DECRETO 223/2019, de 29 de octubre, por el que se aprueban los Estatutos de la Agencia de Ciberseguridad de Cataluña, los bienes y activos que se adscriben a la Agencia, así como los derechos y obligaciones en los que la Agencia se subroga. - Diario Oficial de Cataluña de 30-10-2019

TIEMPO DE LECTURA:

  • Ámbito: Cataluña
  • Estado: VIGENTE
  • Fecha de entrada en vigor: 31/10/2019
  • Boletín: Diario Oficial de Cataluña Número 7992
  • Fecha de Publicación: 30/10/2019
  • PDF de la disposición
  • Este documento NO tiene versiones

El artículo 150 del Estatuto de autonomía de Cataluña atribuye a la Generalidad de Cataluña la competencia exclusiva sobre la organización de la Administración de la Generalidad, la regulación de los órganos y directivos públicos, el funcionamiento y la articulación territorial, y las diversas modalidades organizativas e instrumentales para la actuación administrativa.

La Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña tiene como finalidad la disolución de la Fundación Centro de Seguridad de la Información de Cataluña y la creación de la Agencia de Ciberseguridad de Cataluña, una entidad de derecho público, con personalidad jurídica propia, sometida al derecho privado, y adscrita al departamento competente en materia de ciberseguridad y sociedad digital.

La mencionada Ley establece, entre otros aspectos, la creación y forma jurídica pública de la entidad, sus funciones, los órganos de gobierno, así como los recursos de que debe disponer la entidad. Asimismo, el artículo 6 de la Ley prevé que corresponde al Gobierno aprobar, por medio de un decreto, los estatutos de la Agencia de Ciberseguridad de Cataluña, los cuales tienen que determinar y regular las funciones de los órganos de gobierno, el funcionamiento del Consejo de Administración y la estructura orgánica interna y el régimen de funcionamiento de la Agencia.

La disposición final segunda de la Ley prevé que en el plazo de un año a contar de la entrada en vigor de esta Ley, se debe constituir la Agencia de Ciberseguridad de Cataluña, el Gobierno debe aprobar sus estatutos y las normas necesarias para su despliegue, y se deben adscribir a la Agencia los bienes de dominio público.

Con respecto a los bienes a adscribir a la entidad, la Ley determina que se adscriben a la Agencia de Ciberseguridad de Cataluña los bienes de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia. El decreto de aprobación de los estatutos de la Agencia debe concretar los bienes objeto de adscripción y el procedimiento con que se debe formalizar, que necesariamente debe reflejar la valoración económica.

La Ley también establece que la Agencia de Ciberseguridad de Cataluña se subroga en los derechos y las obligaciones de contenido económico de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia, lo que se debe concretar en el decreto de aprobación de los estatutos. En especial la Agencia debe recibir de la Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), para el cumplimiento de sus funciones, todos los activos materiales, el personal y los recursos presupuestarios asignados a la Fundación y subrogarse en los contratos y convenios suscritos por aquella. Para ejecutar esta cesión, la Fundación debe hacer los trámites internos necesarios desde la aprobación de esta Ley y la Generalidad debe hacer las modificaciones administrativas y presupuestarias necesarias.

Finalmente, la Agencia de Ciberseguridad de Cataluña se subroga en la posición jurídica de la Administración de la Generalidad y de las entidades de su sector público con respecto a los derechos y obligaciones que le corresponden en el ámbito de las funciones que la Agencia asume, lo que se debe concretar en el decreto de aprobación de los estatutos.

Los Estatutos se estructuran en siete capítulos, que recogen de manera sistemática los aspectos que deben contener los estatutos de una entidad de derecho público sometida al derecho privado, con las particularidades derivadas de las características especiales de la Agencia de Ciberseguridad de Cataluña definidas en su ley reguladora.

El capítulo 1 recoge la naturaleza jurídica, la adscripción y el domicilio de la Agencia.

El capítulo 2 establece el objeto, los principios de actuación, las finalidades y las funciones de la Agencia, en los términos que prevé la Ley 15/2017, de 25 de julio. También detalla las actividades que desarrollará la Agencia en ejecución del contrato programa, del plan estratégico, del plan de actividades anual y como consecuencia de los encargos que reciba, así como las obligaciones referentes a la protección de datos de carácter personal y a las relaciones externas y de colaboración.

Los capítulos 3 y 4 se destinan a los órganos de gobierno de la Agencia y a los órganos consultivos, respectivamente. Se concretan sus funciones y se complementa la Ley 15/2017, de 25 de julio.

En el capítulo 5 se detalla el régimen de funcionamiento de los órganos colegiados.

En el capítulo 6 se contemplan los aspectos relativos al régimen económico y financiero, a los recursos humanos, a la contratación y al régimen de control y al contrato programa.

El capítulo 7 regula aspectos relativos al código ético y transparencia como instrumentos para desarrollar mejor sus funciones.

Este Decreto cumple con los principios de buena regulación formulados en el artículo 129 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, y al artículo 62 de la Ley 19/2014, del 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Esta norma resulta del todo necesaria para aprobar los estatutos de la Agencia de Ciberseguridad de Cataluña en cumplimiento del mandato legal contenido en su ley de creación, de conformidad con la normativa vigente, teniendo en cuenta los principios de proporcionalidad, seguridad jurídica y transparencia. Su adopción resulta coherente con el marco normativo vigente y contribuirá a mejorar la eficacia y la eficiencia del funcionamiento de esta entidad.

Este Decreto está incluido en el Plan normativo de la Administración de la Generalidad de Cataluña para los años 2019-2020, aprobado por el Acuerdo del Gobierno de 24 de abril de 2019.

De conformidad con lo que establecen los artículos 26.o), 39.1 y 40.1 de la Ley 13/2008, del 5 de noviembre, de la presidencia de la Generalidad y del Gobierno;

A propuesta del consejero de Políticas Digitales y Administración Pública, de acuerdo con el dictamen de la Comisión Jurídica Asesora, y con la deliberación previa del Gobierno,

Decreto:


Artículo 1.

Aprobar los Estatutos de la Agencia de Ciberseguridad de Cataluña, que constan en el anexo 1.


Artículo 2.

Aprobar el inventario de bienes y activos de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia y que se adscriben a la entidad, así como el procedimiento a seguir para su formalización, que figura en el anexo 2.


Artículo 3.

Aprobar la lista de derechos y obligaciones de contenido económico de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia en que se subroga la entidad. La lista se adjunta en el anexo 3.


DISPOSICIONES ADICIONALES
D.A. 1ª.

Las personas representantes de la Administración de la Generalidad en el órgano de gobierno de la Fundación Centro de Seguridad de la Información de Cataluña deben promover las actuaciones que resulten necesarias para hacer efectiva la disolución de la entidad, de acuerdo con lo que establece la disposición final tercera de la Ley 15/2017, de 25 de julio.

Los órganos de gobierno de la Fundación Centro de Seguridad de la Información de Cataluña deben llevar a cabo los trámites necesarios con el fin de hacer efectiva esta disolución. La Fundación Centro de Seguridad de la Información de Cataluña adoptará el correspondiente acuerdo de extinción y cesión global del activo y el pasivo a la Agencia de Ciberseguridad de Cataluña de acuerdo con el procedimiento establecido en los Estatutos y en la normativa de fundaciones. La Agencia de Ciberseguridad de Cataluña quedará subrogada en los contratos y convenios suscritos por la Fundación.

De conformidad con la disposición transitoria segunda de la Ley 15/2017, de 25 de julio, la Fundación debe seguir ejerciendo sus funciones a través de los medios técnicos y personales y de los activos propios hasta que se constituya efectivamente la Agencia y se complete la puesta en marcha.


D.A. 2ª. Constitución de la Agencia de Ciberseguridad de Cataluña.

La Agencia de Ciberseguridad de Cataluña se debe constituir en el plazo de dos meses a contar desde la entrada en vigor de este Decreto.


D.A. 3ª. Integración del personal de la Fundación en la Agencia.

De acuerdo con las previsiones de la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, la Agencia se subroga en los contratos de trabajo del personal que actualmente presta servicios a la Fundación Centro de Seguridad de la Información de Cataluña, en los términos del artículo 44 del Texto refundido del Estatuto de los trabajadores, que regula la sucesión de empresa.


D.A. 4ª Sistema sanitario integral de utilización pública de Cataluña (SISCAT).

La Agencia de Ciberseguridad de Cataluña ejerce sus funciones en el ámbito de todos los centros, servicios y establecimientos que componen el sistema sanitario integral de utilización pública (SISCAT), con independencia de la titularidad pública o privada de las entidades que los gestionan. En este último caso, las funciones de la Agencia se circunscriben a las relaciones que mantengan los centros privados con la Generalidad.


DISPOSICIONES FINALES
D.F. UNICA. Entrada en vigor.

Este Decreto entra en vigor el día siguiente al de su publicación en el Diari Oficial de la Generalitat de Catalunya.

Barcelona, 29 de octubre de 2019. Joaquim Torra i Pla, Presidente de la Generalidad de Cataluña. Jordi Puigneró i Ferrer, Consejero de Políticas Digitales y Administración Pública


ANEXO 1. Estatutos de la Agencia de Ciberseguridad de Cataluña
CAPÍTULO 1. Naturaleza y domicilio
Artículo 1. Naturaleza jurídica y adscripción.

