Agencia Vasca de Ciberseguridad EUSKADI
LEY 7/2023, de 29 de junio, de creación de la Agencia Vasca de Ciberseguridad.
Estos Documentos, con los que puedan modificar o acompañar y su texto íntegro, se han incorporado a los contenidos ya existentes en el siguiente TÍTULO publicado y a su disposición:
>
Se hace saber a todos los ciudadanos y ciudadanas de Euskadi que el Parlamento Vasco ha aprobado la Ley 7/2023, de 29 de junio, de creación de la Agencia Vasca de Ciberseguridad.
EXPOSICIÓN DE MOTIVOS
El desarrollo de las tecnologías de la información y la comunicación (TIC) provoca una cada vez mayor dependencia de las mismas, en la medida en que se han convertido en elementos esenciales para el desarrollo económico y el progreso de la sociedad. Es esta dependencia la que convierte en básica la necesidad de desplegar mecanismos que permitan identificar y mitigar los riesgos que la utilización de las TIC trae consigo.
La transformación digital avanza a una velocidad mayor de lo que gran parte de la sociedad es capaz de asumir, por lo que es fundamental la comprensión y entendimiento de las empresas y de la ciudadanía de los riesgos que entraña desarrollar sus relaciones en un entorno hiperconectado y en constante evolución. Asimismo, el derecho de la ciudadanía a relacionarse electrónicamente con las administraciones públicas de un modo seguro conlleva la necesidad de desarrollar un marco que proporcione las condiciones necesarias para el adecuado funcionamiento y resiliencia de las infraestructuras digitales.
La interrelación y dependencia de las comunicaciones digitales, junto con el grado de exposición de la información en la red, conllevan una necesidad latente de protección que garantice la seguridad de la ciudadanía y la actividad económica. Por este motivo, la protección de las infraestructuras y servicios de comunicación frente a amenazas en el ámbito de la ciberseguridad se ha convertido en los últimos tiempos en un pilar básico para diferentes sectores y administraciones.
La progresiva digitalización de las relaciones personales y de las transacciones económicas trae consigo una intensificación de la práctica delictiva que se produce en el entorno digital, lo que requiere reforzar los medios necesarios para detectarla, investigarla y perseguirla con eficacia. En este sentido, las estadísticas de criminalidad elaboradas por la Ertzaintza registran, en los últimos años, un incremento de los delitos informáticos superior al crecimiento que experimenta el número total de infracciones penales. Por ello, la creación de un organismo público específico para impulsar la ciberseguridad puede constituir un importante instrumento técnico de apoyo en la lucha contra conductas ilícitas perpetradas a través de la red.
Las diferentes administraciones públicas de la Comunidad Autónoma Vasca no son ajenas a los riesgos existentes ni al avance de estos. Es por ello, que en los diferentes niveles de administración pública de la Comunidad Autónoma Vasca se llevan a cabo actualmente actividades para proteger sus servicios de los riesgos de ciberseguridad, especialmente desde los organismos que prestan servicios informáticos al Gobierno Vasco, a las diputaciones forales y a las principales entidades locales. Asimismo, existen diferentes planes y acciones para apoyar al tejido empresarial y a la ciudadanía en su propia protección, llevados a cabo a través de los órganos que materializan el desarrollo y la promoción económica dentro de sus competencias, tanto a nivel de la Comunidad Autónoma Vasca como en los distintos territorios históricos.
Entre los distintos organismos que actualmente desarrollan labores en el ámbito de la ciberseguridad dentro de la Comunidad Autónoma Vasca, actualmente se identifica como referente el Centro Vasco de Ciberseguridad (Basque Cybersecurity Centre o BCSC). El centro fue puesto en marcha por el Gobierno Vasco para promover la ciberseguridad en la Comunidad Autónoma Vasca, dinamizando la actividad económica relacionada con la aplicación de la ciberseguridad y fortalecer dicho sector. Desde 2017, el Centro Vasco de Ciberseguridad ha venido promoviendo y desarrollando de manera exitosa una cultura de ciberseguridad en la sociedad vasca. Su labor ha permitido dinamizar la actividad económica relacionada con la aplicación de la ciberseguridad y fortalecer el sector profesional y posicionar a la Comunidad Autónoma Vasca de manera internacional como una región de interés en el ámbito de la ciberseguridad, especialmente en el ámbito industrial. El centro lidera y apoya iniciativas dirigidas a elevar el nivel de madurez y concienciación sobre la ciberseguridad en el País Vasco, a través de proyectos englobados en el ámbito de prevención y respuesta a incidentes de ciberseguridad (CERT, Computer Emergency Response Team) e iniciativas orientadas a la promoción del ecosistema vasco de ciberseguridad, en colaboración con el sector empresarial, y todo ello con la finalidad de atraer inversión y talento.
