Agencia vasca de ciberseguridad EUSKADI

,

DECRETO 34/2024, de 19 de marzo, por el que se aprueban los Estatutos de la Agencia Vasca de Ciberseguridad.

Estos Documentos, con los que puedan modificar o acompañar y su texto íntegro, se han incorporado a los contenidos ya existentes en el siguiente TÍTULO publicado y a su disposición:
>

 Agencia vasca de ciberseguridad

La presente regulación se lleva a cabo en ejercicio de las competencias asumidas por la Comunidad Autónoma de Euskadi en su Estatuto de Autonomía, aprobado por la Ley Orgánica 3/1979, de 18 de diciembre. Su artículo 10.2 atribuye a la Comunidad Autónoma de Euskadi competencias en materia de organización, régimen y funcionamiento de sus instituciones de autogobierno; el artículo 10.4 en materia de régimen local; el artículo 10.24 en materia de sector público propio del País Vasco, y el artículo 10.25 en materia de promoción, desarrollo económico y planificación de la actividad económica del País Vasco de acuerdo con la ordenación general de la economía.

Por su parte, el artículo 17 del Estatuto establece que la competencia en materia de seguridad pública, concretamente, en materias de policía y seguridad ciudadana, corresponde a la Comunidad Autónoma de Euskadi. La anterior competencia ha de entenderse integrada, a su vez, con otras tales como las competencias en materias de emergencias y protección civil. Todas estas competencias configuran un sistema general de seguridad propio, si bien participado por otras administraciones que también ostentan competencias sobre dichas materias.

Dentro de la competencia en seguridad pública de la Comunidad Autónoma de Euskadi también se integran las materias de planificación y coordinación del sistema de seguridad pública de Euskadi. La finalidad de dicha organización competencial, cuyas autoridades y órganos autonómicos competentes se regulan en la Ley 15/2012, de 28 de junio, de Ordenación del Sistema de Seguridad Pública de Euskadi, es la de proporcionar a la ciudadanía la protección frente a toda clase de riesgos y garantizar el libre y pacífico ejercicio de derechos y libertades de forma integral.

Y, en este caso, procurando la preservación de la seguridad en la Administración electrónica de la Administración General de la Comunidad Autónoma y las redes de comunicaciones electrónicas del resto de administraciones públicas vascas, tanto a nivel interno como externo, en su relación con el resto de entidades públicas y los administrados.

En el ejercicio de dichas competencias, mediante Ley 7/2023, de 29 de junio, se ha creado la Agencia Vasca de Ciberseguridad, como ente público de derecho privado, con la finalidad de promover y coordinar la ciberseguridad en el sector público vasco delimitado en la Ley 3/2022, de 12, de mayo, en el ámbito de la seguridad de los sistemas de información y de las redes electrónicas de su competencia, y apoyar e impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la Comunidad Autónoma de Euskadi, de su ciudadanía y de su tejido empresarial.

Los aspectos básicos y fundamentales de su regulación vienen ya recogidos en la propia ley creadora de la Agencia, así como en la legislación aplicable con carácter general a este tipo de organismos públicos. No obstante, la propia ley remite a la aprobación de los estatutos del ente para el desarrollo de las funciones, composición y nombramiento de los citados órganos de gobierno, así como su régimen de funcionamiento.

En virtud de ello, a propuesta del Vicelehendakari Primero y Consejero de Seguridad, de acuerdo con la Comisión Jurídica Asesora de Euskadi y habiéndose emitido los demás informes preceptivos, y previa deliberación y aprobación del Consejo de Gobierno, en su sesión celebrada el día 19 de marzo de 2024,

DISPONGO:

Artículo único.– Aprobación de los Estatutos.

Se aprueban los Estatutos de la Agencia Vasca de Ciberseguridad, en desarrollo de lo previsto en los artículos 1.3 y 9 de la Ley 7/2023, de 29 de junio, por la que se crea dicho ente, conforme al texto que acompaña como Anexo al presente Decreto.

DISPOSICIÓN FINAL PRIMERA.– Modificación del Decreto por el que se establece la estructura orgánica y funcional del Departamento de Seguridad.

