Les Administracions Públiques tenen com a objectiu crear les condicions adequades per al desenvolupament dels serveis lligats a l'evolució tecnològica, així com promoure i impulsar, d'igual manera, el seu ús entre la ciutadania i el sector privat. Aquesta evolució, comporta també una major facilitat per al tractament de gran quantitat d'informació, la qual ha de ser degudament protegida.

La consagració del dret a comunicar-se amb l'Administració Pública a través de mitjans electrònics, es va recollir en la Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als Serveis Públics. Aquesta Llei, a més, va imposar la necessitat d'una adequada protecció de la informació i dels serveis, que permetés emprar els mitjans electrònics amb confiança.

En desenvolupament de la Llei 11/2007, de 22 de juny, es va aprovar el Reial decret 3/2010, de 8 de gener, pel qual es va regular l'Esquema Nacional de Seguretat (ENS) en l'àmbit de l'Administració Electrònica. Aquest marc normatiu pretenia donar resposta a un marc comú de seguretat de la informació en les administracions públiques, establint-se els principis bàsics i requisits mínims que, d'acord amb l'interès general, naturalesa i complexitat de la matèria regulada, permetien, des de llavors, una protecció adequada de la informació i els serveis.

Amb l'aprovació de la Llei 39/2015, d'1 d'octubre, de procediment administratiu comú i la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, es dona un impuls definitiu a la implantació dels processos electrònics en el sector públic, imposant-se la necessitat de respectar un marc comú de seguretat de la informació. L'entrada en vigor de totes dues lleis consagra la necessitat de desenvolupar tots els mitjans electrònics necessaris perquè la ciutadania pugui desenvolupar-se electrònicament amb el sector públic, fent-se imprescindible garantir el compliment dels principis bàsics i requisits mínims, establint les mesures de seguretat necessàries que hauran de ser proporcionals a les dimensions de seguretat rellevants i a la categoria del sistema d'informació a protegir.

Amb l'aprovació del Reial decret 311/2022, de 3 de maig, pel qual es regula L'Esquema Nacional de Seguretat es deroga el Reial decret 3/2010 (esmentat en el punt tercer), actualitzant-se l’ENS per a complir tres grans objectius, en primer lloc, alinear l’ENS amb el marc normatiu i el context estratègic existent per a garantir la seguretat en l'administració digital; en segon lloc, introduir la capacitat d'ajustar els requisits de l’ENS, per a garantir la seva adaptació a la realitat d'uns certs col·lectius o tipus de sistemes, atesa la semblança que presenten una multiplicitat d'entitats o serveis quant als riscos als quals estan exposats els seus sistemes d'informació i els seus serveis i en tercer lloc, facilitar una millor resposta a les tendències en ciberseguretat, reduir vulnerabilitats i promoure la vigilància contínua mitjançant la revisió dels principis bàsics, dels requisits mínims i de les mesures de seguretat.

FONAMENTS JURÍDICS

La legislació i normativa aplicable és:

a) Llei 7/1985, de 2 d’abril, reguladora de les bases del règim local (LRBRL)

b) Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals.

c) Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades i garantia de drets digitals.

d) Llei 39/2015, d’1 octubre, de procediment administratiu comú de les administracions públiques (LPACAP).

e) Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic (LRJSP).

f) Reial decret 311/2022, de 3 de maig, pel qual es regula L'Esquema Nacional de Seguretat.

Primer. La Llei 39/2015, d'1 d'octubre, de procediment administratiu comú i la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, i especialment en el seu article 156, estableixen la necessitat d'aprovar una política de seguretat en la utilització de mitjans electrònics en l'àmbit d'actuació del sector públic.

Segon. El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades i garantia de drets digitals, estableixen la necessitat d'adoptar mesures de seguretat tècniques i organitzatives. En el cas del sector públic en general, la necessitat d'adoptar mesures de seguretat a les mesures previstes en l'Esquema Nacional de Seguretat ve imposada per la Disposició Addicional Primera de la citada Llei orgànica.

Tercer. En aplicació del Reial decret que regula l'Esquema Nacional de Seguretat, és obligació de l'Ajuntament la protecció de la informació tractada i dels serveis prestats per la qual cosa s’ha d'implantar una sèrie de mesures de seguretat que s'aplicaran tant en el marc organitzatiu, com en l'operacional i de protecció, i s’haurà d'aprovar la Política de Seguretat de la Informació, la qual recollirà entre altres aspectes els requisits quant a l'Organització de la seguretat mitjançant la designació de rols de seguretat i l'assignació de les funcions del Comitè de Seguretat de la Informació.

Quart. D’acord amb l’article 12.1 Reial decret 311/2022, de 3 de maig, pel qual es regula L'Esquema Nacional de Seguretat, cal tenir l’instrument que aprovi la política de seguretat de la informació aquest haurà de contenir, com a mínim, la següent informació:

“a) Els objectius o missió de l'organització.

b) El marc regulador en el qual es desenvoluparan les activitats.

c) Els rols o funcions de seguretat, definint per a cadascun, els seus deures i responsabilitats, així com el procediment per a la seva designació i renovació.

d) L'estructura i composició del comitè o els comitès per a la gestió i coordinació de la seguretat, detallant el seu àmbit de responsabilitat i la relació amb altres elements de l'organització.

e) Les directrius per a l'estructuració de la documentació de seguretat del sistema, la seva gestió i accés.

f) Els riscos que es deriven del tractament de les dades personals.”