1.1 La Agencia de Ciberseguridad de Cataluña, creada por la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, es una entidad de derecho público de la Administración de la Generalidad de Cataluña, con personalidad jurídica propia y diferenciada, que ajusta su actividad al ordenamiento jurídico privado, con plena capacidad de obrar y patrimonio propio y adscrito para el cumplimiento de su finalidad y objetivos y para el ejercicio de sus funciones.

1.2 La Agencia de Ciberseguridad de Cataluña actúa con plena autonomía orgánica y funcional, objetividad e independencia técnica y profesional.

1.3 La Agencia de Ciberseguridad de Cataluña se adscribe al departamento competente en materia de ciberseguridad y sociedad digital, que ejerce el control de eficacia y eficiencia sobre su actividad.

1.4 La Agencia de Ciberseguridad de Cataluña puede adquirir, poseer y reivindicar cualquier tipo de bienes, permutar, gravar o enajenar los bienes propios que no estén afectos en el ejercicio de sus funciones; también puede concertar créditos, suscribir contratos, formalizar convenios, otorgar subvenciones, obligarse, interponer recursos y ejercer todas las acciones que sean necesarias para el desarrollo de sus funciones.

1.5 La Agencia de Ciberseguridad de Cataluña ajusta su actividad, con carácter general, en sus relaciones externas, a las normas de derecho civil, mercantil y laboral que le son aplicables, salvo los actos que implican el ejercicio de potestades públicas, que se someten al derecho administrativo. La Agencia, en las relaciones con el departamento al que se adscribe, se somete al derecho administrativo.


Artículo 2. Domicilio.

2.1 La Agencia de Ciberseguridad de Cataluña tiene el domicilio en l Hospitalet de Llobregat, c/Salvador Espriu, 45, sin perjuicio del establecimiento de dependencias en los ámbitos territoriales que determine su Consejo de Administración.

2.2 Corresponde al Consejo de Administración acordar el domicilio de la Agencia de Ciberseguridad de Cataluña, como también modificarlo.


CAPÍTULO 2. Objeto, principios de actuación, finalidades y funciones
Artículo 3. Objeto.

3.1 La Agencia de Ciberseguridad de Cataluña tiene por objeto la ejecución de las políticas públicas en materia de ciberseguridad de la Generalidad de Cataluña. A estos efectos, se entiende por ciberseguridad la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información.

3.2 La Agencia de Ciberseguridad de Cataluña, en particular, podrá:

a) Asesorar al Gobierno y darle apoyo en la elaboración de los planes de ciberseguridad que debe aprobar y en la consecución de los objetivos establecidos en estos planes.

b) Ejecutar los planes de ciberseguridad que en cada momento estén vigentes.

c) Coordinarse con otros organismos en todo aquello que se considere necesario para la consecución de los objetivos especificados en los planes de ciberseguridad.

d) Organizar las actividades de difusión, formación y concienciación en materia de ciberseguridad adecuadas a los diferentes colectivos destinatarios, poniendo énfasis especial en los que presentan situaciones de vulnerabilidad y facilitando las herramientas y los programas apropiados.

e) Impulsar un clima de confianza y seguridad que contribuya al desarrollo de la economía y la sociedad digital en Cataluña.


Artículo 4. Principios de actuación.

4.1 La Agencia de Ciberseguridad de Cataluña debe actuar de acuerdo con los principios de legalidad, seguridad jurídica, objetividad, autonomía, competencia técnica y eficacia, de acuerdo con los estándares internacionales existentes en materia de ciberseguridad.

4.2 Los criterios de actuación que debe seguir la Agencia de Ciberseguridad de Cataluña son los siguientes:

a) El enfoque global, atendiendo a los principales modelos internacionales de ciberseguridad, con respecto a la estrategia y operativa en el desarrollo de sus funciones.

b) La adecuada protección de las personas y activos en su ámbito de actuación en relación con su ciberseguridad, garantizando la adecuada prevención de los riesgos para minimizar el impacto de los incidentes.

c) La cooperación y coordinación con otras agencias y organismos que tengan finalidades y ejerzan funciones similares a las de la Agencia, tanto en el ámbito nacional como internacional.

d) La resiliencia de las redes de comunicaciones electrónicas y de los sistemas de información.

e) La gobernabilidad del servicio público de ciberseguridad.

f) La garantía de la pericia y de la profesionalidad del personal y de los colaboradores de la Agencia.

g) El cumplimiento, en el ejercicio de sus funciones, de los principios de eficacia y eficiencia, actuando con la máxima diligencia y generación de valor.

4.3 Las actuaciones de las personas que presten sus servicios o colaboren con la Agencia deben respetar el sistema de calidad interno y los principios que establezca la normativa interna.


Artículo 5. Finalidades y actividades.

5.1 La Agencia de Ciberseguridad de Cataluña actúa en ejecución de su contrato programa, del plan estratégico vigente en la materia, del plan de actividades anual y también por encargo de las instituciones mencionadas en el artículo 6.1 de estos Estatutos.

De forma general, las actividades que desarrolla la Agencia de Ciberseguridad de Cataluña están vinculadas a sus funciones y, en particular, persiguen las siguientes finalidades:

a) Establecimiento del servicio público de ciberseguridad.

Las actividades que desarrolla la Agencia en este ámbito pueden consistir en el apoyo a la Generalidad de Cataluña para la definición de un servicio público de ciberseguridad en Cataluña, detallando a los actores implicados, la definición de los servicios que la Administración de la Generalidad debe establecer con el fin de garantizar un nivel mínimo de protección para sus propios servicios y activos y para los diferentes colectivos con los que se relaciona, así como dar apoyo a las autoridades competentes en materia de ciberseguridad para garantizar el ejercicio de sus funciones.

Adicionalmente al apoyo para la definición del servicio, la Agencia participará en su prestación liderando las actuaciones que se determinen para la Generalidad de Cataluña, en el ámbito de sus competencias.

b) La mejora de la protección y la resiliencia de las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación.

La Agencia puede desarrollar actividades para definir las medidas de ciberseguridad que tienen que implementar las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación de la Administración de la Generalidad de Cataluña y su sector público. Asimismo, podrá dar apoyo en este ámbito a aquellos colectivos, ya sean de carácter público o privado, con que se relaciona la Generalidad de Cataluña en el ámbito de sus competencias.

Adicionalmente, la Agencia puede dar apoyo a la implantación de las medidas de ciberseguridad, garantizando y verificando la correcta protección de dichas infraestructuras, así como participar de los procedimientos de control, verificación y mejora continua de los modelos de protección. Los titulares de estas infraestructuras pueden recibir también actualizaciones y notificaciones de seguridad de la Agencia que puedan impactar en la seguridad de sus infraestructuras.

c) La creación de una cultura de la ciberseguridad.

La Agencia debe ejecutar actividades formativas, de sensibilización, concienciación y de divulgación con el fin de garantizar que se alcanza una auténtica cultura de ciberseguridad en Cataluña, con actividades y contenidos adecuados para cada colectivo y que garanticen el máximo impacto posible con medidas eficientes. Asimismo, con el fin de garantizar esta adecuación de los contenidos, canales y actividades desarrolladas, la Agencia puede impulsar planes de comunicación, concienciación y formación en Cataluña.

d) La definición de un modelo de gobierno de la ciberseguridad en Cataluña.

La Agencia puede llevar a cabo actividades con el fin de desarrollar un marco de directrices a las que se puedan adherir otras administraciones públicas, definir modelos de gobernanza operativa común y establecer marcos de colaboración y coordinación con otros organismos nacionales e internacionales de ciberseguridad. Asimismo, la Agencia puede medir el nivel de ciberseguridad en Cataluña, coordinándose con los diferentes actores públicos y privados.

e) El fomento del sector de ciberseguridad catalán y la protección del talento y la innovación.

La Agencia debe fomentar, proteger y promocionar la creación de talento, principalmente en los centros educativos y profesionales de Cataluña, en coordinación y colaboración con los departamentos competentes en la materia. Con esta finalidad, puede suscribir acuerdos y convenios con los centros docentes y universitarios catalanes, públicos y privados, y dar apoyo a la creación de estudios especializados en la materia, entre otras iniciativas.

Asimismo, bajo la coordinación del departamento competente en materia de promoción empresarial, la Agencia debe colaborar en iniciativas que, estimulando la contratación de servicios y atrayendo inversión privada, permitan impulsar el sector empresarial catalán.

f) El apoyo al tejido empresarial para proteger la actividad económica que utiliza las TIC.

La Agencia debe llevar a cabo actividades específicas dedicadas a garantizar el correcto desarrollo de la sociedad de la información y la confianza en las transacciones electrónicas, así como la protección de los activos y de los actores del mercado, en el marco de las funciones previstas en el artículo 4 de estos Estatutos.

5.2 La Agencia podrá realizar otras actividades y prestar los servicios necesarios para la consecución de los objetivos previstos en el artículo 3 de estos Estatutos y para el desarrollo de sus funciones.

5.3 Las actividades relacionadas con las funciones y objetivos de la Agencia se deben llevar a cabo según las normas que las regulan específicamente, mediante la obtención, si procede, de los permisos o licencias pertinentes. La Agencia, con el cumplimiento previo de las autorizaciones legalmente establecidas y observando el marco legal aplicable, puede prestar directamente o mediante la participación en otras sociedades o empresas, cualquier actividad comercial o industrial que esté relacionada con cualquiera de las funciones a las que se refiere el artículo 6, si lo acuerdan sus órganos de gobierno.