Se modifica el artículo 3 del Decreto 6/2021, de 19 de enero, por el que se establece la estructura orgánica y funcional del Departamento de Seguridad, que queda redactado de la siguiente manera:

«Artículo 3.– Entidades del Sector Público de la Comunidad Autónoma de Euskadi: Quedan adscritas al Departamento de Seguridad las entidades del sector público que se relacionan a continuación:

1.– El Organismo Autónomo administrativo Academia Vasca de Policía y Emergencias está adscrito al Departamento de Seguridad, a través de la persona titular del Departamento, de conformidad con lo dispuesto en el artículo 21 de la Ley 15/2012, de 28 de junio, de Ordenación del Sistema de Seguridad Pública de Euskadi.

2.– El ente público de derecho privado Agencia Vasca de Ciberseguridad está adscrito al Departamento de Seguridad a través de la Viceconsejería de Seguridad, en los términos establecidos en la Ley 7/2023, de 29 de junio, de creación del mismo.»

DISPOSICIÓN FINAL SEGUNDA.– Entrada en vigor.

El presente Decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del País Vasco.

Dado en Vitoria-Gasteiz, a 19 de marzo de 2024.

El Lehendakari,

IÑIGO URKULLU RENTERIA.

El Vicelehendakari Primero y Consejero de Seguridad,

JOSU IÑAKI ERKOREKA GERVASIO.

ANEXO AL DECRETO 34/2024, DE 19 DE MARZO

ESTATUTOS DE LA AGENCIA VASCA DE CIBERSEGURIDAD

CAPÍTULO I

DENOMINACIÓN, NATURALEZA, RÉGIMEN JURÍDICO, ADSCRIPCIÓN Y SEDE

Artículo 1.– Denominación.

La denominación de la entidad creada por la Ley 7/2023, de 29 de junio, es Agencia Vasca de Ciberseguridad, a la que en adelante en los presentes estatutos se hará referencia de forma abreviada como la Agencia.

Artículo 2.– Naturaleza.

La Agencia es un ente público de derecho privado del Sector Público de la Comunidad Autónoma Vasca, con personalidad jurídica propia y capacidad de obrar para el cumplimiento de sus fines.

Artículo 3.– Adscripción.

La Agencia se adscribe al departamento del Gobierno Vasco competente en materia de seguridad, a través de la persona titular de la Viceconsejería de seguridad.

Artículo 4.– Régimen jurídico.

1.– La Agencia se regirá por lo dispuesto en la Ley 7/2023, de 29 de junio, de creación de la Agencia Vasca de Ciberseguridad, en los presentes Estatutos y demás normativa vigente.

2.– En sus relaciones con terceros y el desarrollo de su actividad se somete al derecho privado, si bien se rige por el derecho administrativo en el ejercicio de potestades administrativas, en su funcionamiento interno y en la formación de la voluntad de sus órganos, en las obligaciones derivadas en materia de transparencia y participación ciudadana, así como en las demás materias establecidas en la Ley 3/2022, de 12 de mayo, del Sector Público Vasco, u otras leyes que le sean de aplicación.

3.– En sus relaciones internas y de organización se somete a la normativa de naturaleza pública aplicable según se trate de régimen presupuestario, económico-financiero, contable, subvencional, patrimonial, de contratación o de función pública.

Artículo 5.– Sede.

1.– La Agencia tiene su sede en el municipio de Vitoria-Gasteiz.

2.– Para el ejercicio de sus funciones, la Agencia podrá contar con el apoyo de las delegaciones en cada uno de los Territorios Históricos de Euskadi.

CAPÍTULO II

OBJETO, FUNCIONES Y PRINCIPIOS DE ACTUACIÓN

Artículo 6.– Objeto.

La Agencia tiene por objeto promover y coordinar la ciberseguridad en el sector público vasco delimitado en la Ley 3/2022, de 12 de mayo, del Sector Público Vasco, en el ámbito de la seguridad de los sistemas de información y de las redes electrónicas de su competencia, y apoyar e impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la Comunidad Autónoma Vasca, de su Administración Pública, de su ciudadanía y de su tejido empresarial.

Artículo 7.– Funciones.

