Está Vd. en

Legislación consolidada(información)Este texto consolidado es de carácter informativo y no tiene valor jurídico.
La consolidación consiste en integrar en un solo texto, sin valor oficial, las modificaciones, correcciones y derogaciones de carácter expreso que una norma ha tenido desde su origen, con el objetivo de facilitar el acceso al Derecho vigente. Para fines jurídicos, debe consultarse la publicación oficial.

Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.

Publicado en:
«DOGC» núm. 7423, de 31/07/2017, «BOE» núm. 196, de 17/08/2017.
Entrada en vigor:
01/08/2017
Departamento:
Comunidad Autónoma de Cataluña
Referencia:
BOE-A-2017-9800
Permalink ELI:
https://www.boe.es/eli/es-ct/l/2017/07/25/15/con

Texto consolidado: «Última actualización, publicada el 31/12/2021»

EL PRESIDENTE DE LA GENERALIDAD DE CATALUÑA

Sea notorio a todos los ciudadanos que el Parlamento de Cataluña ha aprobado y yo, en nombre del Rey y de acuerdo con lo que establece el artículo 65 del Estatuto de autonomía de Cataluña, promulgo la siguiente Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña

PREÁMBULO

La sociedad de la información se configura como una plataforma global para la libre circulación de la información, las ideas y el conocimiento, y los poderes públicos apuestan claramente por su implantación, utilizando cada día más las herramientas que tanto las administraciones como los prestadores de servicios ponen a su disposición. El uso cotidiano de las tecnologías de la información y la comunicación (TIC) y el tratamiento que realizan de la información las convierten en elementos esenciales para el actual desarrollo económico y la convivencia social. La dependencia, por tanto, de estas tecnologías, sistemas e información hace que resulten básicos para garantizar la continuidad de las actividades, para ofrecer seguridad jurídica en las acciones del ciudadano y el tráfico mercantil, y para garantizar el progreso y desarrollo social de los ciudadanos en esta sociedad de la información.

Sin embargo, varios retos y amenazas afectan al desarrollo de la sociedad de la información y ponen en peligro su seguridad. La interrelación y dependencia de las infraestructuras y los servicios de comunicaciones hacen que su protección ante ciberamenazas se haya convertido en un pilar básico.

Tanto en el ámbito nacional como en el internacional, puede detectarse que la actividad organizada en la red que tiene como objetivo perjudicar a acciones y servicios públicos de gobiernos y empresas privadas de relevancia notable se ha incrementado exponencialmente, así como el impacto de las acciones, que en muchos casos ha llegado a afectar a los servicios básicos para el buen funcionamiento de las administraciones y para la ciudadanía.

En los últimos tiempos, la beligerancia de las actuaciones en la red dirigidas hacia Cataluña, en general, y, concretamente, hacia la Administración de la Generalidad y sus servicios públicos, hace necesario abordar una actuación decidida para la protección de la información, las infraestructuras y los intereses de la Generalidad y de las personas e instituciones públicas y privadas de Cataluña.

La evolución en la motivación y complejidad de los ciberataques sitúan las infraestructuras esenciales de Cataluña como objetivo. Estas infraestructuras son necesarias para garantizar el correcto funcionamiento del Gobierno y de las administraciones públicas, y para la protección y el buen funcionamiento de los servicios básicos para la ciudadanía, o sea, los servicios que garantizan la seguridad y continuidad social básica, como, por ejemplo, los principales suministros o el apoyo a la movilidad y la red viaria. Por esta razón, es preciso garantizar la protección de estos servicios y deviene una prioridad velar por su ciberseguridad.

Uno de los principales objetivos del servicio público de ciberseguridad es la necesidad de investigar ciberataques en el ámbito de sus competencias. Actualmente Cataluña no tiene esta capacidad, que es imprescindible para garantizar la correcta protección de las personas públicas y privadas en el territorio de Cataluña y la coordinación eficiente con los cuerpos de seguridad cuando de estos incidentes puedan derivarse conductas ilícitas. Esta capacidad permitirá, además, apoyar a las autoridades competentes para que puedan ejercer mejor sus funciones públicas en la red. Este apoyo es imprescindible para garantizar que las autoridades puedan cumplir sus funciones con la máxima seguridad técnica y jurídica en el ámbito de la sociedad de la información.

Así, es preciso un equipo de respuesta a incidentes que gestione los incidentes de ciberseguridad que afecten al territorio de Cataluña y que tenga las competencias establecidas por la normativa de la sociedad de la información.