En el entorno actual, y con las tendencias existentes, la ciberseguridad debe contemplarse y dinamizarse como una materia transversal en el marco de las iniciativas de diferentes organismos de la Comunidad Autónoma Vasca, que dé soporte y facilite el adecuado desarrollo de las mismas y su apoyo a la ciudadanía y al sector empresarial.
En este contexto surge la necesidad de desarrollar una iniciativa común en el sector público de la Comunidad Autónoma Vasca, que articule y refuerce la coordinación de los recursos ya disponibles, y permita elevar el nivel de madurez de ciberseguridad, así como la resiliencia en el conjunto de la Comunidad Autónoma Vasca. Para ello, resulta de gran importancia el impulso de un organismo integrador y transversal de la ciberseguridad en la Comunidad Autónoma Vasca, que proporcione seguridad y estabilidad a la sociedad frente a las amenazas derivadas del uso de internet y las nuevas tecnologías, así como un punto único de relación con agentes externos.
La transversalidad y relevancia de la ciberseguridad suponen la imprescindible necesidad de coordinación entre las diferentes entidades competentes en materia de información y comunicaciones, así como con aquellos organismos responsables de los distintos ámbitos de la seguridad física y de las personas. De igual modo, dicha coordinación ha de llevarse a cabo en línea con la estrategia seguida en otros ámbitos competenciales –como el estatal– y con las iniciativas adoptadas en el ámbito europeo, fruto del interés y la consideración de la ciberseguridad como esencial a efectos de cumplir con los objetivos estratégicos de la Unión Europea.
Por este motivo, la finalidad de la presente ley es la creación de un ente público de derecho privado, la Agencia Vasca de Ciberseguridad (en lo sucesivo, la Agencia), con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines. De este modo, se garantiza que el Gobierno Vasco disponga de las herramientas y recursos necesarios para afrontar las amenazas y riesgos en el ámbito de la ciberseguridad que se plantean en la actual sociedad de la información.
La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por la Comunidad Autónoma Vasca en su Estatuto de Autonomía, aprobado por la Ley Orgánica 3/1979, de 18 de diciembre. Concretamente, el artículo 10.2 atribuye a la Comunidad Autónoma Vasca competencias en materia de organización, régimen y funcionamiento de sus instituciones de autogobierno; el artículo 10.4, en materia de régimen local; el artículo 10.24, en materia de sector público propio del País Vasco, y el artículo 10.25, en materia de promoción, desarrollo económico y planificación de la actividad económica del País Vasco de acuerdo con la ordenación general de la economía.
Por su parte, el artículo 17 del Estatuto establece que la competencia en materia de seguridad pública, concretamente en materias de policía y seguridad ciudadana, corresponde a la Comunidad Autónoma Vasca. La anterior competencia ha de entenderse integrada, a su vez, con otras, tales como las competencias en materias de emergencias y protección civil. Todas estas competencias configuran un sistema general de seguridad propio. Sin embargo, dado que se trata de un fenómeno transfronterizo, es necesaria la colaboración con las administraciones y agencias de otros territorios.
Dentro de la competencia en seguridad pública de la Comunidad Autónoma Vasca también se integran las materias de planificación y coordinación del sistema de seguridad pública de la Comunidad Autónoma Vasca. La finalidad de dicha organización competencial, cuyas autoridades y órganos autonómicos competentes se regulan en la Ley 15/2012, de 28 de junio, de Ordenación del Sistema de Seguridad Pública de Euskadi, es la de proporcionar a la ciudadanía la protección frente a toda clase de riesgos y garantizar el libre y pacífico ejercicio de derechos y libertades de forma integral. Y, en este caso, procurando la preservación de la seguridad en la administración electrónica de la Administración general de la Comunidad Autónoma y en las redes de comunicaciones electrónicas del resto de administraciones públicas vascas, tanto a nivel interno como externo, en su relación con el resto de entidades públicas y personas administradas.