Son funciones de la Agencia las siguientes:

  1. a) Promover una estrategia de ciberseguridad para el conjunto de las administraciones públicas de la Comunidad Autónoma Vasca, y potenciar y coordinar el alineamiento en la ciberseguridad en dicho conjunto.
  2. b) Impulsar un marco de estándares, directrices y normas técnicas de seguridad recomendables para el sector público vasco.
  3. c) Informar, con carácter preceptivo, en los procedimientos de elaboración de disposiciones normativas tramitadas por la Administración de la Comunidad Autónoma Vasca en materia de ciberseguridad.
  4. d) Realizar evaluaciones anuales de las políticas públicas en materia de ciberseguridad desplegadas en el ámbito del sector público vasco.
  5. e) Prevenir y detectar incidentes de ciberseguridad en la Comunidad Autónoma Vasca y responder a ellos, estableciendo criterios y promoviendo el despliegue de las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan, todo ello con respeto del marco competencial aplicable.
  6. f) Recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en la Comunidad Autónoma Vasca en relación con el estado de la seguridad de la información, prestando especial atención a los sistemas considerados como críticos para el funcionamiento de los servicios públicos o la seguridad de las personas, con vistas a informar al Gobierno Vasco, así como a las Administraciones Públicas del territorio que intervengan en la prestación de dichos servicios críticos y esenciales, y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad.
  7. g) Ejercer las funciones de equipo de respuesta a emergencias (CERT), competente en la Comunidad Autónoma Vasca. Al tratarse de un fenómeno transfronterizo, es necesaria la colaboración con administraciones y agencias de otros territorios con el objetivo de minimizar los daños y el tiempo de recuperación en caso de ciberataque.
  8. h) Coordinar los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito de actuación y de acuerdo a la legislación vigente, estableciendo modelos de colaboración con otros CSIRT nacionales e internacionales. Asimismo, la Agencia ejercerá funciones de alerta temprana y de ayuda en la respuesta ante amenazas, vulnerabilidades, ataques e incidentes de seguridad, en el ámbito del sector público vasco.
  9. i) Trabajar en pro de una cooperación más estrecha con las universidades y los organismos de investigación con el fin de contribuir a un planteamiento estratégico para reducir la dependencia de productos y servicios de ciberseguridad de fuera de la Unión Europea y reforzar las cadenas de suministro de dentro de la Unión Europea.
  10. j) Investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información.
  11. k) Garantizar un nivel adecuado de ciberseguridad en el uso de los medios electrónicos.
  12. l) Organizar actividades de difusión, promoción, formación y concienciación en materia de ciberseguridad.
  13. m) Organizar actividades para promocionar el talento en la ciberseguridad, y participar en actividades de ciberseguridad, dando a conocer referentes, haciendo especial hincapié en las mujeres profesionales de la ciberseguridad.
  14. n) Proponer medidas técnicas de ciberseguridad en la utilización de los recursos informáticos y de las comunicaciones existentes, y proponer la formación en estas medidas del personal de la Administración de la Comunidad Autónoma Vasca y del propio personal de la Agencia.
  15. o) Actuar como apoyo, en materia de ciberseguridad, de cualquier autoridad competente para el ejercicio de sus funciones públicas y, en particular, en las tareas de lucha contra las conductas ilícitas, incluidas la intervención directa y la obtención de pruebas electrónicas.
  16. p) Coordinar al sector público vasco en la elaboración de sus respectivos planes de ciberseguridad, así como en la consecución de los objetivos establecidos en los mismos.
  17. q) Poner sus servicios materiales y técnicos de ciberseguridad a disposición del sector público vasco.
  18. r) Impulsar la coordinación del sector público vasco en todo lo que se considere necesario para la consecución de los objetivos especificados en los planes de ciberseguridad, estableciendo para ello las líneas de colaboración que se entiendan necesarias.
  19. s) Ostentar la representación oficial del sector público vasco ante organismos internacionales, estatales y regionales en materia de ciberseguridad.
  20. t) Apoyar e impulsar la capacitación en materia de ciberseguridad y el desarrollo digital seguro en el ámbito empresarial y en los sectores esenciales de la Comunidad Autónoma Vasca, como son el sector sanitario, el sector de emergencias y seguridad, el sector de servicios sociales y de intervención social, el sector educativo, el sector del transporte y el sector de la energía y las telecomunicaciones, o cualquier otro sector que pudiera considerarse sensible.
  21. u) Cualesquiera otras competencias que le sean conferidas por la legislación vigente o le sean expresamente delegadas o atribuidas.

Artículo 8.– Principios generales de actuación.