Para dar respuesta a estas necesidades, es preciso un organismo que, en el ámbito de las competencias de la Generalidad, vele por el cumplimiento de las funciones del servicio público de ciberseguridad y permita garantizar y aumentar el nivel de seguridad de las redes y los sistemas de información en Cataluña. Sus funciones deben basarse en la implantación de medidas de protección sobre la infraestructura pública y sus servicios, así como en la coordinación con los proveedores privados de servicios de la sociedad de la información para la consecución de sus objetivos.

Actualmente, la Generalidad cuenta con la Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), que es una entidad sin ánimo de lucro que tiene por objeto el establecimiento y seguimiento de los programas y planes de actuación necesarios para garantizar una sociedad de la información segura. El Centro de Seguridad de la Información de Cataluña es una herramienta para la generación de un tejido empresarial catalán de aplicaciones y servicios de seguridad de las tecnologías de la información y la comunicación que sea referente nacional e internacional. Las finalidades de las actividades y actuaciones de esta Fundación son el fomento y la promoción de la seguridad de las tecnologías de la información y la comunicación en el ámbito nacional, de acuerdo con los planes de actuación que se elaboren. La Fundación Centro de Seguridad de la Información de Cataluña, sin embargo, por su forma jurídica, no puede ejercer las funciones ni prestar el servicio público de ciberseguridad.

La afectación de los mencionados ataques cibernéticos da fundamento a la necesidad de abordar esta materia en el ámbito de Cataluña para dotar la ciudadanía, las empresas y las instituciones de un servicio de ciberseguridad público encargado de su protección y de llevar a cabo actuaciones y proporcionar información para reducir el impacto de estos ataques.

Así pues, la presente ley tiene como finalidad la disolución del Cesicat y la creación de una entidad de derecho público, la Agencia de Ciberseguridad de Cataluña, con personalidad jurídica propia, sometida al derecho privado, a la que se otorgan las funciones mencionadas. De esta forma, se garantiza que el Gobierno disponga de las herramientas necesarias para afrontar los riesgos y amenazas que plantea actualmente la plena integración a la sociedad de la información.

Este nuevo organismo puede ejercer las siguientes funciones, entre otras: desarrollar y liderar el servicio público de ciberseguridad necesario para la protección del territorio de Cataluña ante las amenazas actuales, coordinar la ciberseguridad entre los diferentes actores en el ámbito de Cataluña como responsable de esta materia, y garantizar la ciberseguridad de la Administración de la Generalidad y de su sector público, y, si procede, de las demás entidades e instituciones públicas de Cataluña, de los entes locales y de las personas físicas y jurídicas situadas en Cataluña.

Ante los riesgos que la ciberseguridad plantea a Cataluña y a sus instituciones, la falta de esta figura impedía gestionar correctamente los incidentes de carácter global que las afectan y coordinar los esfuerzos de los diferentes equipos que puedan tener conocimiento de ellos.

Para garantizar la necesaria actualización y adecuación de las medidas de protección para hacer frente a las amenazas, la Agencia de Ciberseguridad de Cataluña ejecuta los planes de actuación en materia de ciberseguridad que el Gobierno elabora y aprueba. La ejecución de estos planes garantiza que se desarrollen y apliquen las medidas necesarias para hacer frente a ciberataques y ciberamenazas, que se reduzca el riesgo y que se mejoren los niveles de ciberseguridad de la ciudadanía, las instituciones y las empresas.

Se modifica la Ley 29/2010, de 3 de agosto, del uso de los medios electrónicos en el sector público de Cataluña, para su adecuación a lo establecido por la presente ley.

La competencia de la Generalidad para la creación de la Agencia de Ciberseguridad de Cataluña viene dada por el artículo 150 del Estatuto de autonomía de Cataluña, de acuerdo con el cual corresponde a la Generalidad, en materia de organización de su Administración, la competencia exclusiva sobre la estructura, la regulación de los órganos y directivos públicos, el funcionamiento y la articulación territorial, y las diversas modalidades organizativas e instrumentales para la actuación administrativa.

El artículo 140.7 del propio Estatuto dispone que corresponde a la Generalidad, de acuerdo con la normativa del Estado, la competencia ejecutiva en materia de comunicaciones electrónicas, que incluye, en todo caso, promover la existencia de un conjunto mínimo de servicios de acceso universal.