Artículo 6. Funciones.

6.1 La Agencia de Ciberseguridad de Cataluña ejerce sus funciones en Cataluña y en ejecución de las competencias de la Generalidad. En particular, la Agencia podrá ejercer sus funciones en relación con la Generalidad de Cataluña y su sector público, y en el ámbito de los particulares y de otras administraciones públicas que se relacionan con la Generalidad por medios electrónicos.

6.2 Las funciones de la Agencia de Ciberseguridad de Cataluña son las siguientes:

a) Prevenir y detectar incidentes de ciberseguridad y responder, desplegando las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan.

b) Planificar, gestionar, coordinar y supervisar la ciberseguridad en el ámbito de la Administración de la Generalidad y su sector público. La Agencia debe ejercer estas funciones por medio de la prestación de sus servicios, coordinando las actuaciones que requieran su apoyo con el Centro de Telecomunicaciones y Tecnologías de la Información y de otras entidades con las que disponga de un modelo de relación.

c) Ejercer las funciones de equipo de respuesta a emergencias (CERT) competente en Cataluña que establece la legislación vigente, en particular la normativa de servicios de la sociedad de la información, incluyendo la relación con otros organismos de ciberseguridad nacionales e internacionales, y la coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial. Asimismo, debe ejercer estas funciones como equipo de respuesta a emergencias del Gobierno.

d) Minimizar los daños y el tiempo de recuperación en caso de ciberataque.

e) Actuar como apoyo, en materia de ciberseguridad, de cualquier autoridad competente para el ejercicio de sus funciones públicas y, en particular, en las tareas de lucha contra las conductas ilícitas, incluyendo la intervención directa y la obtención de pruebas electrónicas. En la investigación y represión de ilícitos penales, la Agencia debe colaborar con los cuerpos policiales y las autoridades judiciales de acuerdo con lo que establece la normativa vigente, con requerimiento previo, actuando de una manera coordinada, y preservando y poniendo a su disposición los elementos relevantes para la investigación y los que puedan constituir una prueba.

f) Investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación en los que la Agencia intervenga por razón de su competencia.

g) Recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en Cataluña para conocer el estado de la seguridad de la información, informar al Gobierno y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad.

h) Dar apoyo a los responsables de la continuidad de los servicios y las infraestructuras de las tecnologías de la información y la comunicación de la Generalidad y de las otras administraciones públicas que lo requieran.

6.3 Son funciones de la Agencia de Ciberseguridad de Cataluña, en el ámbito del Gobierno y de la Administración de la Generalidad y su sector público dependiente, las siguientes:

a) Impulsar y aprobar un marco de directrices y normas técnicas de seguridad de cumplimiento obligatorio para la Administración de la Generalidad y para los organismos y entidades vinculados o dependientes, con el fin de garantizar una protección eficaz, en particular ante el cibercrimen y los ciberataques. En el marco de las directrices y las normas técnicas para la protección de los sistemas de información policiales, la Agencia se debe coordinar con el departamento competente en materia de policía y seguridad pública.

b) Emitir informe preceptivo en los procedimientos de elaboración de disposiciones normativas tramitadas por la Administración de la Generalidad en materia de ciberseguridad y gobernanza de las tecnologías de la información y la comunicación.

c) Prestar los servicios materiales y técnicos de ciberseguridad necesarios al Gobierno y a la Administración de la Generalidad y a los organismos y entidades vinculados o dependientes.

d) Garantizar la ciberseguridad en la prestación de los servicios de identificación electrónica y de identidad y confianza digitales por parte de los prestadores establecidos en Cataluña o que, por otro lado, ofrezcan servicios a la Administración de la Generalidad y a los organismos y entidades vinculados o dependientes.


Artículo 7. Información y protección de datos.

7.1 La Agencia de Ciberseguridad de Cataluña, en el ejercicio de sus funciones, queda sujeta a la normativa de protección de datos de carácter personal y a las disposiciones que la desarrollan.

7.2 Con respecto al tratamiento de datos de carácter personal, la Agencia de Ciberseguridad de Cataluña queda sujeta al ámbito de actuación de la Autoridad Catalana de Protección de Datos, y colaborará con ella con el fin de permitir el ejercicio de las funciones de la Autoridad, de acuerdo con la legislación vigente.


Artículo 8. Relaciones externas y colaboración.

8.1 La Agencia de Ciberseguridad de Cataluña, para el cumplimiento de sus objetivos y el ejercicio de sus funciones, se relaciona con otras entidades u órganos con funciones similares o equivalentes tanto a nivel nacional o internacional. Dicha relación se puede efectuar, entre otras, de manera directa, mediante la firma de convenios de colaboración, a través de su participación en foros multilaterales o a través de la participación directa en asociaciones o de otras entidades.

8.2 Las relaciones externas con las agencias autonómicas, estatales, europeas e internacionales se deben fundamentar en el principio de colaboración y tienen como finalidad mejorar el funcionamiento de las entidades o los órganos respectivos con funciones en materia de ciberseguridad, de acuerdo con la normativa vigente.

8.3 La Agencia de Ciberseguridad de Cataluña, en el ejercicio de sus funciones, debe promover la relación y la colaboración con la comunidad experta en materia de ciberseguridad, tanto catalana como de fuera de Cataluña.

8.4 La Agencia de Ciberseguridad de Cataluña puede establecer acuerdos de coordinación, de intercambio de experiencias y de reconocimiento mutuo con entidades privadas o con otras agencias u organismos, tanto autonómicos y estatales como internacionales, que tengan atribuidas competencias o funciones similares a las de la Agencia o que puedan contribuir al ejercicio de sus funciones. Estos acuerdos se sujetarán a las normas y directrices internas que tenga establecida la Agencia en cada momento.

8.5 Para el ejercicio de sus funciones en el ámbito de la Administración local en Cataluña, la Agencia de Ciberseguridad de Cataluña debe establecer líneas de colaboración con los entes locales de Cataluña, así como con aquellas entidades del sector público de la Generalidad que destinen servicios digitales a los entes locales. Esta colaboración se debe instrumentar mediante convenios interadministrativos o instrumentos equivalentes de colaboración interadministrativa firmados entre la Agencia y las administraciones locales de Cataluña o los organismos públicos y entidades de derecho público que están vinculadas a la Agencia o dependen de ella.

8.6 La Agencia de Ciberseguridad de Cataluña puede suscribir contratos y convenios, con la autorización previa del Gobierno cuando corresponda, de acuerdo con la normativa aplicable, con entidades de fuera de Cataluña en cumplimiento de sus objetivos y funciones. A este efecto, el contrato o el convenio debe establecer el régimen jurídico aplicable.

8.7 En el ejercicio de sus funciones, la Agencia de Ciberseguridad de Cataluña debe colaborar con los organismos judiciales y policiales de acuerdo con lo que establece la normativa vigente. A tal efecto podrá establecer modelos de relación para determinar los detalles, aspectos y escenarios de esta colaboración.

8.8 En el ejercicio de sus funciones, la Agencia se debe coordinar con los cuerpos policiales y de seguridad pública, sin perjuicio de las funciones propias del departamento competente en materia de seguridad pública. En especial, la Agencia se debe coordinar con los cuerpos policiales para la ciberseguridad y protección de los sistemas de información policiales, de acuerdo con las competencias que dichos cuerpos tienen reconocidas en esta materia.


CAPÍTULO 3. Órganos de gobierno
Artículo 9. Órganos de gobierno.

Los órganos de gobierno de la Agencia de Ciberseguridad de Cataluña son:

a) El Consejo de Administración.

b) La Dirección.


Artículo 10. El Consejo de Administración.

10.1 El Consejo de Administración es el órgano superior de gobierno de la Agencia de Ciberseguridad de Cataluña.

10.2 El Consejo de Administración, que debe tener composición paritaria, está integrado por los ocho miembros siguientes:

a) La persona titular del departamento competente en materia de ciberseguridad y sociedad digital, que ejercerá la Presidencia.

b) La persona titular de la secretaría general del departamento competente en materia de ciberseguridad y sociedad digital, y la persona titular de la secretaría general del departamento competente en materia de seguridad pública, que ejercerán las dos vicepresidencias respectivamente.

c) La persona que ocupe la Secretaría del Gobierno.

d) La persona titular de la dirección general u órgano jerárquicamente superior del departamento competente en materia de administraciones locales, nombrada por el Gobierno a propuesta del presidente o presidenta del Consejo de Administración.

e) La persona titular de la dirección general u órgano jerárquicamente superior del departamento competente en materia de seguridad pública, nombrada por el Gobierno a propuesta del presidente o presidenta del Consejo de Administración.

f) La persona titular de la dirección general u órgano jerárquicamente superior del departamento competente en materia de tecnologías de la información y la comunicación, nombrada por el Gobierno a propuesta del presidente o presidenta del Consejo de Administración.

g) El director o directora de la Agencia de Ciberseguridad de Cataluña.

10.3 A estos efectos, los miembros del Consejo de Administración cesan en su representación cuando cesan en el cargo que justifica su designación.

10.4 Podrán asistir a las sesiones del Consejo de Administración y participar en sus deliberaciones, con voz pero sin voto, todas aquellas personas que, a instancia de cualquiera de los miembros, sean convocadas por la Presidencia.