Asimismo, la creación de la Agencia se lleva a cabo atendiendo al procedimiento previsto en la Ley 3/2022, de 12 de mayo, del Sector Público Vasco, como texto de referencia en el ámbito de la organización y funcionamiento del sector público de la Comunidad Autónoma Vasca. De conformidad con lo dispuesto en el artículo 39 de dicha norma, los entes públicos de derecho privado se configuran como aquellos entes institucionales de la Comunidad Autónoma Vasca de naturaleza pública, a los que se encomienda la prestación o gestión de servicios públicos o la producción de bienes de interés público susceptibles de contraprestación. El régimen jurídico al que quedan sometidos es el derecho privado en sus relaciones con terceros y el desarrollo de su actividad. No obstante, en el ejercicio de las potestades administrativas que tengan atribuidas por su norma de creación, se regirán por el derecho administrativo.
La ley consta de una parte expositiva, trece artículos distribuidos en tres capítulos, una disposición adicional, una disposición transitoria y tres disposiciones finales.
El capítulo I establece la creación de la Agencia Vasca de Ciberseguridad, y define su ámbito de aplicación, objeto y competencias.
El capítulo II define la estructura orgánica y las funciones de los órganos de la Agencia.
El capítulo III establece el régimen de personal, el régimen económico-financiero, el régimen patrimonial y el régimen de contratación de la Agencia.
La disposición adicional establece que el ente público de derecho privado SPRI-Agencia Vasca de Desarrollo Empresarial, en cuanto responsable del Basque Cybersecurity Centre-Centro Vasco de Ciberseguridad, cede a la Agencia Vasca de Ciberseguridad, para el cumplimiento de sus funciones, determinados activos materiales, el personal y los recursos asignados al centro; así como la subrogación de la Agencia Vasca de Ciberseguridad en los contratos y convenios suscritos por la SPRI.
La disposición transitoria regula el ejercicio de las funciones del Centro Vasco de Ciberseguridad hasta la constitución de la Agencia.
Las disposiciones finales primera y segunda habilitan a los órganos correspondientes de la Comunidad Autónoma Vasca para realizar las modificaciones presupuestarias oportunas y para el desarrollo reglamentario de esta ley.
La disposición final tercera establece la fecha de entrada en vigor de la ley, que será la del día siguiente al de su publicación en el Boletín Oficial del País Vasco.
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1.– Creación, naturaleza y régimen jurídico.
1.– Se crea la Agencia Vasca de Ciberseguridad como un ente público de derecho privado del sector público de la Comunidad Autónoma Vasca, con personalidad jurídica propia, que ajusta su actividad al ordenamiento jurídico privado, con plena capacidad de obrar para el cumplimiento de sus fines y con autonomía orgánica y funcional, adscrita al departamento competente en materia de seguridad a través de la persona titular de la Viceconsejería de Seguridad.
2.– La sede de la Agencia se situará en Vitoria-Gasteiz. Para el ejercicio de sus funciones, la Agencia podrá contar con el apoyo de delegaciones en cada uno de los territorios históricos de la Comunidad Autónoma Vasca.
3.– La Agencia se rige por la presente ley, por las disposiciones legales aplicables a los entes públicos de derecho privado y sus estatutos, que serán aprobados por decreto del Gobierno Vasco a propuesta del departamento del Gobierno Vasco competente en materia de seguridad.
4.– La actividad de la Agencia se ajusta, en sus relaciones externas, a las normas de derecho civil, mercantil y laboral que le son de aplicación, salvo los actos que implican el ejercicio de potestades públicas, que se someten al derecho administrativo. La Agencia, en sus relaciones con el departamento al que se adscribe, se somete al derecho administrativo, en concreto, aquellas contenidas en las letras d), e), f), g), h), j), o), p), q), r), s) y u) del artículo 2.2, cuando se refieran al sector público vasco.
5.– La representación y defensa en juicio de la Agencia Vasca de Ciberseguridad estará a cargo del Servicio Jurídico del Gobierno Vasco, conforme a lo dispuesto en las normas reguladoras de este.
Artículo 2.– Objeto y funciones.
1.– La Agencia tiene como objeto promover y coordinar la ciberseguridad en el sector público vasco delimitado en la Ley 3/2022, de 12 de mayo, del Sector Público Vasco, en el ámbito de la seguridad de los sistemas de información y de las redes electrónicas de competencia de dicho sector, y apoyar e impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la Comunidad Autónoma Vasca, de su Administración pública, de su ciudadanía y de su tejido empresarial.