De acuerdo con el artículo 121.1.a del Estatuto, corresponde a la Generalidad la competencia exclusiva en materia de comercio, que incluye, en todo caso, la ordenación administrativa del comercio electrónico.

De conformidad con el artículo 53 del propio Estatuto, los poderes públicos deben facilitar el conocimiento de la sociedad de la información y deben impulsar el acceso a la comunicación y a las tecnologías de la información, en condiciones de igualdad, en todos los ámbitos de la vida social, incluido el laboral; deben fomentar que estas tecnologías se pongan al servicio de las personas y no afecten negativamente a sus derechos, y deben garantizar la prestación de servicios mediante dichas tecnologías, de acuerdo con los principios de universalidad, continuidad y actualización.

Por otra parte, de acuerdo con el artículo 49 del Estatuto, los poderes públicos deben garantizar la protección de la seguridad y la defensa de los derechos y de los intereses legítimos de los consumidores y usuarios.

La presente ley responde también a la necesidad de dar cumplimiento a la Moción 75/X, de 13 de febrero de 2014, sobre las políticas de impulso de las tecnologías de la información y de la comunicación, en la que el Parlamento insta al Gobierno a adoptar la forma jurídica más adecuada para llevar a cabo las funciones asignadas al Centro de Seguridad de la Información de Cataluña y a garantizar el escrutinio público y el control parlamentario de la actividad de este organismo. También responde a la necesidad de dar cumplimiento a la Resolución 535/X, de 19 de febrero de 2014, sobre la modificación de los estatutos del Centro de Seguridad de la Información de Cataluña, en que el Parlamento insta al Gobierno a reconvertir el Centro de Seguridad de la Información de Cataluña en una agencia gubernamental.

CAPÍTULO I

Disposiciones generales

Artículo 1. Creación, naturaleza jurídica y régimen jurídico.

1. Se crea la Agencia de Ciberseguridad de Cataluña, como entidad de derecho público de la Administración de la Generalidad, con personalidad jurídica propia, que ajusta su actividad al ordenamiento jurídico privado, con plena capacidad de obrar para el cumplimiento de sus fines y con plena autonomía orgánica y funcional, adscrita al departamento competente en materia de ciberseguridad y sociedad digital.

2. La Agencia de Ciberseguridad de Cataluña se rige por la presente ley y por sus estatutos, por el Estatuto de la empresa pública catalana y por las demás leyes y disposiciones que le son de aplicación.

3. La actividad de la Agencia de Ciberseguridad de Cataluña se ajusta, con carácter general, en sus relaciones externas, a las normas de derecho civil, mercantil y laboral que le son de aplicación, salvo los actos que implican el ejercicio de potestades públicas, que se someten al derecho administrativo. La Agencia, en sus relaciones con el departamento al que se adscribe, se somete al derecho administrativo.

4. Las funciones que la presente ley atribuye a la Agencia de Ciberseguridad de Cataluña tienen la consideración de esenciales y son básicas para garantizar el correcto funcionamiento de la Administración de la Generalidad y su sector público.

Artículo 2. Objeto y funciones.

1. (Anulado).

2. La Agencia de Ciberseguridad de Cataluña tiene por objetivo la ejecución de las políticas públicas en materia de ciberseguridad, y en particular:

a) Asesorar al Gobierno y prestarle apoyo en la elaboración de los planes de ciberseguridad que debe aprobar y en la consecución de los objetivos establecidos en estos planes.

b) Ejecutar los planes de ciberseguridad que en cada momento estén vigentes.

c) Coordinarse con otros organismos en todo lo que se considere necesario para la consecución de los objetivos especificados en los planes de ciberseguridad.

d) Organizar las actividades de difusión, formación y concienciación en materia de ciberseguridad adecuadas a los diferentes colectivos destinatarios, poniendo especial énfasis en los que presentan situaciones de vulnerabilidad y facilitando las herramientas y los programas adecuados.

e) Impulsar un clima de confianza y seguridad que contribuya al desarrollo de la economía y la sociedad digital en Cataluña.

3. La Agencia de Ciberseguridad de Cataluña, en la ejecución de los objetivos a que se refiere el apartado 2, puede ejercer sus funciones con relación a las personas físicas o jurídicas situadas en Cataluña y establecer la colaboración necesaria con los prestadores de servicios de la sociedad de la información y de comunicaciones electrónicas que actúen o tengan infraestructura en Cataluña.