10.5 El Consejo de Administración se debe reunir, de manera ordinaria, una vez al trimestre, como mínimo. Para que se pueda reunir en sesión extraordinaria hace falta la decisión del presidente o presidenta o el acuerdo de una tercera parte de los miembros del Consejo de Administración.

10.6 Los miembros del Consejo de Administración de la Agencia de Ciberseguridad de Cataluña no tienen derecho a recibir ninguna indemnización, dieta o compensación para asistir a las reuniones de este órgano.


Artículo 11. Funciones del Consejo de Administración.

11.1 Corresponden al Consejo de Administración las funciones siguientes:

a) Aprobar el plan estratégico de la Agencia de Ciberseguridad de Cataluña, para la posterior ratificación por parte del departamento de adscripción.

b) Aprobar los reglamentos internos de la Agencia, como instrumento para desarrollar mejor sus funciones. Esta normativa debe respetar y desarrollar los principios de actuación y los valores que garantizan la seguridad corporativa y el correcto funcionamiento de la Agencia de Ciberseguridad de Cataluña.

c) Aprobar el catálogo de servicios y la memoria anual de las actividades de la Agencia que, una vez aprobada, se debe entregar al Gobierno y al Parlamento y que el director o directora de la Agencia debe presentar ante la comisión del Parlamento competente en materia de ciberseguridad o, si procede, ante la Comisión de Materias Secretas y Reservadas. Dicha memoria se hará pública, de acuerdo con la normativa vigente en materia de transparencia.

d) Aprobar el plan de actividades anual que se debe adjuntar al anteproyecto de presupuesto de la Agencia.

e) Aprobar el anteproyecto de presupuesto de la Agencia, a propuesta de la Dirección, y elevarlo al departamento competente en materia de ciberseguridad o sociedad digital, para que lo tramite, de acuerdo con la normativa vigente.

f) Aprobar el plan de inversiones, que se debe adjuntar al anteproyecto de presupuesto de la Agencia.

g) Aprobar las bases de ejecución del presupuesto.

h) Aprobar el balance, la cuenta de resultados, la memoria económica y la liquidación del presupuesto, que se debe enviar al departamento competente en materia de ciberseguridad o sociedad digital, y conocer la auditoría anual de cuentas.

i) Aprobar, a propuesta del director o directora, la plantilla de personal o la relación de puestos de trabajo de la Agencia.

j) Aprobar el inventario anual de los bienes y derechos de la Agencia, así como los acuerdos de adquisición, de alienación y de gravamen de los bienes inmuebles y muebles que pasen a integrar el patrimonio de la Agencia, de acuerdo con la normativa aplicable.

k) Proponer al departamento competente en materia de ciberseguridad o sociedad digital, cuando proceda, las operaciones de endeudamiento y la prestación de avales, para que se eleven al Gobierno de la Generalidad para que los apruebe, de acuerdo con la normativa vigente, y autorizar las operaciones de crédito y de tesorería durante el ejercicio.

l) Proponer al departamento competente en materia de ciberseguridad o sociedad digital, la creación, la modificación y la supresión de tasas y de precios públicos, de acuerdo con la normativa reguladora de las tasas y los precios públicos de la Generalidad.

m) Aprobar el contrato programa que se debe formalizar con el departamento competente en materia de ciberseguridad o sociedad digital.

n) Aprobar las bases reguladoras de las subvenciones que, en su caso, otorgue la Agencia, así como sus convocatorias y resoluciones.

o) Fijar la retribución y las funciones del director o directora en cuanto a la gestión económica.

p) Autorizar los gastos de acuerdo con los umbrales que establezca el Consejo de Administración.

q) Adoptar la iniciativa de modificación de los Estatutos de la Agencia de Ciberseguridad de Cataluña.

r) Aprobar el Código ético de la Agencia, así como designar a los miembros que forman parte del Comité de Ética.

s) Nombrar hasta seis personas expertas de reconocido prestigio académico, científico o profesional, con experiencia acreditada en materia de ciberseguridad, como miembros de la Comisión Asesora.

t) Proponer a la Dirección de la Agencia la iniciación de procedimientos de contratación.

u) Determinar las áreas de servicios operativos y las respectivas funciones.

v) Cualquier otra función que le atribuyan estos Estatutos y el resto de normativa vigente.

11.2 El Consejo de Administración puede delegar en la Dirección sus funciones, a excepción de las descritas en las letras a), b), c), e), h), y), j), m), n), o), p), q), r), s), t) y u) del apartado anterior.

11.3 El presidente o presidenta del Consejo de Administración ejerce la representación institucional de la Agencia de Ciberseguridad de Cataluña, la cual puede ser delegada en la Dirección.


Artículo 12. La Dirección.

12.1 La persona que ocupe la dirección de la Agencia de Ciberseguridad de Cataluña es designada libremente por el Gobierno, una vez escuchado el Consejo de Administración, que tiene las potestades correspondientes para contratarlo y separarlo, en su caso.

12.2 La persona que ocupe la dirección de la Agencia de Ciberseguridad de Cataluña, entre el momento de la designación y el de la contratación efectiva, debe comparecer ante la comisión del Parlamento de Cataluña competente en materia de ciberseguridad.

12.3 Corresponden a la persona que ocupe la dirección de la Agencia de Ciberseguridad de Cataluña las funciones siguientes:

a) Dirigir, organizar y gestionar los servicios de la Agencia, de acuerdo con las directrices del Consejo de Administración.

b) Ejecutar y hacer cumplir los acuerdos del Consejo de Administración.

c) Aprobar circulares, instrucciones y disposiciones de funcionamiento ordinario en desarrollo de la normativa aprobada por el Consejo de Administración.

d) Elaborar la propuesta del contrato programa, del plan estratégico, del plan de actividades anual y del catálogo de servicios de la Agencia, y presentarlos al Consejo de Administración, para que los apruebe, si procede.

e) Crear, modificar y suprimir las comisiones de carácter consultivo, diferentes de la Comisión Asesora, necesarias para evaluar y coordinar el cumplimiento de las funciones de la Agencia.

f) Elaborar la propuesta de plantilla de personal o la relación de puestos de trabajo.

g) Ejercer las funciones de contratación, dirección, gestión y supervisión del personal que preste servicios a la Agencia.

h) Elaborar y elevar el anteproyecto de presupuesto anual y sus modificaciones (sin perjuicio de aquello establecido en el artículo 22.4), al efecto de que el Consejo de Administración lo examine y, si procede, lo apruebe; dirigir la gestión económica de la Agencia, autorizar los gastos dentro de los límites fijados por el Consejo de Administración y ordenar los pagos, y la formulación de las cuentas anuales.

i) Ejecutar y hacer cumplir el Plan de inversiones de la Agencia.

j) Administrar el patrimonio de la Agencia, de acuerdo con las directrices fijadas por el Consejo de Administración, y en el marco de las delegaciones que en esta materia le sean efectuadas, y velar por la conservación y el mantenimiento de sus instalaciones y de su equipamiento.

k) Ejercer las competencias propias como órgano de contratación, de acuerdo con los umbrales establecidos por el Consejo de Administración, de acuerdo con lo que prevé el artículo 24 de estos Estatutos y la normativa de contratos del sector público.

l) Suscribir convenios de colaboración, así como informar al Consejo de Administración de los mismos.

m) Ejercer la representación legal de la Agencia de Ciberseguridad de Cataluña.

n) Ejercer todo tipo de acciones, recursos y reclamaciones judiciales y administrativas en defensa de los derechos e intereses de la Agencia, y dar cuenta de ello al Consejo de Administración en la primera reunión que se convoque.

o) Informar al presidente o presidenta del Consejo de Administración y a los presidentes de las comisiones de todo lo que sea necesario con el fin de asegurar la coordinación adecuada y el funcionamiento de las actividades que efectúan, y para el ejercicio adecuado de las funciones que tienen encomendadas, así como formular las propuestas que considere adecuadas para el buen funcionamiento de la Agencia.

p) Velar por la mejora y la calidad de los procedimientos y los métodos de trabajo y para la introducción de las innovaciones tecnológicas.

q) Ejercer las funciones de jefe o jefa de personal de la Agencia y las funciones como responsable de la aplicación de la normativa interna de la Agencia y, en particular, de la transversalidad de la perspectiva de género en la dirección, organización y gestión de sus servicios, mediante el ejercicio, dentro del ámbito de sus competencias, de las funciones establecidas en el artículo 8.2 de la Ley 17/2015, de 21 de julio, de igualdad efectiva de mujeres y hombres.

r) Resolver los expedientes de responsabilidad patrimonial, así como nombrar al instructor o instructora del procedimiento.

s) Cualquier otra función que le sea expresamente encomendada o delegada por el Consejo de Administración, o que le atribuyan estos Estatutos y el resto de normativa vigente, así como todas aquellas que no estén atribuidas expresamente a otros órganos de la Agencia.


Artículo 13. La Secretaría.

13.1 El Consejo de Administración nombra, entre el personal al servicio de la Agencia de Ciberseguridad de Cataluña, a una persona que ocupe la Secretaría, a propuesta del presidente o presidenta, la cual debe asistir a las reuniones del Consejo de Administración, con voz pero sin voto.

13.2 La persona que ocupe la Secretaría del Consejo de Administración de la Agencia de Ciberseguridad de Cataluña puede, asimismo, desarrollar las funciones propias de este cargo en las comisiones de la Agencia que no hayan designado secretarios propios.