1.– Sin perjuicio de los principios que rigen la organización y el funcionamiento propio de cada ámbito institucional, la Agencia observará en su actuación los principios generales de actuación previstos en el artículo 5.2 de la Ley 3/2022, de 12 de mayo, del Sector Público Vasco.

2.– La Agencia promoverá la ciberseguridad en Euskadi para posibilitar la prestación de servicios de confianza por parte de las administraciones públicas vascas y el fomento de una mejor transformación digital de la ciudadanía y tejido empresarial.

3.– Para el cumplimiento de su objeto, la Agencia ejercerá sus funciones con relación al tejido empresarial, en coordinación con el organismo del Gobierno Vasco competente en materia de promoción económica, y establecerá la colaboración necesaria con los prestadores de servicios de la sociedad de la información y de comunicaciones electrónicas que actúen o tengan infraestructura en Euskadi, así como con los sectores esenciales.

4.– La Agencia colabora con los organismos judiciales y policiales de acuerdo con lo establecido por la normativa vigente. En el ejercicio de sus funciones, la Agencia debe coordinarse con los cuerpos policiales y de seguridad pública, sin perjuicio de las funciones propias del departamento competente en esta materia. En especial, la Agencia debe prestar el apoyo y facilitar la coordinación que le sea requerida por los cuerpos policiales para la ciberseguridad y protección de los sistemas de información policiales, de acuerdo con las competencias que dichos cuerpos tienen reconocidas en esta materia.

5.– La Agencia debe establecer líneas de colaboración en el ámbito de la ciberseguridad con las Diputaciones Forales y entes locales de Euskadi.

6.– La Agencia será el único interlocutor válido para representar al sector público vasco en su relación con las entidades estatales competentes en la materia, así como en los foros internacionales relacionados con la ciberseguridad. La Agencia se coordinará con las entidades estatales para determinar cómo se llevará a cabo la participación del sector público vasco en dichos foros, actuando siempre desde el respeto al marco competencial aplicable.

CAPÍTULO III

ESTRUCTURA Y ORGANIZACIÓN

Artículo 9.– Órganos de gobierno.

Son órganos de gobierno de la Agencia los siguientes:

  1. a) El Consejo de Administración.
  2. b) La Dirección General.

Artículo 10.– El Consejo de Administración.

El Consejo de Administración es el órgano colegiado superior de gobierno de la Agencia.

Artículo 11.– Composición del Consejo de Administración.

La composición del Consejo de Administración es la siguiente:

  1. a) El presidente o la presidenta, cargo que corresponderá al Consejero o a la Consejera del departamento competente en materia de seguridad, que tendrá voto de calidad.
  2. b) El vicepresidente o la vicepresidenta, cargo que corresponderá al Consejero o a la Consejera del departamento competente en materia de desarrollo económico.
  3. c) Un o una vocal por cada uno de los departamentos competentes en materia de seguridad, gobernanza pública y desarrollo económico, que tendrán el cargo de Viceconsejero o Viceconsejera de dichos departamentos.
  4. d) Un o una vocal por cada una de las Diputaciones Forales, que será designado o designada libremente por el órgano legalmente competente de las mismas.
  5. e) Un o una vocal por cada uno de los Ayuntamientos de las tres capitales de los territorios históricos de la Comunidad Autónoma Vasca, que será designado o designada libremente por el órgano legalmente competente de estos.
  6. f) Un o una vocal en representación de la Asociación de Municipios Vascos (Eudel), por designación de esta.
  7. g) Un o una vocal que se corresponderá con la persona que tenga la Dirección del Gobierno Vasco competente en materia de Tecnologías de la Información y la Comunicación.
  8. h) Un o una vocal que se corresponderá con la persona que tenga la titularidad de la Gerencia de la Sociedad Informática del Gobierno Vasco (Ejie).
  9. i) Un o una vocal que se corresponderá con la persona que tenga la Dirección General de la Agencia.
  10. j) Un secretario o secretaria, con voz, pero sin voto, que será designado o designada por el Consejo de Administración de la Agencia.

Artículo 12.– Funcionamiento del Consejo de Administración.

1.– El Consejo de Administración se reunirá tantas veces como sea necesario para el desempeño de sus funciones y, al menos, una vez al trimestre.