4. Las funciones de la Agencia de Ciberseguridad de Cataluña son las siguientes:

a) Prevenir y detectar incidentes de ciberseguridad en Cataluña y responder a ellos, desplegando las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan.

b) Planificar, gestionar, coordinar y supervisar la ciberseguridad en Cataluña, estableciendo la capacidad preventiva y reactiva necesaria para paliar los efectos de los incidentes de ciberseguridad que afecten al territorio de Cataluña, así como las pruebas que puedan organizarse en materia de ciberseguridad y continuidad. En el ámbito de la Administración de la Generalidad y su sector público, la Agencia debe ejercer estas funciones mediante la prestación de sus servicios, coordinando las actuaciones que requieran su apoyo con el Centro de Telecomunicaciones y Tecnologías de la Información.

Téngase en cuenta que se declara la inconstitucionalidad y nulidad del apartado 1 y los incisos destacados de los apartados 3 y 4, y que el apartado 2 no es contrario a la Constitución interpretado en los términos del fundamento jurídico 7.b.i) por Sentencia del TC 142/2018, de 20 de diciembre. Ref. BOE-A-2019-959

c) Ejercer las funciones de equipo de respuesta a emergencias (CERT) competente en Cataluña que establece la legislación vigente, en particular la normativa de servicios de la sociedad de la información, incluyendo la relación con otros organismos de ciberseguridad nacionales e internacionales, y la coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial. Asimismo, debe ejercer estas funciones como equipo de respuesta a emergencias del Gobierno.

d) Minimizar los daños y el tiempo de recuperación en caso de ciberataque.

e) Actuar como apoyo, en materia de ciberseguridad, de cualquier autoridad competente para el ejercicio de sus funciones públicas y, en particular, en las tareas de lucha contra las conductas ilícitas, incluidas la intervención directa y la obtención de pruebas electrónicas. En la investigación y represión de ilícitos penales, la Agencia debe colaborar con los cuerpos policiales y las autoridades judiciales de acuerdo con lo establecido por la normativa vigente, previo requerimiento, actuando de forma coordinada, y preservando y poniendo a su disposición los elementos relevantes para la investigación y los que puedan constituir una prueba.

f) Investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia.

g) Recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en Cataluña para conocer el estado de la seguridad de la información, informar al Gobierno y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad.

h) Apoyar a los responsables de la continuidad de los servicios e infraestructuras de las tecnologías de la información y la comunicación de la Generalidad y de las demás administraciones públicas que lo requieran.

5. Son funciones de la Agencia de Ciberseguridad de Cataluña, en el ámbito del Gobierno y de la Administración de la Generalidad y su sector público dependiente, las siguientes:

a) Impulsar y aprobar un marco de directrices y normas técnicas de seguridad de cumplimiento obligatorio para la Administración de la Generalidad y para los organismos y entidades vinculados o dependientes, para garantizar una protección eficaz, en particular ante el cibercrimen y los ciberataques. En el marco de las directrices y normas técnicas para la protección de los sistemas de información policiales, la Agencia debe coordinarse con el departamento competente en materia de policía y seguridad pública.

b) Informar preceptivamente en los procedimientos de elaboración de disposiciones normativas tramitadas por la Administración de la Generalidad en materia de ciberseguridad y gobernanza de las tecnologías de la información y la comunicación.

c) Prestar los servicios materiales y técnicos de ciberseguridad necesarios al Gobierno y a la Administración de la Generalidad y a los organismos y entidades vinculados o dependientes.

d) Garantizar la ciberseguridad en la prestación de los servicios de identificación electrónica y de identidad y confianza digitales por parte de los prestadores establecidos en Cataluña o que, en otro caso, ofrezcan servicios a la Administración de la Generalidad y a los organismos y entidades vinculados o dependientes.

6. La Agencia de Ciberseguridad de Cataluña debe colaborar con los organismos judiciales y policiales de acuerdo con lo establecido por la normativa vigente. En el ejercicio de sus funciones, la Agencia debe coordinarse con los cuerpos policiales y de seguridad pública, sin perjuicio de las funciones propias del departamento competente en esta materia. En especial, la Agencia debe coordinarse con los cuerpos policiales para la ciberseguridad y protección de los sistemas de información policiales, de acuerdo con las competencias que dichos cuerpos tienen reconocidas en esta materia.