13.3 A la persona que ocupe la Secretaría le corresponden las funciones siguientes:

a) Hacer la convocatoria de las sesiones por orden del presidente o presidenta.

b) Extender el acta de las sesiones.

c) Asegurarse de que se practiquen los actos de comunicación necesarios.

d) Extender los certificados pertinentes.

e) Custodiar y archivar las actas.

f) Facilitar a los miembros de cuyos órganos forme parte la información necesaria para el ejercicio de sus funciones.

g) Velar por la legalidad formal y material de las actuaciones del órgano colegiado y garantizar que se respeten los procedimientos y las reglas de constitución y adopción de acuerdos.

g) Cumplir las otras funciones propias de los secretarios de los órganos colegiados de la Administración de la Generalidad.

13.4. La persona que ocupe la Secretaría de la Agencia da apoyo al director o directora en el ejercicio de sus funciones y coordina las tareas de secretaría que, en su caso, desarrollen los secretarios de las diferentes comisiones.


CAPÍTULO 4. Órganos consultivos
Artículo 14. La Comisión Asesora.

14.1 La Comisión Asesora es el órgano consultivo que colabora con los órganos de gobierno de la Agencia de Ciberseguridad de Cataluña en el asesoramiento de las estrategias, en la definición y la mejora de los procedimientos y en la elaboración de propuestas de actuación, con la finalidad de garantizar la calidad, eficacia y debida actualización de las actividades de la Agencia, de acuerdo con referentes internacionales.

14.2 La Comisión Asesora está constituida por los miembros siguientes:

a) El director o directora de la Agencia de Ciberseguridad de Cataluña, que ocupa la Presidencia.

b) Un directivo o directiva de la Agencia de Ciberseguridad de Cataluña designado por la Dirección.

c) Hasta seis personas expertas de reconocido prestigio académico, científico o profesional, con experiencia acreditada en materia de ciberseguridad, nombradas por el Consejo de Administración, a propuesta del director o directora de la Agencia.

14.3 El presidente o presidenta de la Comisión Asesora debe informar anualmente al Consejo de Administración del desarrollo de sus actividades.

14.4 Los miembros de la Comisión Asesora previstos en la letra c) del apartado 2 son nombrados por un periodo de cuatro años, renovable una sola vez, y siempre que mantengan las condiciones por las que fueron nombrados. Una vez finalizado su mandato, deben continuar en el cargo en funciones hasta que no tomen posesión sus sucesores.


Artículo 15. Las comisiones de evaluación y coordinación del cumplimiento de las funciones de la Agencia de Ciberseguridad de Cataluña.

15.1 Corresponde al director o directora de la Agencia de Ciberseguridad de Cataluña, la creación, modificación y supresión de otras comisiones, diferentes a la Comisión Asesora, específicamente creadas con carácter consultivo para evaluar y coordinar el cumplimiento de las funciones de la Agencia de Ciberseguridad de Cataluña.

15.2 Las comisiones deben ser presididas e integradas por personas de reconocido prestigio académico, científico o profesional. Los miembros y los presidentes de estas comisiones son nombrados por el director o directora de la Agencia de Ciberseguridad de Cataluña.

15.3 Los presidentes de las comisiones deben informar anualmente al director o directora de la Agencia de Ciberseguridad de Cataluña del desarrollo de sus actividades, así como de los acuerdos adoptados.

15.4 Los presidentes y los miembros de las comisiones creadas por el director o directora son nombrados por un periodo de cuatro años, renovable una sola vez. Una vez finalizado su mandato, deben continuar en el cargo en funciones hasta que no tomen posesión sus sucesores.


CAPÍTULO 5. Régimen de funcionamiento de los órganos colegiados
Artículo 16. Convocatoria y celebración de las reuniones.

16.1 Los órganos colegiados de la Agencia de Ciberseguridad de Cataluña, ya sean de gobierno o consultivos, pueden celebrar sus reuniones y adoptar sus acuerdos presencialmente, a distancia o de manera mixta. Se consideran incluidos entre los medios electrónicos válidos para la gestión de las reuniones el correo electrónico, el voto electrónico, las audioconferencias y las videoconferencias, entre otros. En todos los casos estos medios deberán contar con los elementos de identificación y seguridad necesarios para autorizar la validez y la confidencialidad, garantizando en todo caso el derecho de información y de voto.

16.2 La convocatoria de las reuniones de los órganos colegiados se debe notificar a sus miembros con una antelación mínima de 48 horas, salvo en el caso de urgencia apreciada por el presidente o presidenta, lo cual se debe hacer constar en la convocatoria. La convocatoria de la sesión se debe hacer preferentemente por medios electrónicos, se debe hacer constar el orden del día, las condiciones en que se celebrará la reunión y el sistema de conexión, y debe ir acompañada de la documentación necesaria para la deliberación y la adopción de acuerdos, sin perjuicio que esta documentación esté disponible en un sitio web o sistema similar, del que se debe garantizar la accesibilidad y la seguridad.

16.3 A fin de que los órganos colegiados se consideren válidamente constituidos en primera convocatoria, hace falta la presencia de las personas que ocupen la Presidencia y la Secretaría, y la de la mitad, como mínimo, de sus miembros. En segunda convocatoria, el quórum se alcanza con la presencia de las personas que ocupen la Presidencia y la Secretaría y de la tercera parte de sus miembros, con un mínimo de tres.

16.4 En caso de urgencia, la convocatoria se debe hacer, al menos, con 24 horas de anticipación, mediante cualquier procedimiento con el que pueda quedar constancia de su recepción. El órgano colegiado debe apreciar por unanimidad de los miembros presentes la existencia de la urgencia, una vez considerado el orden del día. Si se considera que no la hay, se debe convocar la reunión de acuerdo con lo que prevé el apartado 2.

16.5 En las reuniones a distancia se debe poder asegurar la disponibilidad de los medios electrónicos durante la reunión, la identidad de los miembros asistentes, el contenido y el tiempo en que se producen sus manifestaciones, así como la interactividad y la intercomunicación entre ellos en tiempo real o bien con intervenciones sucesivas en un foro virtual dentro de los límites temporales marcados por el presidente o presidenta. Se entiende que las reuniones a distancia tienen lugar en la sede de la Agencia de Ciberseguridad de Cataluña.

16.6 Aunque no se hayan cumplido los requisitos de la convocatoria, el Consejo de Administración queda válidamente constituido cuando están presentes, o representados, todos sus miembros y lo acuerdan por unanimidad.

16.7 En caso de vacante, ausencia o enfermedad, la persona que ocupa la Presidencia puede ser sustituida por la persona que ocupa la Vicepresidencia o, en caso que esto no sea posible, por el miembro del órgano en quien delegue el presidente o presidenta.

La persona que ocupa la Secretaría será sustituida por la persona que designe la Presidencia.

16.8 La asistencia a los órganos colegiados es personal, si bien puede ser delegada en el presidente o presidenta o en otro miembro del órgano, lo cual deberá ser comunicado por escrito a la Presidencia.


Artículo 17. Adopción de acuerdos y actos.

17.1 Con carácter general, los acuerdos de los órganos colegiados de la Agencia de Ciberseguridad de Cataluña se adoptan por mayoría simple de votos. En caso de empate dirime los resultados de las votaciones el voto de la persona que ocupe la Presidencia.

17.2 No obstante lo que prevé el apartado anterior, para los acuerdos relativos a la modificación de los Estatutos es necesario el voto favorable de dos tercios del número legal de miembros del Consejo de Administración.

17.3 Se debe levantar acta de cada reunión, la cual debe reflejar el lugar de la reunión, el día, el mes, el año y la hora de comienzo, los asistentes, la descripción sucinta de las cuestiones debatidas, las incidencias, las conclusiones, los acuerdos adoptados, y la hora en la que se levanta la sesión.

17.4 Los miembros del órgano colegiado que hacen constar en acta su voto contrario o su abstención en relación con un acuerdo adoptado, quedan exentos de la responsabilidad que se pueda derivar, y pueden formular un voto particular por escrito en el plazo de 72 horas, el cual se debe incorporar al texto del acuerdo.

17.5 Las actas se deben aprobar en la misma sesión o en la siguiente inmediata. El secretario o secretaria debe elaborar las actas con el visto bueno de la persona que ocupe la Presidencia y las debe remitir por medios electrónicos a los miembros del órgano de gobierno, los cuales pueden manifestar por los mismos medios su conformidad u objeciones al texto. En caso de que en el plazo de diez días desde la recepción del acta ninguno de los miembros del órgano colegiado presente objeciones, se considerará que el acta ha sido aprobada en la misma reunión. En estos casos, el orden del día de la siguiente reunión del órgano colegiado deberá incluir un punto relativo a la ratificación de la aprobación del acta de la reunión anterior. Una vez aprobadas, las actas deben ser firmadas por el secretario o secretaria y autorizadas con el visto bueno del presidente o presidenta. Se debe garantizar que los miembros puedan acceder a las actas en formato electrónico para consultar el contenido de los acuerdos adoptados. Se aceptarán los medios mencionados para la gestión de las reuniones por medios electrónicos en el artículo anterior.

17.6 En todo lo que no establezcan la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, estos Estatutos y los reglamentos de funcionamiento interno respectivos, los órganos colegiados de la Agencia de Ciberseguridad de Cataluña deberán ajustar su funcionamiento a lo que establece el régimen jurídico de los órganos colegiados de la Generalidad.