2.– Para el cumplimiento de su objeto, corresponden a la Agencia las siguientes funciones:
- a) Promover una estrategia de ciberseguridad para el conjunto de las administraciones públicas de la Comunidad Autónoma Vasca, y potenciar y coordinar el alineamiento en la ciberseguridad en dicho conjunto.
- b) Impulsar un marco de estándares, directrices y normas técnicas de seguridad recomendables para el sector público vasco.
- c) Informar, con carácter preceptivo, en los procedimientos de elaboración de disposiciones normativas tramitadas por la Administración de la Comunidad Autónoma Vasca en materia de ciberseguridad.
- d) Realizar evaluaciones anuales de las políticas públicas en materia de ciberseguridad desplegadas en el ámbito del sector público vasco.
- e) Prevenir y detectar incidentes de ciberseguridad en la Comunidad Autónoma Vasca y responder a ellos, estableciendo criterios y promoviendo el despliegue de las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan, todo ello con respeto del marco competencial aplicable.
- f) Recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en la Comunidad Autónoma Vasca en relación con el estado de la seguridad de la información, prestando especial atención a los sistemas considerados como críticos para el funcionamiento de los servicios públicos o la seguridad de las personas, con vistas a informar al Gobierno Vasco, así como a las administraciones públicas del territorio que intervengan en la prestación de dichos servicios críticos y esenciales, y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad.
- g) Ejercer las funciones del equipo de respuesta a emergencias (CERT) dentro de las competencias de la Comunidad Autónoma Vasca. Dado que se trata de un fenómeno transfronterizo, es necesario colaborar con las administraciones y agencias de otros territorios con el objetivo de minimizar los daños y el tiempo de recuperación en caso de ciberataque.
- h) Coordinar los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y los equipos de respuesta a emergencias o las entidades equivalentes que actúen en su ámbito de actuación y de acuerdo a la legislación vigente, estableciendo modelos de colaboración con otros CSIRT estatales e internacionales. Asimismo, la Agencia ejercerá funciones de alerta temprana y de ayuda en la respuesta ante amenazas, vulnerabilidades, ataques e incidentes de seguridad en el ámbito del sector público vasco.
- i) Trabajar en pro de una cooperación más estrecha con las universidades y los organismos de investigación con el fin de contribuir a un planteamiento estratégico para reducir la dependencia de productos y servicios de ciberseguridad de fuera de la Unión Europea y reforzar las cadenas de suministro de dentro de la Unión Europea.
- j) Investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información y servicios de tecnologías de la información.
- k) Garantizar un nivel adecuado de ciberseguridad en el uso de medios electrónicos.
- l) Organizar actividades de difusión, promoción, formación y concienciación en materia de ciberseguridad.
- m) Organizar actividades para promocionar el talento en la ciberseguridad, y participar en actividades de ciberseguridad, dando a conocer referentes, haciendo especial hincapié en las mujeres profesionales de la ciberseguridad.
- n) Proponer medidas técnicas de ciberseguridad en la utilización de los recursos informáticos y de las comunicaciones existentes, y proponer la formación en estas medidas del personal de la Administración de la Comunidad Autónoma Vasca y del propio personal de la Agencia.
- o) Actuar como apoyo, en materia de ciberseguridad, de cualquier autoridad competente para el ejercicio de sus funciones públicas y, en particular, en las tareas de lucha contra las conductas ilícitas, incluidas la intervención directa y la obtención de pruebas electrónicas.
- p) Coordinar al sector público vasco en la elaboración de sus respectivos planes de ciberseguridad, así como en la consecución de los objetivos establecidos en los mismos.
- q) Poner sus servicios materiales y técnicos de ciberseguridad a disposición del sector público vasco.
- r) Impulsar la coordinación del sector público vasco en todo lo que se considere necesario para la consecución de los objetivos especificados en los planes de ciberseguridad, estableciendo para ello las líneas de colaboración que se entiendan necesarias.
- s) Ostentar la representación oficial del sector público vasco ante organismos internacionales, estatales y regionales en materia de ciberseguridad.
- t) Apoyar e impulsar la capacitación en materia de ciberseguridad y el desarrollo digital seguro en el ámbito empresarial y en los sectores esenciales de la Comunidad Autónoma Vasca, como son el sector sanitario, el sector de emergencias y seguridad, el sector de servicios sociales y de intervención social, el sector educativo, el sector del transporte y el sector de la energía y las telecomunicaciones, o cualquier otro sector que pudiera considerarse sensible.