2.– Se podrá constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas tanto de forma presencial como a distancia. En las sesiones que celebren a distancia sus miembros podrán encontrarse en distintos lugares siempre y cuando se asegure por medios electrónicos, considerándose también tales los telefónicos, y audiovisuales, la identidad de las y los miembros o personas que los suplan, el contenido de sus manifestaciones, el momento en que estas se producen, así como la interactividad e intercomunicación entre ellos en tiempo real y la disponibilidad de los medios durante la sesión. Entre otros, se considerarán incluidos entre los medios electrónicos válidos, el correo electrónico, las audioconferencias y las videoconferencias.

3.– El Consejo de Administración quedará válidamente constituido cuando, además de la Presidencia y Secretaría, asistan, presencialmente o a distancia, más de la mitad de sus miembros. En cualquier caso, el Consejo quedara válidamente constituido, aun cuando no se hubieran cumplido los requisitos de la convocatoria, cuando, hallándose reunidos, presencialmente o a distancia, todos sus miembros, así lo acordaran por unanimidad. Esta misma regla se aplicará para tratar y, en su caso, acordar un tema no incluido en el orden del día.

4.– Las deliberaciones del Consejo de Administración tendrán carácter reservado.

5.– Los acuerdos se adoptarán por mayoría simple de las y los miembros presentes, teniendo la Presidencia voto de calidad para dirimir los empates.

6.– De cada sesión se levantará acta que contendrá la indicación de las y los miembros asistentes, así como las circunstancias de lugar y tiempo en que se ha celebrado, un resumen de la deliberación que haya tenido lugar en cada punto, la forma y resultados de la votación y el contenido de los acuerdos adoptados. Las actas serán firmadas por la Secretaría con el visto bueno de la Presidencia y se aprobarán en la misma o en la siguiente sesión.

7.– En lo no previsto en estos estatutos se aplicará lo dispuesto en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Artículo 13.– Funciones del Consejo de Administración.

Corresponden al Consejo de Administración las siguientes funciones:

  1. a) Aprobar los planes generales de actividades de la Agencia.
  2. b) Aprobar el anteproyecto de presupuesto anual de la Agencia.
  3. c) Aprobar la memoria anual de actividades de la Agencia.
  4. d) Elaborar, de acuerdo con las condiciones legales que resulten aplicables, la propuesta de las plantillas y del régimen retributivo del personal de la Agencia, que deberá ser aprobada por el Gobierno Vasco.
  5. e) Proponer, para su elevación al Gobierno Vasco, la aprobación y la modificación de los Estatutos de la Agencia y demás normas relativas a su organización y funcionamiento.
  6. f) Proponer la elevación al Gobierno Vasco de otras propuestas de decisión que requieran acuerdo de este.
  7. g) El seguimiento, supervisión y evaluación de la actuación de la Agencia y, en particular, el control de la gestión de la Dirección General de la Agencia y la exigencia a esta de las responsabilidades que procedan.
  8. h) Autorizar la participación en otras entidades o personificaciones jurídicas, conforme a la normativa que resulte de aplicación, ejerciendo los derechos que correspondan en las mismas a la Agencia Vasca de Ciberseguridad.
  9. i) Aprobar los convenios, acuerdos, protocolos o acciones que procedan.
  10. j) Informar periódicamente sobre la actividad de la Agencia al Gobierno Vasco.
  11. k) Ejercer las otras funciones que le otorguen las leyes o los Estatutos de la Agencia y aquellas otras que, correspondiendo a la Agencia, no estén atribuidas a ningún otro órgano de esta.

Artículo 14.– La Dirección General.

1.– La Dirección General de la Agencia será designada libremente por el Gobierno Vasco, a propuesta de la Presidencia del Consejo de Administración.

2.– La Dirección General de la Agencia será unipersonal. La persona designada tendrá la consideración de alto cargo y ostentará el rango de Viceconsejero o Viceconsejera del Gobierno Vasco.

3.– A la Dirección General de la Agencia le corresponden las siguientes funciones:

  1. a) La dirección ordinaria de la Agencia y de su personal.
  2. b) La propuesta y ejecución de las decisiones del Consejo de Administración.
  3. c) La representación ordinaria de la Agencia.
  4. d) La formalización de convenios, acuerdos, protocolos o acciones que procedan, en representación de la Agencia.
  5. e) La contratación en nombre de la Agencia, así como la disposición de gastos y ordenación de pagos, de acuerdo con lo previsto en la legislación vigente.
  6. f) Presentar al Consejo de Administración las orientaciones generales de la planificación de la actividad de la Agencia, de su plan director y planes anuales, así como la propuesta de evaluación de sus resultados, y el documento anual de evaluación regulado por el artículo 52 de la Ley 3/2022, de 12 de mayo, del Sector Público Vasco.
  7. g) Proponer al Consejo de Administración el anteproyecto de presupuesto anual de la Agencia, las plantillas y su régimen retributivo, así como la memoria anual.
  8. h) Cualesquiera otras funciones que le encomiende el Consejo de Administración de la Agencia o sus Estatutos.