7. La Agencia de Ciberseguridad de Cataluña debe establecer líneas de colaboración en el ámbito de la ciberseguridad con los entes locales de Cataluña.

CAPÍTULO II

Estructura orgánica

Artículo 3. Órganos de gobierno.

Los órganos de gobierno de la Agencia de Ciberseguridad de Cataluña son el Consejo de Administración y la Dirección.

Artículo 4. El Consejo de Administración.

1. El Consejo de Administración de la Agencia de Ciberseguridad de Cataluña, que debe tener composición paritaria, está integrado por los diez miembros siguientes:

a) El presidente o presidenta, cargo que corresponde al consejero o consejera del departamento competente en materia de ciberseguridad y sociedad digital.

b) Dos vicepresidentes, uno de los cuales es el secretario o secretaria general del departamento competente en materia de ciberseguridad y sociedad digital, y el otro, el secretario o secretaria general del departamento competente en materia de seguridad pública.

c) El secretario o secretaria del Gobierno.

d) El secretario o secretaria sectorial competente en materia de políticas digitales.

e) Un vocal o una vocal del departamento competente en materia de administraciones locales.

f) Un vocal o una vocal del departamento competente en materia de seguridad pública.

g) Un vocal o una vocal del departamento competente en materia de tecnologías de la información y la comunicación.

h) Un vocal o una vocal del departamento competente en materia de administración digital.

i) El director o directora de la Agencia de Ciberseguridad de Cataluña.

2. Los vocales a que se refieren las letras e, f, g y h deben tener el rango orgánico mínimo de director o directora general, y son nombrados por el Gobierno.

Artículo 5. La Dirección.

1. El director de la Agencia de Ciberseguridad de Cataluña es designado libremente por el Gobierno, una vez oído el Consejo de Administración, que tiene las potestades correspondientes para su contratación y separación, si procede.

2. El director de la Agencia de Ciberseguridad de Cataluña, entre el momento de la designación y el de la contratación efectiva, debe comparecer ante la comisión del Parlamento de Cataluña competente en materia de ciberseguridad.

Artículo 6. Estatutos.

Corresponde al Gobierno aprobar, mediante decreto, los estatutos de la Agencia de Ciberseguridad de Cataluña, los cuales deben determinar y regular las funciones de los órganos de gobierno, el funcionamiento del Consejo de Administración y la estructura orgánica interna y el régimen de funcionamiento de la Agencia.

CAPÍTULO III

Régimen económico y financiero, de contratación, de personal y de control

Artículo 7. Régimen económico y financiero.

1. La Agencia de Ciberseguridad de Cataluña goza de la autonomía financiera establecida por la normativa de las finanzas de la Generalidad.

2. Constituyen el patrimonio de la Agencia de Ciberseguridad de Cataluña los bienes y derechos que le son adscritos y los bienes y derechos propios de cualquier naturaleza que adquiera por cualquier título.

3. Los recursos de la Agencia de Ciberseguridad de Cataluña están integrados por:

a) Los bienes y valores que constituyan su patrimonio y los productos y rentas de este.

b) Los ingresos obtenidos por la realización de actividades y la prestación de servicios en el ejercicio de las competencias y funciones establecidas por la presente ley y el desarrollo reglamentario en materia de ciberseguridad.

c) Las transferencias que, si procede, efectúe el departamento al que está adscrita con cargo a los presupuestos de la Generalidad.

4. El presupuesto de la Agencia de Ciberseguridad de Cataluña es anual y único, y debe sujetarse al régimen presupuestario establecido por el texto refundido de la Ley del Estatuto de la empresa pública catalana, aprobado por el Decreto legislativo 2/2002, de 24 de diciembre.

5. La Agencia de Ciberseguridad de Cataluña debe ordenar su contabilidad de conformidad con el régimen establecido por la normativa de las finanzas públicas de la Generalidad, atendiendo a la forma jurídica de la Agencia. Asimismo, el régimen contable de aplicación debe someterse a las instrucciones y la normativa de desarrollo que dicte la Intervención de la Generalidad, de acuerdo con el artículo 75 del texto refundido de la Ley de finanzas públicas de Cataluña, aprobado por el Decreto legislativo 3/2002, de 24 de diciembre.

Artículo 8. Régimen de contratación.