- u) Cualesquiera otras competencias que le sean conferidas por la legislación vigente o le sean expresamente delegadas o atribuidas.
3.– Para el cumplimiento de su objeto, la Agencia ejercerá sus funciones con relación al tejido empresarial en coordinación con el departamento del Gobierno Vasco competente en materia de promoción económica, y establecerá la colaboración necesaria con los prestadores de servicios de la sociedad de la información y de comunicaciones electrónicas que actúen o tengan infraestructura en la Comunidad Autónoma Vasca, así como con los sectores esenciales.
4.– La Agencia colabora con los organismos judiciales y policiales de acuerdo con lo establecido por la normativa vigente. En el ejercicio de sus funciones, la Agencia debe coordinarse con los cuerpos policiales y de seguridad pública, sin perjuicio de las funciones propias del departamento competente en esta materia. En especial, la Agencia debe prestar el apoyo y facilitar la coordinación que le sea requerida por los cuerpos policiales para la ciberseguridad y protección de los sistemas de información policiales, de acuerdo con las competencias que dichos cuerpos tienen reconocidas en esta materia.
5.– La Agencia debe establecer líneas de colaboración en el ámbito de la ciberseguridad con las diputaciones forales y con los entes locales de la Comunidad Autónoma Vasca.
CAPÍTULO II
ESTRUCTURA ORGÁNICA
Artículo 3.– Órganos de gobierno.
Los órganos de gobierno de la Agencia son el Consejo de Administración y la Dirección General.
Artículo 4.– Consejo de Administración.
El Consejo de Administración es el órgano colegiado superior de gobierno de la Agencia, y estará integrado por los siguientes dieciséis miembros:
- a) El presidente o la presidenta, cargo que corresponderá al consejero o a la consejera del departamento competente en materia de seguridad, que tendrá voto de calidad.
- b) El vicepresidente o la vicepresidenta, cargo que corresponderá al consejero o a la consejera del departamento competente en materia de desarrollo económico.
- c) Un o una vocal por cada uno de los departamentos competentes en materia de seguridad, gobernanza pública y desarrollo económico, que tendrán el cargo de viceconsejero o viceconsejera de dichos departamentos.
- d) Un o una vocal por cada una de las diputaciones forales, que será designado o designada libremente por el órgano legalmente competente de las mismas.
- e) Un o una vocal por cada uno de los ayuntamientos de las tres capitales de los territorios históricos de la Comunidad Autónoma Vasca, que será designado o designada libremente por el órgano legalmente competente de estos.
- f) Un o una vocal en representación de la Asociación de Municipios Vascos (Eudel), por designación de esta.
- g) Un vocal o una vocal que se corresponderá con la persona que tenga la titularidad de la gerencia de la Sociedad Informática del Gobierno Vasco (EJIE).
- h) Un o una vocal que se corresponderá con la persona que tenga la dirección general de la Agencia.
- i) Un o una vocal que se corresponderá con la persona que tenga la dirección del Gobierno Vasco competente en materia de tecnologías de la información y la comunicación.
- j) Un secretario o secretaria, con voz pero sin voto, que será designado o designada por el Consejo de Administración de la Agencia.
Artículo 5.– Funciones del Consejo de Administración.
Corresponderán al Consejo de Administración las siguientes funciones:
- a) Aprobar los planes generales de actividades de la Agencia.
- b) Aprobar el anteproyecto de presupuesto anual de la Agencia.
- c) Aprobar la memoria anual de actividades de la Agencia.
- d) Elaborar, de acuerdo con las condiciones legales que resulten aplicables, la propuesta de las plantillas y del régimen retributivo del personal de la Agencia, que deberá ser aprobada por el Gobierno Vasco.
- e) Proponer, para su elevación al Gobierno Vasco, la aprobación y la modificación de los estatutos de la Agencia y demás normas relativas a su organización y funcionamiento.
- f) Proponer la elevación al Gobierno Vasco de otras propuestas de decisión que requieran acuerdo de este.
- g) El seguimiento, supervisión y evaluación de la actuación de la Agencia y, en particular, el control de la gestión de la Dirección de la Agencia y la exigencia a esta de las responsabilidades que procedan.
- h) Autorizar la participación en otras entidades o personificaciones jurídicas, conforme a la normativa que resulte de aplicación, a fin de ejercer los derechos que correspondan en las mismas a la Agencia Vasca de Ciberseguridad.