Artículo 15.– El Consejo Consultivo.

1.– La dirección de la Agencia contará con un Consejo Consultivo presidido por la persona que ostente la Dirección General de la Agencia.

2.– El consejo consultivo estará compuesto por los siguientes miembros:

  1. a) Un representante o una representante de cada uno de los departamentos competentes en materia de educación y de salud, que serán designados por las personas titulares de los mismos.
  2. b) Una persona experta de reconocido prestigio en el ámbito universitario o de evaluación en materia de ciberseguridad, que será designada por las universidades con sede en la Comunidad Autónoma Vasca, de forma rotatoria.
  3. c) Una persona experta de reconocido prestigio en el ámbito tecnológico, designada por la Alianza de Centros Tecnológicos BRTA, de forma rotatoria.
  4. d) Una persona en representación de la asociación empresarial Cybasque, que aglutina las Industrias de Ciberseguridad de la Comunidad Autónoma Vasca, designada por esta.
  5. e) El Presidente o la Presidenta de la Autoridad Vasca de Protección de Datos.
  6. f) La persona que tenga la Jefatura de la División de la Ertzaintza competente en materia de delitos informáticos.
  7. g) La persona que tenga la Presidencia del Consejo de Administración de la Empresa de Certificación y Servicios, Izenpe, S.A.
  8. h) El Director o Directora General de la SPRI-Agencia Vasca de Desarrollo Empresarial.
  9. i) Dos personalidades con proyección internacional y reconocido prestigio en el ámbito de la ciberseguridad, a propuesta de la presidencia del Consejo de Administración.

3.– Son funciones del Consejo Consultivo:

  1. a) El asesoramiento a los órganos de gobierno de la Agencia.
  2. b) La emisión de informes sobre todas aquellas cuestiones que le sometan los órganos de gobierno de la Agencia, pudiendo formular propuestas en temas relacionados con las materias de la competencia de la Agencia.

4.– El Consejo Consultivo aprobará sus propias normas de organización y funcionamiento, en las que se preverán las figuras de presidente o presidenta y secretario o secretaria, así como el sistema para su elección o designación.

5.– Se procurará que la composición del Consejo Consultivo tenga una representación equilibrada entre mujeres y hombres, con capacitación, competencia y preparación adecuada. A los efectos, se considera representación equilibrada cuando ambos sexos estén representados al menos al 40 %.

6.– En el nombramiento de los miembros electivos del Consejo Asesor se tendrá en cuenta la capacitación lingüística suficiente en las dos lenguas oficiales de la Comunidad Autónoma Vasca.

Artículo 16.– Áreas de Gestión.

La estructura interna reflejará las áreas que garanticen el cumplimiento de las funciones de la agencia descritas en el artículo 2 de Ley 7/2023. Estas áreas se podrán adaptar a las necesidades del sector público vasco a propuesta de la Dirección General, debiendo ser cualquier cambio aprobado por el Consejo de Administración. En cualquier caso, las áreas definidas deberán abordar las funciones en los siguientes ámbitos:

  1. a) Administración y servicios.
  2. b) Estrategia de ciberseguridad.
  3. c) Gobierno del riesgo de ciberseguridad.
  4. d) Auditoría.
  5. e) Operaciones y equipo de respuesta a incidentes.
  6. f) Ciudadanía y organizaciones externas.

CAPÍTULO IV

RÉGIMEN DE FUNCIONAMIENTO

Artículo 17.– Régimen del Personal.

1.– Los puestos de trabajo de la Agencia serán desempeñados por personal laboral y por personal funcionario de los cuerpos y escalas de la Administración General e Institucional de la Comunidad Autónoma Vasca, según la naturaleza de las funciones asignadas a cada puesto de trabajo.