CAPÍTULO 6. Régimen económico y financiero, de contratación, de personal, de control y contrato programa
SECCIÓN PRIMERA. Régimen económico y financiero
Artículo 18. Régimen económico y financiero.

La Agencia de Ciberseguridad de Cataluña disfruta de la autonomía financiera que establece la normativa de las finanzas de la Generalidad.


Artículo 19. Recursos económicos.

19.1 Los recursos de la Agencia de Ciberseguridad de Cataluña están integrados por:

a) El rendimiento de los bienes que le sean adscritos y de los bienes y los valores propios que adquiera en ejercicio de sus funciones.

b) Los ingresos obtenidos por el cumplimiento de actividades y la prestación de servicios en el ejercicio de las competencias y funciones que establece la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña y su despliegue reglamentario en materia de ciberseguridad.

c) Las transferencias que, si procede, haga el departamento al que está adscrita la Agencia con cargo a los presupuestos de la Generalidad, así como las asignaciones presupuestarias de otros departamentos o entidades del sector público de la Generalidad relacionados con las funciones propias de la Agencia

d) Las subvenciones, las aportaciones voluntarias o las donaciones de entidades públicas y privadas o de particulares.

e) Los ingresos obtenidos por operaciones de crédito y de préstamo, de acuerdo con la normativa vigente.

f) Cualquier otro que le corresponda de acuerdo con las leyes que sean aplicables.

19.2 La obtención y gestión de estos recursos económicos se regirán por su normativa específica y se deberán observar los principios de publicidad, concurrencia, transparencia, confidencialidad, igualdad y no discriminación cuando sea procedente, de acuerdo con el plan de actividades y el plan de inversiones, así como el presupuesto, aprobados, o según se determine en el contrato programa de la Agencia.

19.3 La Agencia también puede suscribir operaciones de crédito, de préstamo y cualquier otro tipo de endeudamiento o empréstito, de acuerdo con lo que establece la legislación vigente, el plan de actividades, el plan de inversiones, así como el presupuesto, aprobados o según se determine en el contrato programa de la Agencia.

19.4 El tratamiento de los resultados de explotación obtenidos por la Agencia es acordado por el Consejo de Administración de conformidad con las leyes de los presupuestos de la Generalidad y los contratos programa que haya suscrito la entidad.


Artículo 20. Patrimonio.

20.1 Constituyen el patrimonio de la Agencia de Ciberseguridad de Cataluña los bienes y derechos que le son adscritos o cedidos y los bienes y derechos propios de cualquier naturaleza que adquiera por cualquier título. Estos bienes pueden ser demaniales o patrimoniales de acuerdo con lo que establece la normativa patrimonial vigente.

20.2 El régimen patrimonial de la Agencia de Ciberseguridad de Cataluña está sujeto al Estatuto de la empresa pública catalana y, supletoriamente, a la normativa del patrimonio de la Administración de la Generalidad.

20.3 Los bienes y derechos adscritos a la Agencia de Ciberseguridad de Cataluña conservan la calificación jurídica originaria, sin que la adscripción implique la transmisión del dominio ni su desafectación. Los bienes y los derechos que se le adscriban deben revertir en las condiciones que se pacten en el momento de la adscripción, de acuerdo con la normativa patrimonial vigente.

20.4 La Agencia de Ciberseguridad de Cataluña debe elaborar y mantener actualizado el inventario de sus bienes y derechos. El inventario se debe hacer anualmente con referencia al 31 de diciembre y se debe someter a la aprobación del Consejo de Administración.


Artículo 21. Procedimiento de adscripción a la Agencia de bienes de la Administración de la Generalidad y de las entidades de su sector.

21.1 La adscripción a la Agencia de Ciberseguridad de Cataluña de los bienes de la Administración de la Generalidad afectos a las funciones que ejerce la Agencia, se iniciará mediante una solicitud de la Dirección, de acuerdo con la normativa patrimonial vigente.

21.2 En el caso de las entidades de su sector público, se seguirá el procedimiento establecido por la normativa patrimonial vigente para la adscripción de los bienes asignados a los departamentos de la Generalidad de Cataluña y, en todo caso, se iniciará mediante una solicitud de la Dirección al órgano de dirección de la entidad del sector público.


Artículo 22. Presupuesto, contabilidad y control financiero.

22.1 El presupuesto de la Agencia de Ciberseguridad de Cataluña es anual y único, y se debe sujetar al régimen presupuestario que establece la normativa reguladora de las entidades que forman parte del sector público de la Generalidad de Cataluña, la normativa reguladora de sus finanzas públicas y las sucesivas leyes de presupuestos, y de manera coherente con el contrato programa que esté en vigor.

22.2 La Agencia de Ciberseguridad de Cataluña debe elaborar anualmente un presupuesto de explotación y de capital. La elaboración, ejecución y liquidación del presupuesto se debe ajustar a la normativa presupuestaria y de estabilidad vigente de la Generalidad de Cataluña y a las instrucciones establecidas por el departamento de la Generalidad de Cataluña competente en finanzas públicas.

22.3 La Agencia de Ciberseguridad de Cataluña debe ordenar su contabilidad de conformidad con el régimen que establece la normativa de las finanzas públicas de la Generalidad de Cataluña. Asimismo, el régimen contable aplicable se debe someter a las instrucciones y la normativa de despliegue que dicte la Intervención de la Generalidad, de acuerdo con la normativa de finanzas públicas de la Generalidad de Cataluña.

22.4 Las bases de ejecución del presupuesto contendrán la adaptación de las disposiciones generales en esta materia a la organización y circunstancias de la Agencia de Ciberseguridad de Cataluña, así como las previsiones que estime apropiadas para la mejor realización del gasto y la recaudación de los ingresos.


SECCIÓN SEGUNDA. Régimen de contratación
Artículo 23. Régimen jurídico de la contratación.

El régimen jurídico de la contratación de la Agencia de Ciberseguridad de Cataluña se ajusta a la normativa en materia de contratos del sector público.


Artículo 24. Órgano de contratación.

24.1 El órgano de contratación de la Agencia de Ciberseguridad de Cataluña es la Dirección.

24.2 Sin perjuicio de las facultades que corresponden a la Dirección de la Agencia, el Consejo de Administración podrá proponerle la iniciación de procedimientos de contratación.

24.3 El órgano de contratación debe integrar cláusulas sociales, ambientales y de innovación en los procedimientos de contratación con la finalidad de hacer un uso estratégico de la contratación pública, así como integrar la visión de género en todos los estadios del proceso de contratación con la finalidad de utilizar la contratación pública para promover la igualdad de las mujeres y los hombres.


SECCIÓN TERCERA. Régimen de personal y estructura organizativa
Artículo 25. Personal de la Agencia de Ciberseguridad de Cataluña.

25.1 El personal de la Agencia está formado por:

a) El personal propio, contratado en régimen de derecho laboral. La selección de este personal se deberá ajustar a los principios de igualdad, mérito, capacidad y publicidad.

b) El personal de la Administración de la Generalidad adscrito a la Agencia para el ejercicio de las potestades administrativas correspondientes, de acuerdo con la normativa vigente.

25.2 La Agencia se debe dotar del personal necesario para el cumplimiento de su objeto y finalidades. Su número, clasificación profesional y función se debe determinar en la plantilla u otros instrumentos de gestión y planificación.

25.3 La Agencia promoverá medidas para garantizar la igualdad efectiva entre hombres y mujeres en cumplimiento de la normativa sobre igualdad de trato y oportunidades entre mujeres y hombres, y velará especialmente para que las mujeres no estén infrarrepresentadas en la ocupación de puestos de trabajo relativos a las TIC.


Artículo 26. Régimen aplicable al personal de la Agencia de Ciberseguridad de Cataluña.

26.1 El personal de la Agencia de Ciberseguridad de Cataluña se rige por el derecho laboral, sin perjuicio de la adscripción de personal funcionario para el ejercicio de potestades administrativas. En el ejercicio de las potestades administrativas que correspondan a las funciones de inspección y control que cumpla la Agencia, el personal funcionario tiene la consideración de autoridad pública, en particular con respecto a las funciones que establecen las letras e) y f) del artículo 2.4 de la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.

26.2 El personal de la Agencia de Ciberseguridad de Cataluña está sometido a la normativa del personal laboral de la Generalidad. Las condiciones retributivas del personal de la Agencia son las establecidas en el convenio colectivo aplicable y en los respectivos contratos de trabajo. La masa salarial se debe someter a las limitaciones y los principios que establezcan la normativa básica en materia de personal, la legislación presupuestaria de la Generalidad y a lo que disponga el contrato programa de la Agencia.

26.3 La contratación del director o directora de la Agencia debe regirse por la normativa de régimen laboral vigente y, en concreto, por el régimen laboral de alta dirección.


Artículo 27. Estructura orgánica interna.

27.1 De la Dirección dependen las áreas siguientes:

a) El Área de Servicios Corporativos

b) Las áreas de servicios operativos

27.2 El Área de Servicios Corporativos tiene las funciones siguientes:

a) Gestionar la actividad administrativa y corporativa de la entidad, incluyendo la comunicación pública.

b) Elaborar, hacer el seguimiento y evaluar los planes en materia de organización y dimensionado de recursos de la entidad, así como gestionar los elementos básicos del personal.

c) Llevar a cabo el control financiero, contable, de aprovisionamiento y la contratación de la entidad.

d) Otras funciones de análoga naturaleza y, en general, todas aquellas que estén relacionadas con los elementos corporativos de la entidad.