- i) Aprobar los convenios, acuerdos, protocolos o acciones que procedan.
- j) Informar periódicamente sobre la actividad de la Agencia al Gobierno Vasco.
- k) Ejercer las otras funciones que le otorguen las leyes o los estatutos de la Agencia y aquellas otras que, correspondiendo a la Agencia, no estén atribuidas a ningún otro órgano de esta.
Artículo 6.– La Dirección General.
1.– La Dirección General de la Agencia será designada libremente por el Gobierno Vasco, a propuesta de la Presidencia del Consejo de Administración.
2.– La Dirección General de la Agencia será unipersonal. La persona designada tendrá el cargo de viceconsejero o viceconsejera del Gobierno Vasco.
3.– Son funciones del director o la directora general:
- a) La dirección ordinaria de la Agencia y de su personal.
- b) La propuesta y ejecución de las decisiones del Consejo de Administración.
- c) La representación ordinaria de la Agencia.
- d) La formalización de convenios, acuerdos, protocolos o acciones que procedan, en representación de la Agencia.
- e) La contratación en nombre de la Agencia, así como la disposición de gastos y ordenación de pagos, de acuerdo con lo previsto en la legislación vigente.
- f) Presentar al Consejo de Administración las orientaciones generales de la planificación de la actividad de la Agencia, de su plan director y planes anuales, así como la propuesta de evaluación de sus resultados y el documento anual de evaluación regulado por el artículo 52 de la Ley 3/2022, de 12 de mayo, del Sector Público Vasco.
- g) Proponer al Consejo de Administración el anteproyecto de presupuesto anual de la Agencia, las plantillas y su régimen retributivo, así como la memoria anual.
- h) Cualesquiera otras funciones que le encomiende el Consejo de Administración de la Agencia o sus estatutos.
Artículo 7.– El Consejo Consultivo.
1.– La dirección de la Agencia contará con un consejo consultivo, que presidirá, compuesto por los siguientes miembros:
- a) Un representante o una representante de cada uno de los departamentos competentes en materia de educación y de salud, que serán designados por las personas titulares de los mismos.
- b) Una persona experta de reconocido prestigio en el ámbito universitario o de evaluación en materia de ciberseguridad, que será designada por las universidades con sede en la Comunidad Autónoma Vasca de forma rotatoria.
- c) Una persona experta de reconocido prestigio en el ámbito tecnológico, designada por la Alianza de Centros Tecnológicos BRTA de forma rotatoria.
- d) Una persona en representación de la asociación empresarial Cybasque, que aglutina las industrias de ciberseguridad de la Comunidad Autónoma Vasca, designada por esta.
- e) El director o la directora general de la Autoridad Vasca de Protección de Datos.
- f) La persona que tenga la jefatura de la división de la Ertzaintza competente en materia de delitos informáticos.
- g) La persona que tenga la presidencia del Consejo de Administración de la Empresa de Certificación y Servicios, Izenpe, S.A.
- h) El director o directora general de la SPRI-Agencia Vasca de Desarrollo Empresarial.
- i) Dos personalidades con proyección internacional y reconocido prestigio en el ámbito de la ciberseguridad, a propuesta de la presidencia del Consejo de Administración.
2.– Son funciones del Consejo Consultivo:
- a) El asesoramiento a los órganos de gobierno de la Agencia.
- b) La emisión de informes sobre todas aquellas cuestiones que le sometan los órganos de gobierno de la Agencia, y la formulación de propuestas en temas relacionados con las materias de la competencia de la Agencia.
3.– El Consejo Consultivo aprobará sus propias normas de organización y funcionamiento, en las que se preverán las figuras de presidente o presidenta y secretario o secretaria, así como el sistema para su elección o designación.
4.– Se procurará que la composición del Consejo Consultivo tenga una representación equilibrada entre mujeres y hombres, con capacitación, competencia y preparación adecuada. A los efectos, se considera representación equilibrada cuando ambos sexos estén representados al menos al 40 %.
5.– En el nombramiento de quienes sean miembros electivos del Consejo Consultivo se tendrá en cuenta la capacitación lingüística suficiente en las dos lenguas oficiales de la Comunidad Autónoma del País Vasco.
Artículo 8.– Recursos contra las resoluciones de los órganos de gobierno.
Contra las resoluciones dictadas por la Dirección y por el Consejo de Administración de la Agencia en el ejercicio de sus funciones públicas procederá la interposición de recurso contencioso-administrativo. Podrá interponerse con carácter previo, potestativamente, recurso de reposición.