2.– El personal contratado al servicio de la Agencia se regirá por los preceptos de la Ley de Empleo Público Vasco que les resulten de aplicación, por la legislación laboral y por las demás normas convencionalmente aplicables.

3.– Corresponde a la Dirección General de la Agencia en lo relativo al personal laboral, la convocatoria, la gestión y la resolución de los procesos de acceso, de acuerdo con los principios rectores que informan el acceso al empleo en el sector público vasco recogidos en la Ley de Empleo Público Vasco, en los términos previamente aprobados por el Consejo de Administración, así como los procedimientos de movilidad referidos a dicho personal.

4.– Quedan reservadas a personal funcionario aquellas funciones cuyo ejercicio implique la participación directa o indirecta en el ejercicio de las potestades públicas o la salvaguardia de los intereses generales. Entre dichas funciones se encuentran las previstas en el artículo 44.2 de la Ley 11/2022, de 1 de diciembre, de Empleo Público Vasco.

5.– Al personal funcionario se le aplicará la normativa reguladora de la función pública de la Administración general de la Comunidad Autónoma. Estos puestos se proveerán por concurso o libre designación según el sistema de provisión que contemple la relación de puestos de trabajo, correspondiendo la convocatoria y resolución de los procesos de provisión por concurso al departamento competente en materia de función pública.

6.– La provisión de dichos puestos de personal funcionario por libre designación se realizará por convocatoria de la Dirección General de la Agencia, a la que podrá acceder el personal funcionario de la Administración General e Institucional de la Comunidad Autónoma Vasca que cumpla los requisitos exigidos en cada caso en la correspondiente relación de puestos de trabajo.

Artículo 18.– Régimen lingüístico.

La Agencia garantiza los derechos lingüísticos reconocidos a la ciudadanía en la Ley 10/1982, de 24 de noviembre, básica de normalización del uso del Euskera, y le son de aplicación las disposiciones sobre normalización lingüística, contenidas en el Título XIII de la Ley 11/2022, de 1 de diciembre, de empleo público vasco, y demás normativa vigente.

Artículo 19.– Régimen patrimonial.

1.– Constituye el patrimonio de la Agencia, integrado en el patrimonio de Euskadi, el conjunto de los bienes y derechos cuya titularidad le corresponda, de acuerdo con lo establecido en el Texto Refundido de la Ley de Patrimonio de Euskadi, aprobado por Decreto Legislativo 2/2007, de 6 de noviembre.

2.– Corresponden al ente público de derecho privado Agencia Vasca de Ciberseguridad las facultades sobre bienes y derechos cuya titularidad ostente, así como sobre los que tenga adscritos, de conformidad con lo dispuesto en el Texto Refundido de la Ley de Patrimonio de Euskadi.

3.– Los bienes y derechos adscritos serán objeto de seguimiento a través de su contabilidad patrimonial. Asimismo, el ente público prestará la colaboración que requerirá la confección del Inventario General de Bienes y Derechos del Patrimonio de Euskadi y del inventario auxiliar de acciones y títulos representativos de capital en sociedades mercantiles.

Artículo 20.– Recursos económicos.

Los recursos económicos de la Agencia estarán integrados por:

  1. a) Los productos y rentas de su patrimonio y de los bienes que tengan adscritos, o cuya administración y explotación tenga atribuida.
  2. b) Las consignaciones y transferencias que anualmente se le asignen en los Presupuestos Generales de la Comunidad Autónoma Vasca.
  3. c) Los ingresos que, conforme a lo previsto en la legislación vigente, pudiera corresponderle percibir y los que se produzcan como consecuencia de sus actividades.
  4. d) Las subvenciones, aportaciones, así como los recursos económicos que, de acuerdo con las leyes, pueda recibir por donación o título sucesorio.
  5. e) Cualquier otro recurso que le pudiera corresponder de acuerdo con las disposiciones legales o reglamentarias.

Artículo 21.– Régimen presupuestario.

1.– La Agencia goza de la autonomía financiera establecida por la normativa de finanzas de la Administración de la Comunidad Autónoma Vasca.

2.– La Agencia elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno Vasco para que, previa su aprobación, sea integrado, con la debida independencia, en los Presupuestos Generales de la Comunidad Autónoma Vasca, de acuerdo con lo establecido en su normativa reguladora del régimen presupuestario.