1. La contratación de la Agencia de Ciberseguridad de Cataluña se rige por la normativa vigente en materia de contratos de las administraciones públicas. A los efectos de lo dispuesto por el artículo 24.6 del texto refundido de la Ley de contratos del sector público, aprobado por el Real decreto legislativo 3/2011, de 14 de noviembre, la Agencia tiene la condición de medio propio y servicio técnico de las instituciones y los departamentos en que se estructura la Administración de la Generalidad, y de los organismos y entidades que dependen de ella y que tengan la condición de poder adjudicador. Pueden encomendar a la Agencia la prestación de los servicios de ciberseguridad, si procede, de acuerdo con el régimen previsto en los documentos de encargo, que como mínimo debe incluir el alcance del encargo, la previsión de los costes y el sistema de financiación.

2. El órgano de contratación de la Agencia de Ciberseguridad de Cataluña es la Dirección.

Artículo 9. Régimen de personal.

1. El personal de la Agencia de Ciberseguridad de Cataluña se rige por el derecho laboral, sin perjuicio de la adscripción de personal funcionario para el ejercicio de potestades administrativas. En el ejercicio de las potestades administrativas que correspondan a las funciones de inspección y control que cumpla la Agencia, el personal funcionario tiene la consideración de autoridad pública, en particular respecto a las funciones establecidas por las letras e y f del artículo 2.4.

2. El personal de la Agencia de Ciberseguridad de Cataluña está sujeto a la normativa del personal laboral de la Generalidad.

Artículo 10. Régimen de control.

1. El control financiero de la Agencia de Ciberseguridad de Cataluña, que tiene por objeto comprobar su funcionamiento económico-financiero, se efectúa por el procedimiento de auditoría, de acuerdo con lo establecido por el artículo 71 del texto refundido de la Ley de finanzas públicas de Cataluña.

2. La Agencia de Ciberseguridad de Cataluña aprueba anualmente una memoria de actividades, que debe entregar al Gobierno y al Parlamento y que el director de la Agencia debe presentar ante la comisión del Parlamento competente en materia de ciberseguridad o, si procede, ante la Comisión de Materias Secretas y Reservadas.

3. La Sindicatura de Cuentas, el Síndic de Greuges, la Agencia de Protección de Datos de Cataluña y la Oficina Antifraude de Cataluña, cada una dentro del ámbito de sus competencias, deben elaborar anualmente una memoria sobre la actividad de la Agencia de Ciberseguridad de Cataluña, que deben entregar al Gobierno y al Parlamento como máximo un mes después de la entrega de la memoria anual elaborada por la propia Agencia.

CAPÍTULO IV

Relación con el departamento de adscripción

Artículo 11. Contrato programa.

La Agencia de Ciberseguridad de Cataluña y la Administración de la Generalidad, mediante el departamento al que está adscrita la Agencia, deben establecer un contrato programa plurianual que debe incluir, como mínimo, la definición de los objetivos, la previsión de los resultados en la gestión y los instrumentos de seguimiento, control y evaluación a los que debe someterse la actividad de la Agencia durante la vigencia del contrato, así como la política de gestión de los recursos humanos de la Agencia necesarios para la consecución de los objetivos establecidos en el contrato, sin perjuicio de la competencia de los órganos de gobierno de la Agencia para determinar las líneas generales de gestión de sus recursos humanos.

Disposición adicional primera. Adscripción a la Agencia de los bienes de dominio público.

1. Se adscriben a la Agencia de Ciberseguridad de Cataluña los bienes de la Administración de la Generalidad y de las entidades de su sector público afectados a las funciones que ejerce la Agencia. Los bienes de dominio público conservan esta naturaleza y las exenciones fiscales y económicas que tengan reconocidas. El decreto de aprobación de los estatutos de la Agencia debe concretar los bienes objeto de adscripción y el procedimiento con el que debe formalizarse, que necesariamente debe reflejar su valoración económica.

2. La Agencia de Ciberseguridad de Cataluña se subroga en los derechos y obligaciones de contenido económico de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia, lo cual debe concretarse en el decreto de aprobación de los estatutos.

Disposición adicional segunda. Cesión a la Agencia de los activos materiales, del personal y del presupuesto y subrogación en los contratos y convenios.

1. La Fundación Centro de Seguridad de la Información de Cataluña cede a la Agencia de Ciberseguridad de Cataluña, para el cumplimiento de sus funciones, todos los activos materiales, el personal y los recursos presupuestarios asignados a la Fundación. Para ejecutar esta cesión, la Fundación debe realizar los trámites internos necesarios desde la aprobación de la presente ley y la Generalidad debe realizar las modificaciones administrativas y presupuestarias necesarias.