Cinquè. L’article 11.1 del Reial decret 311/2022, de 3 de maig, pel qual es regula L'Esquema Nacional de Seguretat regulador del principi de diferenciació de responsabilitats, disposa que en els sistemes d’informació es diferenciarà el responsable de la informació, el responsable del servei, el responsable de la seguretat i el responsable del sistema, l’apartat tercer del mateix article assenyala que la política de seguretat de l’organització detallà les atribucions de cada responsable i els mecanismes de coordinació i resolució de conflictes.

Per la seva part, l’article 13.2 del Reial decret 311/2022, de 3 de maig, pel qual es regula L'Esquema Nacional de Seguretat, els responsables de vetllar per al compliment de la política de seguretat tenen entre d’altres les següents funcions:

“ a) El responsable de la informació determinarà els requisits de la informació tractada.

b) El responsable del servei determinarà els requisits dels serveis prestats.

c) El responsable de la seguretat determinarà les decisions per satisfer els requisits de seguretat de la informació i dels serveis, supervisarà la implantació de les mesures necessàries per a garantir que se satisfan els requisits i reportarà sobre aquestes qüestions.

d) El responsable del sistema, per si o a través de recursos propis o contractats, s'encarregarà de desenvolupar la forma concreta d'implementar la seguretat en el sistema i de la supervisió de l'operació diària d'aquest, podent delegar en administradors o operadors sota la seva responsabilitat.”

L’apartat tercer del referit article, preveu que el “responsable de la seguretat serà diferent del responsable del sistema, no havent d'existir dependència jeràrquica entre tots dos.”

Sisè. L’article 4 de la LRBRL reconeix la potestat d’autoorganització de les corporacions locals, entesa com la facultat que tenen els municipis de regular la seva pròpia organització complementària.

D’ acord amb l’art. 21 de la LBRL i 41 del ROF aquest Alcalde RESOLC:

Primer. Assignar els ROLS de seguretat i les responsabilitats i funcions de seguretat, d’acord a l’Esquema Nacional de Seguretat:

BLOC DE GOVERN

· Responsable de Govern, les funcions del qual exercita l'Alcaldia-Presidència de l'Ajuntament i que integra els següents rols i funcions ENS:

o Comitè de Seguretat de la Informació.

o Responsable de la Informació.

o Responsable del Servei.

BLOC EXECUTIU / SUPERVISIÓ

· Responsable de Supervisió, les funcions del qual exercita la Secretaria - Intervenció de l'Ajuntament, i que integra el següent rol ENS:

o Responsable de la Seguretat.

El Delegat/da de protecció de dades (DPD) (gestionat mitjançant contracte de serveis) recolza al responsable de supervisió en les funcions d’assessorament i supervisió en matèria de protecció de dades.

BLOC D’OPERACIÓ

· Responsable d'Operació, les competències de la qual exercita els Serveis del Consell Comarcal del Baix Penedès i que integra el següent rol ENS:

o Responsable del Sistema.

Segon.- Determinar les responsabilitat i les funcions de seguretat en la informació, d’acord amb els ROLS assignats:

· Responsable del Servei:

El Responsable del Servei se li atribueixen les següents funcions:

o Establir i aprovar els requisits de seguretat aplicables al servei dins del marc establert en l'annex I del Reial decret 311/2022, de 3 de maig i les guies CCN-*STIC, del CCN.

o Acceptar els nivells de risc residual que afectin el Servei.

· Responsable de la Informació:

El Responsable de la Informació se li atribueixen les següents funcions:

o Establir i aprovar els requisits de seguretat aplicables a la informació dins del marc establert en l'annex I del Reial decret 311/2022, de 3 de maig i les guies CCN-*STIC, del CCN.

o Acceptar els nivells de risc residual que afectin la Informació.

· Responsable de Seguretat:

El Responsable de Seguretat exercirà les funcions assignades a l’instrument de Política de Seguretat.

· Responsable del Sistema:

El Responsable del Sistema exercirà les funcions assignades a l’instrument de Política de Seguretat. I en particular, les funcions de l'administrador de la seguretat del sistema:

- La gestió, configuració i actualització, en el seu cas, del maquinari i programarien els quals es basen els mecanismes i serveis de seguretat.

- La gestió de les autoritzacions concedides als usuaris del sistema, en particular els privilegis concedits, incloent-hi el monitoratge de l'activitat desenvolupada en el sistema i la seva correspondència amb l'autoritzat.

- Aprovar els canvis en la configuració vigent del Sistema d'Informació.

- Assegurar que els controls de seguretat establerts són complerts estrictament.

- Assegurar que són aplicats els procediments aprovats per a tractar el Sistema d'Informació.

- Supervisar les instal·lacions de maquinari i programari, les seves modificacions i millores per a assegurar que la seguretat no està compromesa i que en tot moment s'ajusten a les autoritzacions pertinents.

- Monitorar l'estat de seguretat proporcionat per les eines de gestió d'esdeveniments de seguretat i mecanismes d'auditoria tècnica.

· Comitè de Seguretat de la Informació.

Les funcions pròpies del Comitè de Seguretat de la Informació son les assignades a l’instrument de Política de Seguretat.

Tercer. Notificar aquesta Resolució que conté la designació d'aquests responsables i les seves funcions a les persones interessades.

Quart. Publicar l’acord a la pàgina web i al portal de transparència d’aquest Ajuntament.

Cinquè. Que es doni compte de la Resolució al Ple en la propera sessió que se celebri.

Signat electrònicament

DECRET EN PDF