3.– Corresponde al Consejo de Administración la autorización de gastos que excedan de 1.500.000 de euros, y a la Dirección General la autorización de gasto inferior a dicho importe.

Artículo 22.– Régimen general de ayudas y subvenciones.

1.– Para la realización de las funciones asignadas en la letra t) del artículo 2 de la Ley 7/2023, de 29 de junio, de creación de la Agencia Vasca de Ciberseguridad, y aquellas que pudieran ser conferidas en relación a la letra u) de dicha Ley, la Agencia podrá conceder ayudas y subvenciones, incluyendo la aprobación y tramitación de los correspondientes programas y convocatorias, de acuerdo con la normativa en materia de subvenciones.

2.– La aprobación de los programas de subvenciones, las resoluciones sobre su otorgamiento y, en su caso, sobre su reintegro supondrá ejercicio de potestades administrativas, tendrán la condición de actos administrativos y agotarán la vía administrativa.

3.– La Dirección General será responsable de ejecutar los programas de subvenciones. Cuando los programas supongan un gasto superior al establecido en el artículo 21.3, deberán ser aprobados por el Consejo de Administración, adoptando las resoluciones y actos precisos en tales procedimientos.

Artículo 23.– Régimen de endeudamiento.

1.– Las propuestas de financiación serán aprobadas por el Consejo de Administración, que deberá fijar los límites para las operaciones de créditos, avales y otras cauciones en el marco de la normativa reguladora de los regímenes de endeudamiento y de prestación de garantía por la Comunidad Autónoma del Euskadi, y de las correspondientes Leyes de Presupuestos Generales de la Comunidad.

2.– La contratación de préstamos, créditos, avales u otras garantías o cualquier instrumento financiero al servicio de sus finalidades será aprobada por la Dirección General en el marco de la normativa reguladora de los regímenes de endeudamiento y de prestación de garantía por la Comunidad Autónoma del País Vasco y de los límites fijados previamente por el Consejo de Administración.

Artículo 24.– Régimen de Control Económico y Contabilidad.

1.– El control económico de la Agencia se ejercerá en la modalidad de control económico-financiero y de gestión de carácter permanente, de acuerdo con lo establecido en el Decreto Legislativo 2/2017, de 19 de octubre, por el que se aprueba el Texto Refundido de la Ley de Control Económico y Contabilidad de la Comunidad Autónoma Vasca, sin perjuicio del que corresponda al Tribunal Vasco de Cuentas Públicas.

2.– La Agencia lleva su propia información económico-financiera, elaborada de acuerdo a los criterios del Plan General de Contabilidad. Esta información económico-financiera se ajustará a lo que la normativa de la Comunidad Autónoma Vasca establezca al respecto para los entes públicos de derecho privado, así como a las directrices que, con ese mismo fin, dicte la Oficina de Control Económica.

3.– La Agencia aprobará anualmente una memoria de actividades, que debe entregar al Gobierno y al Parlamento y que el director o directora de la Agencia deberá presentar ante la Comisión del Parlamento Vasco que resulte competente en materia de seguridad.

Artículo 25.– Régimen de Contratación.

1.– La contratación de la Agencia se rige por la legislación en materia de contratación pública, así como por su normativa de desarrollo.

2.– El órgano de contratación de la Agencia es la Dirección General.

Artículo 26.– Régimen de responsabilidad patrimonial.

1.– El régimen de responsabilidad patrimonial de los actos de la Agencia se rige por lo dispuesto en la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, y en el Capítulo IV de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

2.– La resolución de los expedientes de responsabilidad patrimonial por los actos de la Agencia corresponde a su Dirección General.

Artículo 27.– Régimen de recursos.

1.– Las resoluciones de la Dirección General de la Agencia dictadas en el ámbito de sus potestades administrativas ponen fin a la vía administrativa, y son susceptibles de impugnación en la vía contencioso-administrativa, sin perjuicio del recurso potestativo de reposición.

2.– Las resoluciones del Consejo de Administración de la Agencia dictadas en el ámbito de sus potestades administrativas ponen fin a la vía administrativa, y son susceptibles de impugnación en la vía contencioso-administrativa, sin perjuicio del recurso potestativo de reposición.

Artículo 28.– Representación y defensa en juicio.

La representación y defensa en juicio de la Agencia estará a cargo del Servicio Jurídico Central del Gobierno Vasco, conforme a lo dispuesto en sus normas reguladoras.