Artículo 9.– Estatutos.
Corresponde al Gobierno Vasco aprobar, mediante decreto, los estatutos de la Agencia, los cuales deben determinar y regular las funciones de los órganos de gobierno, el funcionamiento del Consejo de Administración, la estructura orgánica interna y el régimen de funcionamiento de la Agencia, así como el resto de contenidos a que se refiere el artículo 44.3 de la Ley 3/2022, de 12 de mayo, del Sector Público Vasco.
CAPÍTULO III
RÉGIMEN DE PERSONAL, ECONÓMICO-FINANCIERO, PATRIMONIAL Y DE CONTRATACIÓN
Artículo 10.– Personal de la Agencia.
1.– La Agencia es responsable de la contratación, la gestión y la formación de su personal, de manera autónoma.
2.– El personal de la Agencia está formado por:
- a) Personal propio, contratado en régimen de derecho laboral respetando los principios de igualdad, mérito y capacidad.
- b) Personal de la Administración pública de la Comunidad Autónoma Vasca. Los puestos de trabajo que comporten el ejercicio de potestades públicas estarán reservados a personal funcionario, al que se aplicará la normativa reguladora de la función pública de la Administración de la Comunidad Autónoma Vasca.
Artículo 11.– Régimen económico-financiero y patrimonial.
1.– La Agencia goza de la autonomía financiera establecida por la normativa de finanzas de la Administración de la Comunidad Autónoma Vasca.
2.– La Agencia elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno Vasco para que, previa su aprobación, sea integrado, con la debida independencia, en los presupuestos generales de la Comunidad Autónoma Vasca, de acuerdo con lo establecido en su normativa reguladora del régimen presupuestario.
3.– Constituye el patrimonio de la Agencia Vasca de Ciberseguridad, integrado en el patrimonio de la Comunidad Autónoma Vasca, el conjunto de los bienes y derechos cuya titularidad le corresponda, de acuerdo con lo establecido en el texto refundido de la Ley de Patrimonio de Euskadi, aprobado por el Decreto Legislativo 2/2007, de 6 de noviembre.
Corresponden al ente público de derecho privado Agencia Vasca de Ciberseguridad las facultades sobre bienes y derechos cuya titularidad tenga, así como sobre los que tenga adscritos, de conformidad con lo dispuesto en el texto refundido de la Ley de Patrimonio de Euskadi.
Los bienes y derechos adscritos serán objeto de seguimiento a través de su contabilidad patrimonial. Asimismo, el ente público prestará la colaboración que requerirá la confección del Inventario General de Bienes y Derechos del Patrimonio de Euskadi.
4.– Los recursos de la Agencia están integrados por:
- a) Los productos y las rentas de su patrimonio y de los bienes que tengan adscritos, o cuya administración y explotación tenga atribuida.
- b) Las consignaciones y transferencias que anualmente se le asignen en los presupuestos generales de la Comunidad Autónoma Vasca.
- c) Los ingresos que, conforme a lo previsto en la legislación vigente, pudiera corresponderle percibir y los que se produzcan como consecuencia de sus actividades.
- d) Las subvenciones, aportaciones, así como los recursos económicos que, de acuerdo con las leyes, pueda recibir por donación o título sucesorio.
- e) Cualquier otro recurso que le pudiera corresponder de acuerdo con las disposiciones legales o reglamentarias.
5.– El control económico se ejercerá en la modalidad de control económico-financiero y de gestión de carácter permanente, de acuerdo con lo establecido en el texto refundido de la Ley de Control Económico y Contabilidad de la Comunidad Autónoma de Euskadi, aprobado por Decreto Legislativo 2/2017, de 19 de octubre, sin perjuicio del que corresponda al Tribunal Vasco de Cuentas Públicas.
6.– La Agencia aprobará anualmente una memoria de actividades, que debe entregar al Gobierno y al Parlamento, y que el director o directora de la Agencia deberá presentar ante la comisión del Parlamento Vasco que resulte competente en materia de seguridad.
Artículo 12.– Régimen de contratación.
1.– La contratación de la Agencia se rige por la legislación en materia de contratación pública, así como por su normativa de desarrollo.
2.– El órgano de contratación de la Agencia es la Dirección General.
Artículo 13.– Extinción y disolución.
1.– La extinción y liquidación de la Agencia se realizará conforme al procedimiento y requisitos que se establezcan en la legislación aplicable.
