidad y confidencialidad de la información tratada o de los servicios prestados. Esta necesidad de protección se intensifica ante las amenazas crecientes, como ciberataques basados en IA, el ransomware y los riesgos derivados de una 'cadena de suministro' cada vez más compleja.
Uno de los objetivos del Gobierno de La Rioja es la consecución de una administración innovadora y abierta que ofrezca a la sociedad servicios de calidad, eficientes, eficaces y seguros. Para ello, debe colaborar con su entorno, impulsar o activar a los ciudadanos para que actúen en el ámbito público, considerando a las personas como protagonistas del cambio, apoyándose en las tecnologías que permitan alcanzar esos objetivos de forma eficiente. Este enfoque se basa en los valores básicos de la gobernanza pública: apertura, orientación a resultados, transparencia, innovación e integración de tecnologías emergentes.
La Ley 39/2015, de 1 de octubre 
, del Procedimiento Administrativo Común de las Administraciones Públicas, consolida en su artículo 14 el derecho de los ciudadanos a relacionarse, preferentemente por medios electrónicos, con las administraciones públicas. Esta interacción digital se refuerza con el Esquema Nacional de Seguridad (ENS), actualizado por Real Decreto 311/2022 , que establece la obligatoriedad de una política de seguridad en los sistemas TIC públicos, alineada con principios básicos y requisitos mínimos para garantizar la seguridad.
Adicionalmente, el marco normativo se complementa con la Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público, el Real Decreto-ley 12/2018 , de Seguridad de las Redes y Sistemas de Información, y el Real Decreto 43/2021 , que lo desarrolla. Este conjunto normativo se orienta hacia la protección integral de los sistemas y servicios electrónicos frente a ciberamenazas cada vez más sofisticadas, como las campañas de desinformación, phishing o el uso malicioso de algoritmos avanzados. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 , de Protección de Datos Personales y Garantía de los Derechos Digitales, proporcionan un marco robusto para la defensa del derecho fundamental a la protección de los datos personales. En el actual contexto de innovación tecnológica, estas normativas adquieren una relevancia crítica para regular el tratamiento masivo de datos, especialmente aquellos derivados del uso de herramientas de IA y analítica avanzada.
El Gobierno de La Rioja, en su compromiso con la transparencia y la confianza ciudadana, revisa y actualiza periódicamente su Política de Seguridad de la Información para adaptarse a los cambios normativos y tecnológicos. Así, este nuevo marco sustituye al anterior Decreto 4/2023, incorporando las últimas disposiciones legales y mejores prácticas internacionales en ciberseguridad y protección de datos.
El artículo 8.uno.1 y 2 de la Ley Orgánica 3/1982, del Estatuto de Autonomía de La Rioja, otorga a la Comunidad Autónoma competencias exclusivas en organización y procedimiento administrativo derivado de sus especialidades.
En su virtud, a propuesta del Consejero de Hacienda Gobernanza Pública, Sociedad Digital y Portavocía del Gobierno, y previa deliberación del Consejo de Gobierno, en su reunión del día 6 de mayo de 2025, acuerda aprobar el siguiente
DECRETO
Artículo único.
Se aprueba la Política de Seguridad de la Información, de la Administración de la Comunidad Autónoma de La Rioja, en los términos recogidos en el Anexo.
Disposición adicional primera. Deber de colaboración.
Todos los órganos y unidades administrativas de la Administración de la Comunidad Autónoma de La Rioja deberán colaborar en las acciones de implementación de esta política de seguridad.
Disposición adicional segunda. Relación con terceros.
Los contratos o convenios que se suscriban a partir de la entrada en vigor de este Decreto deberán contener una cláusula en la que se establezca la obligación de cumplir esta política, que deberá aplicar a toda la cadena de suministro y el sistema de verificación de su cumplimiento, como se concreta en los apartados 11 y 14 del presente Decreto.
Disposición derogatoria única. Derogación normativa.
Queda derogado el Decreto 4/2023, de 15 de febrero por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de La Rioja.
Disposición final primera. Facultad de desarrollo.
Se faculta al titular de la Consejería con competencias en materia de tecnologías de la información para dictar cuantas disposiciones exija la aplicación y ejecución de este Decreto.
Disposición final segunda. Entrada en vigor.
El presente Decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de La Rioja.