27.3 Las áreas de servicios operativos tienen las funciones siguientes:

a) Establecer los modelos de gobierno de los servicios que se presten en el ámbito de competencias de la entidad.

b) Ejecutar la prestación de las actuaciones y servicios operativos que lleve a cabo la entidad para cumplir sus finalidades.

c) Otras funciones de análoga naturaleza.

27.4 Corresponde al Consejo de Administración determinar las áreas de servicios operativos y sus respectivas funciones.


SECCIÓN CUARTA. Régimen de control
Artículo 28. Régimen de control.

28.1 La Agencia de Ciberseguridad de Cataluña queda sometida al control financiero mediante auditorías, de acuerdo con lo que dispone la normativa aplicable a las entidades que integran el sector público de la Generalidad de Cataluña.

28.2 La Agencia de Ciberseguridad de Cataluña debe elaborar una memoria anual de sus actividades, que, una vez aprobada por el Consejo de Administración, debe entregar al Gobierno y al Parlamento y que el director o directora de la Agencia debe presentar ante la comisión del Parlamento competente en materia de ciberseguridad o, si procede, ante la Comisión de Materias Secretas y Reservadas. Dicha memoria se hará pública, de acuerdo con la normativa vigente en materia de transparencia.


Artículo 29. Régimen de impugnación de los actos.

29.1 Los actos dictados por el Consejo de Administración y por la Dirección de la Agencia de Ciberseguridad de Cataluña no agotan la vía administrativa y pueden ser objeto de recurso de alzada ante la persona titular del departamento de adscripción.

29.2 Las reclamaciones de responsabilidad patrimonial se deben dirigir al director o directora de la Agencia, que es el órgano competente para nombrar al instructor o instructora, así como para su resolución.


SECCIÓN QUINTA. Contrato programa
Artículo 30. Contrato programa.

30.1 La Agencia de Ciberseguridad de Cataluña y la Administración de la Generalidad deben suscribir un contrato programa, por medio del cual se articulan las relaciones de la Agencia de Ciberseguridad de Cataluña con el Gobierno, mediante el departamento competente en materia de ciberseguridad, de acuerdo con el artículo 11 de la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.

30.2 El contrato programa tiene una duración máxima de cuatro años, sin perjuicio de que las partes puedan instar la modificación, la resolución o prórroga, si procede.

30.3 El contrato programa queda sometido a la legislación sobre finanzas públicas de Cataluña y debe incorporar, como mínimo y por el periodo de vigencia, los elementos siguientes:

a) Los objetivos estratégicos y operativos y los resultados que debe alcanzar la entidad.

b) El plan de actuaciones.

c) La previsión de los resultados en la gestión y los instrumentos de seguimiento, control y evaluación a que se debe someter la actividad de la Agencia durante la vigencia del contrato.

d) El escenario presupuestario completo y detallado, las previsiones de aportaciones anuales (con el detalle de la programación por años) que hay que incluir en los presupuestos de la Generalidad, el plan de inversiones y los mecanismos de vinculación de estas aportaciones al cumplimiento de los objetivos y los resultados.

e) Los mecanismos de seguimiento anual entre la Agencia de Ciberseguridad de Cataluña y el departamento competente en materia de ciberseguridad.

f) Los indicadores y los criterios para evaluar la consecución de los objetivos y los resultados establecidos.

g) Las funciones y la composición de la Comisión de Seguimiento y Coordinación del contrato programa.

h) La política de gestión de los recursos humanos de la Agencia necesarios para la consecución de los objetivos establecidos en el contrato, sin perjuicio de la competencia de los órganos de gobierno de la Agencia para determinar las líneas generales de gestión de sus recursos humanos.

30.4 En caso de que el presupuesto de la Generalidad de un ejercicio establezca unas aportaciones recurrentes diferentes a las previstas en el contrato programa vigente, habrá que tramitar la modificación con el fin de ajustarlo a la previsión presupuestaria.

30.5 El director o directora de la Agencia de Ciberseguridad de Cataluña elabora la propuesta de contrato programa que debe ser aprobado por el Consejo de Administración y se debe elevar al departamento competente en materia de ciberseguridad para que lo tramite y, si procede, lo suscriba con la aprobación previa del Gobierno de la Generalidad.

30.6 El contrato programa se debe publicar por los medios establecidos en la normativa de transparencia y buen gobierno, sin perjuicio de aquellos elementos que por motivos justificados sean confidenciales.


CAPÍTULO 7. Código ético y transparencia
Artículo 31. Código ético.

31.1 La Agencia de Ciberseguridad de Cataluña debe contar con un código ético, aprobado por el Consejo de Administración, en el que queden reflejados los compromisos de la entidad hacia la sociedad, los trabajadores y las buenas prácticas empresariales.

31.2 La aprobación del Código ético de la Agencia debe ir acompañada de la constitución del Comité de Ética, del procedimiento de actuación de este Comité de Ética, así como de un programa de acciones de sensibilización y formación a los diferentes colectivos de la plantilla de la Agencia.

31.3 El Código ético de la Agencia es de obligado cumplimiento para todos los miembros de los órganos de gobierno de la entidad y sus trabajadores.


Artículo 32. Transparencia.

La Agencia de Ciberseguridad de Cataluña queda sujeta a las normas de transparencia aplicables a las entidades integrantes del sector público de la Generalidad.


ANEXO 2. Inventario de bienes y activos de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia y que se adscriben a la entidad

De acuerdo con lo que establece la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña y el Decreto de aprobación de sus Estatutos, se detallan los activos identificados de la Administración de la Generalidad y su sector público que se adscriben a la entidad.

Asimismo, se describe el procedimiento de identificación y adscripción de activos no detallados en el presente anexo con las entidades del sector público de la Generalidad de Cataluña. Esta lista no incluye bienes para adscribir de la Administración de la Generalidad sino que solo determina los activos identificados del sector público.

Servicio

Tecnología

Núm. de elementos

Coste (en €)

Titular del activo

Nodo

Cortafuegos

90

3.777.166

CTTI

Nodo

NAC - VPN

12

300.000

CTTI

Nodo

IPS

4

1.077.000

CTTI

Nodo

AntiAPT

2

482.500

CTTI

CME

AntiAPT

1

300.000

CTTI

Nodo

VPN

2

250.000

CTTI

Nodo

UCS SIEM

4

150.000

CTTI

Nodo

Protección DNS

2

300.000

CTTI

Nodo

SIEM

2

98.597,65

CTTI

CTTI

SIEM

1

800.000

CTTI

Nodo

Protección DDoS

0

CTTI

Nodo

Control de acceso

0

CTTI

CPD Núcleo

Antivirus

220

3.000

CTTI

CPD Núcleo

Control de acceso

0

CTTI

CPD Núcleo

Cortafuegos

2

30.000

CTTI

A2

Análisis de vulnerabilidades

1

100.000

CTTI

A1

Análisis de vulnerabilidades

3

200.000

CTTI

CME

EDR

100

40.000

CTTI

CTTI

Portal de seguridad

1

100.000

CTTI

CTTI

Babel

1

42.275,94

CTTI

CTTI

Hardware de apoyo a la ciberseguridad (cabinas EVA, servidores, etc.)

19

100.000

CTTI

Procedimiento de adscripción de activos de Ciberseguridad de las entidades del sector público de la Generalidad de Cataluña

Con el fin de dar cumplimiento a lo que establece la disposición adicional primera de la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, se describe en este anexo el procedimiento por el que se hará efectiva la adscripción de los activos tecnológicos de las entidades del sector público de la Generalidad de Cataluña afectos a las funciones de la Agencia de Ciberseguridad de Cataluña y, en su caso, los derechos o créditos que estén vinculados a la Agencia].

Asimismo, este procedimiento que se rige en todo caso por lo que prevee el Estatuto de la Empresa Pública Catalana, aprovado por el Decreto Legislativo 2/2002, de 24 de diciembre, así como la legislación patrimonial, también se aplicará a aquellos activos no descritos en este anexo que se puedan identificar con posterioridad y que cumplan los requisitos establecidos en la Ley mencionada.

Con el fin de proceder a la adscripción de los activos afectados se deberán llevar a cabo las siguientes actuaciones:

-Identificación de los activos, incluyendo el detalle y la valoración económica.

-Establecimiento de un grupo de trabajo para acordar las condiciones de la adscripción.

-Justificación del uso y las finalidades que condicionan la adscripción.

-Negociación y acuerdo de las condiciones de la adscripción y gestión de los activos.

Identificación de los activos

El procedimiento se iniciará con la identificación de los activos del sector público de la Generalidad de Cataluña sujetos a lo que establece la disposición adicional primera de la Ley 15/2017, de 25 de julio. Esta identificación la podrá hacer tanto la Agencia de Ciberseguridad de Cataluña como el organismo titular o responsable del activo, y lo deberá poner en conocimiento de la otra parte. En este anexo se hace una descripción de activos ya identificados.

Establecimiento de un grupo de trabajo

Una vez identificado el activo o los activos, ambas partes establecerán un grupo de trabajo para relacionar las características del activo y establecer las posteriores acciones para ejecutar su adscripción y su gestión por la Agencia de Ciberseguridad de Cataluña. Este grupo de trabajo necesariamente deberá estar constituido por un perfil financiero y otro tecnológico de cada una de las entidades.

Cada una de las partes hará la designación de las personas participantes en el grupo de trabajo para la finalidad mencionada en este anexo y de acuerdo con su normativa interna. En cualquier caso, las personas designadas dispondrán de la capacidad, dentro de las respectivas entidades, para gestionar y negociar las condiciones a alcanzar en el acuerdo de adscripción.

Establecimiento y acuerdo de las condiciones

El grupo de trabajo se reunirá para determinar las condiciones efectivas de la adscripción y el modelo de gestión del activo, de acuerdo con las políticas y los modelos de gobierno de la Agencia de Ciberseguridad de Cataluña. Estas condiciones incluirán necesariamente la valoración económica del acuerdo de adscripción y su alcance. Este acuerdo deberá ser alcanzado en el plazo máximo de tres meses desde la identificación del activo o de los activos.

Ambas partes actuarán de buena fe y con transparencia en relación con la información aportada y con la voluntad de alcanzar el acuerdo más efectivo y eficiente para dar cumplimiento a lo establecido en la disposición adicional primera de la Ley 15/2017, de 25 de julio.

El acuerdo de adscripción debe indicar la obligatoriedad de utilizarlos exclusivamente para el cumplimiento de los fines que determina la adscripción, de una manera directa. En caso de que el bien adscrito no se dedique al cumplimiento de las finalidades previstas, se debe incorporar al patrimonio de la Generalidad, o, en su caso, del ente que sea titular, con la tasación previa de su valor pericial, y, de acuerdo con la normativa patrimonial, se podrán exigir los detrimentos evaluados.

Ejecución de la adscripción

Una vez establecidas las condiciones, éstas se aprobarán por los órganos de gobierno de las correspondientes entidades y se procederá a la ejecución efectiva de la adscripción mediante el acta de entrega y aceptación, sin perjuicio de lo que establece el artículo 21 de los Estatutos de la Agencia de Ciberseguridad de Cataluña.


ANEXO 3. Lista de derechos y obligaciones de contenido económico de la Administración de la Generalidad y de las entidades de su sector público afectos a las funciones que ejerce la Agencia en que se subroga la entidad

De acuerdo con lo que establece la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña y el Decreto de aprobación de sus estatutos, se detallan los derechos y obligaciones de contenido económico activos identificados de la Administración de la Generalidad y su sector público en que se subroga la entidad.

Asimismo, se describe el procedimiento de identificación y traspaso de derechos y obligaciones de contenido económico no detallados en el presente anexo con las entidades del sector público de la Generalidad de Cataluña.

Contrato de Servicios

Tecnología o servicios de ciberseguridad incluidos

Fabricante/proveedor

Titular del contrato

Puesto de trabajo (LlT2x)

Antivirus

Symantec

CTTI

Puesto de trabajo (LlT2x)

Antivirus

McAfee

CTTI

Puesto de trabajo (LlT2x)

Antivirus

Kaspersky

CTTI

Puesto de trabajo (LT1)

Protección del correo

CISCO

CTTI

Puesto de trabajo (LT1)

Antivirus

TrendMicro

CTTI

Puesto de trabajo (LT1)

Antivirus

Symantec

CTTI

Puesto de trabajo (LT1)

Antivirus

Microsoft

CTTI

Contrato de CPD4

Antivirus

McAfee

CTTI

Contrato de CPD4

Antivirus

Symantec

CTTI

Contrato de CPD4

IPS

Checkpoint

CTTI

Contrato de CPD4

Cortafuegos

Checkpoint

CTTI

Contrato CPD3-Nexica

Antivirus

Symantec

CTTI

Contrato CPD3-Nexica

IPS

OISF

CTTI

Contrato CPD3-Nexica

Análisis de vulnerabilidades

Tenable

CTTI

Contrato CPD3-Nexica

Análisis de vulnerabilidades

Greenbone

CTTI

Contrato CPD3-Nexica

Cortafuegos

Huawai

CTTI

Contrato CPD3-Nexica

Antivirus

Symantec

CTTI

Contrato CPD3-Nexica

SIEM

IBM

CTTI

Contrato CPD3-Nexica

IPS

Cisco

CTTI

Contrato CPD3-Nexica

Análisis de vulnerabilidades

Greenbone

CTTI

Contrato CPD3-Nexica

Cortafuegos

F5

CTTI

Contrato CPD3-Nexica

Cortafuegos

Cisco

CTTI

Contrato CPD3-Nexica

Nube - Infraestructura

Cisco

CTTI

Contrato de CPD2

Antivirus

Symantec

CTTI

Contrato de CPD2

SIEM

AlienVault

CTTI

Contrato de CPD2

Análisis de vulnerabilidades

Tenable

CTTI

Contrato de CPD2

Gestión de accesos privilegiados

Cyberark

CTTI

Contrato de CPD2

Cortafuegos

CISCO

CTTI

Contrato de CPD2

Gestión de Cortafuegos

CISCO

CTTI

Contrato de CPD2

Protección DNS

Infoblox

CTTI

Contrato de CPD2

Nube - Contenedores

Aqua

CTTI

Contrato de CPD2

Control de acceso

Microsoft

CTTI

Contrato de CPD2

Gestión de la identidad

Microsoft

CTTI

Contrato de CPD1

Antivirus

McAfee

CTTI

Contrato de CPD1

IPS

TREND Micro

CTTI

Contrato de CPD1

Cortafuegos

Checkpoint

CTTI

Contrato de CPD1

SIEM

Alienvault

CTTI

Contrato de CPD1

Análisis de vulnerabilidades

Tenable

CTTI

Contratos de Gobernanza

Gobernanza de la seguridad

CTTI

Contrato de nudo de comunicaciones

Servicios de gestión de la seguridad en el nodo

BT-SIRT

CTTI

Procedimiento de subrogación de derechos y obligaciones de ciberseguridad de las entidades del sector público de la Generalidad de Cataluña

Con el fin de dar cumplimiento a lo que establece la disposición adicional primera de la Ley 15/2017, de 25 de julio, se describe en este anexo el procedimiento por el que se hará efectiva la subrogación de los derechos y obligaciones de contenido económico de las entidades del sector público de la Generalidad de Cataluña adscritos a las funciones de la Agencia de Ciberseguridad de Cataluña y, en su caso, los derechos o créditos que estén vinculados a la Agencia.

Asimismo, este procedimiento también se aplicará a los elementos no descritos en este anexo que se puedan identificar con posterioridad y que cumplan los requisitos establecidos en la Ley mencionada.

Con el fin de proceder a la subrogación de los derechos y obligaciones afectados se deberán llevar a cabo las siguientes actuaciones:

-Identificación de los derechos y obligaciones, incluyendo el detalle y la valoración económica.

-Establecimiento de un grupo de trabajo para acordar las condiciones de la subrogación.

-Negociación y acuerdo de las condiciones de subrogación y gestión de los activos.

-Ejecución de la subrogación.

Identificación de los derechos y obligaciones

El procedimiento se iniciará con la identificación de los derechos y las obligaciones del sector público de la Generalidad de Cataluña sujetas a lo que establece la disposición adicional primera de la Ley 15/2017, de 25 de julio. Esta identificación la podrá hacer tanto Agencia de Ciberseguridad de Cataluña como el organismo titular o responsable del activo, y lo deberá poner en conocimiento de la otra parte. En este anexo se hace una descripción de derechos y obligaciones ya identificados en el ámbito de este acuerdo.

Establecimiento de un grupo de trabajo

Una vez identificado el activo o los activos, ambas partes establecerán un grupo de trabajo para relacionar las características de los derechos y obligaciones y establecer las posteriores acciones para ejecutar su subrogación y/o su gestión a la Agencia de Ciberseguridad de Cataluña. Este grupo de trabajo necesariamente deberá estar constituido por un perfil financiero y otro tecnológico de cada una de las entidades.

Cada una de las partes hará la designación de las personas participantes en el grupo de trabajo para la finalidad mencionada en este anexo y de acuerdo con su normativa interna. En cualquier caso, las personas designadas dispondrán de la capacidad, dentro de las respectivas entidades, para gestionar y negociar las condiciones a alcanzar en este acuerdo.

Establecimiento y acuerdo de las condiciones

El grupo de trabajo se reunirá para determinar las condiciones efectivas de la subrogación o el modelo de gestión del activo, de acuerdo con las políticas y los modelos de gobierno de la Agencia de Ciberseguridad de Cataluña. Estas condiciones incluirán necesariamente la valoración económica del acuerdo y su alcance. Este acuerdo se documentará por escrito (por ejemplo, mediante las actas de las reuniones del grupo de trabajo) y deberá ser alcanzado en el plazo máximo de tres meses desde la identificación de los elementos correspondientes.

Ambas partes actuarán de buena fe y con transparencia en relación con la información aportada y con la voluntad de alcanzar el acuerdo más efectivo y eficiente para dar cumplimiento a lo que establece la disposición adicional primera de la Ley 15/2017, de 25 de julio.

Ejecución de la subrogación

Una vez establecidas las condiciones, estas se aprobarán por los órganos de gobierno de las correspondientes entidades, tanto cedente como cesionaria, y se procederá a la ejecución efectiva de la subrogación sobre los elementos correspondientes.


No hay versiones para esta norma