2.– En el supuesto de extinción o disolución de la Agencia, el personal se integrará en las condiciones fijadas en la ley de presupuestos generales de la Comunidad Autónoma Vasca.
DISPOSICIÓN ADICIONAL.– Cesión a la Agencia de los activos materiales y de personal y subrogación en los contratos y convenios.
1.– El ente público de derecho privado SPRI-Agencia Vasca de Desarrollo Empresarial, en cuanto responsable del Basque Cybersecurity Centre-Centro Vasco de Ciberseguridad, cede a la Agencia Vasca de Ciberseguridad, para el cumplimiento de sus funciones, los activos materiales a los que hace referencia el artículo 6.2 del Decreto Legislativo 2/2007, de 6 de noviembre, de aprobación del Texto Refundido de la Ley del Patrimonio de Euskadi, el personal y los recursos asignados al centro. La aceptación de la adquisición gratuita de dichos activos materiales corresponde a quien tenga su representación legal.
Para ejecutar esta cesión, el centro debe realizar los trámites internos necesarios desde la aprobación de la presente ley, y la Administración de la Comunidad Autónoma Vasca debe realizar las modificaciones administrativas y presupuestarias necesarias.
2.– La Agencia Vasca de Ciberseguridad se subroga en los contratos y convenios suscritos por SPRI-Agencia Vasca de Desarrollo Empresarial, así como en la representación en organismos de ámbito estatal e internacional a los que acude dentro del ámbito de la ciberseguridad, de acuerdo con lo establecido en la normativa de contratación pública.
3.– La Agencia Vasca de Ciberseguridad se subroga en la posición jurídica de la Administración de la Comunidad Autónoma Vasca y de las entidades de su sector público en cuanto a los derechos y obligaciones que le corresponden en el ámbito de las funciones que la Agencia asume, lo cual debe concretarse en el decreto de aprobación de los estatutos.
DISPOSICIÓN TRANSITORIA.– Ejercicio de las funciones del Basque Cybersecurity Centre-Centro Vasco de Ciberseguridad hasta la constitución de la Agencia.
1.– El ente público de derecho privado SPRI-Agencia Vasca de Desarrollo Empresarial, como responsable del Basque Cybersecurity Centre-Centro Vasco de Ciberseguridad, debe continuar ejerciendo sus funciones a través de los medios técnicos y personales y de los activos propios hasta que se constituya efectivamente la Agencia y se complete su puesta en marcha.
2.– El personal laboral que, en la fecha de constitución de la Agencia, esté prestando servicios en el Basque Cybersecurity Centre-Centro Vasco de Ciberseguridad, perteneciente a SPRI, podrá incorporarse a la Agencia de acuerdo con lo establecido por la normativa laboral.
DISPOSICIÓN FINAL PRIMERA.– Constitución de la Agencia.
1.– La fecha de puesta en marcha e inicio de las actividades de la Agencia será la que se establezca en el decreto que apruebe sus estatutos, y en todo caso antes de seis meses desde la entrada en vigor de la presente ley.
2.– Para el caso en que el inicio de las actividades no coincida con la entrada en vigor de la correspondiente ley de presupuestos, el Gobierno Vasco aprobará el presupuesto de la Agencia, al que se acompañarán las correspondientes cuentas anuales previsionales correspondientes al ejercicio económico en que inicie sus actividades, de lo que se dará cuenta a la Comisión de Economía, Hacienda y Presupuestos del Parlamento Vasco en el plazo de quince días. A tales efectos, se autoriza al departamento competente en materia de presupuestos a realizar las modificaciones que fueran necesarias para la formación de dicho presupuesto, sin que puedan suponer un incremento del importe global consignado en las partidas de los presupuestos generales vigentes al inicio de las actividades del ente público.
DISPOSICIÓN FINAL SEGUNDA.– Autorizaciones.
Se autoriza al Gobierno para que realice las modificaciones presupuestarias y patrimoniales necesarias para traspasar a la Agencia los recursos a que se refiere la disposición adicional.
DISPOSICIÓN FINAL TERCERA.– Entrada en vigor.
La presente ley entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del País Vasco.
Por consiguiente, ordeno a todos los ciudadanos y ciudadanas de Euskadi, particulares y autoridades, que la guarden y hagan guardarla.
Vitoria-Gasteiz, a 7 de julio de 2023.
El Lehendakari,
IÑIGO URKULLU RENTERIA.