2. La Agencia de Ciberseguridad de Cataluña se subroga en los contratos y convenios suscritos por la Fundación Centro de Seguridad de la Información de Cataluña.

3. La Agencia de Ciberseguridad de Cataluña se subroga en la posición jurídica de la Administración de la Generalidad y de las entidades de su sector público en cuanto a los derechos y obligaciones que le corresponden en el ámbito de las funciones que la Agencia asume, lo cual debe concretarse en el decreto de aprobación de los estatutos.

Disposición transitoria.

Ejercicio de las funciones de la Fundación Centro de Seguridad de la Información de Cataluña hasta la constitución de la Agencia.

1. La Fundación Centro de Seguridad de la Información de Cataluña (Cesicat) debe continuar ejerciendo sus funciones a través de los medios técnicos y personales y de los activos propios hasta que se constituya efectivamente la Agencia de Ciberseguridad de Cataluña y se complete la puesta en marcha.

2. El personal laboral que, en la fecha de constitución de la Agencia de Ciberseguridad de Cataluña, esté prestando servicios en la Fundación Centro de Seguridad de la Información de Cataluña se integra en la Agencia por el mecanismo de sucesión de empresa, de acuerdo con lo establecido por la normativa laboral correspondiente.

Disposición final primera. Modificación de la Ley 29/2010, del uso de los medios electrónicos en el sector público de Cataluña.

1. Se añade una letra, la e, al artículo 6.2 de la Ley 29/2010, de 3 de agosto, del uso de los medios electrónicos en el sector público de Cataluña, con el siguiente texto:

«e) Garantizar un nivel de ciberseguridad adecuado en el uso de los medios electrónicos.»

2. Se añade una letra, la g, al artículo 6.3 de la Ley 29/2010, con el siguiente texto:

«g) Garantizar, en el ámbito del modelo catalán de administración electrónica y en la prestación de servicios públicos a la ciudadanía por medios electrónicos, una seguridad de la información adecuada, y determinar y aplicar el nivel adecuado de ciberseguridad del modelo catalán de administración electrónica.»

3. Se añade un apartado, el 5, al artículo 7 de la Ley 29/2010, con el siguiente texto:

«5. La Agencia de Ciberseguridad de Cataluña se encarga de planificar, gestionar y controlar la ciberseguridad en la prestación de los servicios de identificación electrónica y de identidad y confianza digitales por parte de los prestadores establecidos en Cataluña o que, en otro caso, ofrezcan servicios en el sector público de la Generalidad.»

Disposición final segunda. Constitución de la Agencia.

En el plazo de un año a contar de la entrada en vigor de la presente ley, la Agencia de Ciberseguridad de Cataluña debe constituirse, el Gobierno debe aprobar sus estatutos y las normas necesarias para su desarrollo, y deben adscribirse a la Agencia los bienes de dominio público.

Disposición final tercera. Disolución de la Fundación Centro de Seguridad de la Información de Cataluña.

La Fundación Centro de Seguridad de la Información de Cataluña (Cesicat) debe iniciar el procedimiento de disolución en el momento de la constitución de la Agencia de Ciberseguridad de Cataluña, y esta debe aceptar los bienes, derechos y obligaciones que le ceda la Fundación.

Disposición final cuarta. Autorizaciones.

1. Se autoriza al Gobierno para que realice las modificaciones presupuestarias y patrimoniales necesarias para traspasar a la Agencia de Ciberseguridad de Cataluña los recursos a que se refieren las disposiciones adicionales primera y segunda.

2. Se autoriza a los representantes de la Administración de la Generalidad en los órganos de gobierno de la Fundación Centro de Seguridad de la Información de Cataluña para que realicen todos los actos necesarios para su disolución y liquidación.

Disposición final quinta. Entrada en vigor.

La presente ley entra en vigor al día siguiente de su publicación en el «Diari Oficial de la Generalitat de Catalunya».

Por tanto, ordeno que todos los ciudadanos a los que sea de aplicación esta Ley cooperen en su cumplimiento y que los tribunales y autoridades a los que corresponda la hagan cumplir.

Palacio de la Generalidad, 25 de julio de 2017.

 

El Presidente de la Generalidad de Cataluña,

El Consejero de la Presidencia,

Carles Puigdemont i Casamajó.

Jordi Turull i Negre.

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid