Exposicion �nico motivos Creación de la Agencia Vasca de Ciberseguridad

El desarrollo de las tecnologías de la información y la comunicación (TIC) provoca una cada vez mayor dependencia de las mismas, en la medida en que se han convertido en elementos esenciales para el desarrollo económico y el progreso de la sociedad. Es esta dependencia la que convierte en básica la necesidad de desplegar mecanismos que permitan identificar y mitigar los riesgos que la utilización de las TIC trae consigo.

La transformación digital avanza a una velocidad mayor de lo que gran parte de la sociedad es capaz de asumir, por lo que es fundamental la comprensión y entendimiento de las empresas y de la ciudadanía de los riesgos que entraña desarrollar sus relaciones en un entorno hiperconectado y en constante evolución. Asimismo, el derecho de la ciudadanía a relacionarse electrónicamente con las administraciones públicas de un modo seguro conlleva la necesidad de desarrollar un marco que proporcione las condiciones necesarias para el adecuado funcionamiento y resiliencia de las infraestructuras digitales.

La interrelación y dependencia de las comunicaciones digitales, junto con el grado de exposición de la información en la red, conllevan una necesidad latente de protección que garantice la seguridad de la ciudadanía y la actividad económica. Por este motivo, la protección de las infraestructuras y servicios de comunicación frente a amenazas en el ámbito de la ciberseguridad se ha convertido en los últimos tiempos en un pilar básico para diferentes sectores y administraciones.

La progresiva digitalización de las relaciones personales y de las transacciones económicas trae consigo una intensificación de la práctica delictiva que se produce en el entorno digital, lo que requiere reforzar los medios necesarios para detectarla, investigarla y perseguirla con eficacia. En este sentido, las estadísticas de criminalidad elaboradas por la Ertzaintza registran, en los últimos años, un incremento de los delitos informáticos superior al crecimiento que experimenta el número total de infracciones penales. Por ello, la creación de un organismo público específico para impulsar la ciberseguridad puede constituir un importante instrumento técnico de apoyo en la lucha contra conductas ilícitas perpetradas a través de la red.

Las diferentes administraciones públicas de la Comunidad Autónoma Vasca no son ajenas a los riesgos existentes ni al avance de estos. Es por ello, que en los diferentes niveles de administración pública de la Comunidad Autónoma Vasca se llevan a cabo actualmente actividades para proteger sus servicios de los riesgos de ciberseguridad, especialmente desde los organismos que prestan servicios informáticos al Gobierno Vasco, a las diputaciones forales y a las principales entidades locales. Asimismo, existen diferentes planes y acciones para apoyar al tejido empresarial y a la ciudadanía en su propia protección, llevados a cabo a través de los órganos que materializan el desarrollo y la promoción económica dentro de sus competencias, tanto a nivel de la Comunidad Autónoma Vasca como en los distintos territorios históricos.

Entre los distintos organismos que actualmente desarrollan labores en el ámbito de la ciberseguridad dentro de la Comunidad Autónoma Vasca, actualmente se identifica como referente el Centro Vasco de Ciberseguridad (Basque Cybersecurity Centre o BCSC). El centro fue puesto en marcha por el Gobierno Vasco para promover la ciberseguridad en la Comunidad Autónoma Vasca, dinamizando la actividad económica relacionada con la aplicación de la ciberseguridad y fortalecer dicho sector. Desde 2017, el Centro Vasco de Ciberseguridad ha venido promoviendo y desarrollando de manera exitosa una cultura de ciberseguridad en la sociedad vasca. Su labor ha permitido dinamizar la actividad económica relacionada con la aplicación de la ciberseguridad y fortalecer el sector profesional y posicionar a la Comunidad Autónoma Vasca de manera internacional como una región de interés en el ámbito de la ciberseguridad, especialmente en el ámbito industrial. El centro lidera y apoya iniciativas dirigidas a elevar el nivel de madurez y concienciación sobre la ciberseguridad en el País Vasco, a través de proyectos englobados en el ámbito de prevención y respuesta a incidentes de ciberseguridad (CERT, Computer Emergency Response Team) e iniciativas orientadas a la promoción del ecosistema vasco de ciberseguridad, en colaboración con el sector empresarial, y todo ello con la finalidad de atraer inversión y talento.

En el entorno actual, y con las tendencias existentes, la ciberseguridad debe contemplarse y dinamizarse como una materia transversal en el marco de las iniciativas de diferentes organismos de la Comunidad Autónoma Vasca, que dé soporte y facilite el adecuado desarrollo de las mismas y su apoyo a la ciudadanía y al sector empresarial.

En este contexto surge la necesidad de desarrollar una iniciativa común en el sector público de la Comunidad Autónoma Vasca, que articule y refuerce la coordinación de los recursos ya disponibles, y permita elevar el nivel de madurez de ciberseguridad, así como la resiliencia en el conjunto de la Comunidad Autónoma Vasca. Para ello, resulta de gran importancia el impulso de un organismo integrador y transversal de la ciberseguridad en la Comunidad Autónoma Vasca, que proporcione seguridad y estabilidad a la sociedad frente a las amenazas derivadas del uso de internet y las nuevas tecnologías, así como un punto único de relación con agentes externos.

La transversalidad y relevancia de la ciberseguridad suponen la imprescindible necesidad de coordinación entre las diferentes entidades competentes en materia de información y comunicaciones, así como con aquellos organismos responsables de los distintos ámbitos de la seguridad física y de las personas. De igual modo, dicha coordinación ha de llevarse a cabo en línea con la estrategia seguida en otros ámbitos competenciales -como el estatal- y con las iniciativas adoptadas en el ámbito europeo, fruto del interés y la consideración de la ciberseguridad como esencial a efectos de cumplir con los objetivos estratégicos de la Unión Europea.

Por este motivo, la finalidad de la presente ley es la creación de un ente público de derecho privado, la Agencia Vasca de Ciberseguridad (en lo sucesivo, la Agencia), con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines. De este modo, se garantiza que el Gobierno Vasco disponga de las herramientas y recursos necesarios para afrontar las amenazas y riesgos en el ámbito de la ciberseguridad que se plantean en la actual sociedad de la información.

La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por la Comunidad Autónoma Vasca en su Estatuto de Autonomía, aprobado por la Ley Orgánica 3/1979, de 18 de diciembre. Concretamente, el artículo 10.2 atribuye a la Comunidad Autónoma Vasca competencias en materia de organización, régimen y funcionamiento de sus instituciones de autogobierno; el artículo 10.4, en materia de régimen local; el artículo 10.24, en materia de sector público propio del País Vasco, y el artículo 10.25, en materia de promoción, desarrollo económico y planificación de la actividad económica del País Vasco de acuerdo con la ordenación general de la economía.

Por su parte, el artículo 17 del Estatuto establece que la competencia en materia de seguridad pública, concretamente en materias de policía y seguridad ciudadana, corresponde a la Comunidad Autónoma Vasca. La anterior competencia ha de entenderse integrada, a su vez, con otras, tales como las competencias en materias de emergencias y protección civil. Todas estas competencias configuran un sistema general de seguridad propio. Sin embargo, dado que se trata de un fenómeno transfronterizo, es necesaria la colaboración con las administraciones y agencias de otros territorios.

Dentro de la competencia en seguridad pública de la Comunidad Autónoma Vasca también se integran las materias de planificación y coordinación del sistema de seguridad pública de la Comunidad Autónoma Vasca. La finalidad de dicha organización competencial, cuyas autoridades y órganos autonómicos competentes se regulan en la Ley 15/2012, de 28 de junio, de Ordenación del Sistema de Seguridad Pública de Euskadi, es la de proporcionar a la ciudadanía la protección frente a toda clase de riesgos y garantizar el libre y pacífico ejercicio de derechos y libertades de forma integral. Y, en este caso, procurando la preservación de la seguridad en la administración electrónica de la Administración general de la Comunidad Autónoma y en las redes de comunicaciones electrónicas del resto de administraciones públicas vascas, tanto a nivel interno como externo, en su relación con el resto de entidades públicas y personas administradas.

Asimismo, la creación de la Agencia se lleva a cabo atendiendo al procedimiento previsto en la Ley 3/2022, de 12 de mayo, del Sector Público Vasco, como texto de referencia en el ámbito de la organización y funcionamiento del sector público de la Comunidad Autónoma Vasca. De conformidad con lo dispuesto en el artículo 39 de dicha norma, los entes públicos de derecho privado se configuran como aquellos entes institucionales de la Comunidad Autónoma Vasca de naturaleza pública, a los que se encomienda la prestación o gestión de servicios públicos o la producción de bienes de interés público susceptibles de contraprestación. El régimen jurídico al que quedan sometidos es el derecho privado en sus relaciones con terceros y el desarrollo de su actividad. No obstante, en el ejercicio de las potestades administrativas que tengan atribuidas por su norma de creación, se regirán por el derecho administrativo.

La ley consta de una parte expositiva, trece artículos distribuidos en tres capítulos, una disposición adicional, una disposición transitoria y tres disposiciones finales.

El capítulo I establece la creación de la Agencia Vasca de Ciberseguridad, y define su ámbito de aplicación, objeto y competencias.

El capítulo II define la estructura orgánica y las funciones de los órganos de la Agencia.

El capítulo III establece el régimen de personal, el régimen económico-financiero, el régimen patrimonial y el régimen de contratación de la Agencia.

La disposición adicional establece que el ente público de derecho privado SPRI-Agencia Vasca de Desarrollo Empresarial, en cuanto responsable del Basque Cybersecurity Centre-Centro Vasco de Ciberseguridad, cede a la Agencia Vasca de Ciberseguridad, para el cumplimiento de sus funciones, determinados activos materiales, el personal y los recursos asignados al centro; así como la subrogación de la Agencia Vasca de Ciberseguridad en los contratos y convenios suscritos por la SPRI.

La disposición transitoria regula el ejercicio de las funciones del Centro Vasco de Ciberseguridad hasta la constitución de la Agencia.

Las disposiciones finales primera y segunda habilitan a los órganos correspondientes de la Comunidad Autónoma Vasca para realizar las modificaciones presupuestarias oportunas y para el desarrollo reglamentario de esta ley.

La disposición final tercera establece la fecha de entrada en vigor de la ley, que será la del día siguiente al de su publicación en el Boletín Oficial del País Vasco.