Estatuko Aldizkari Ofiziala Estatu Agentzia

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 24 de febrero de 2022, emitió, por unanimidad, el siguiente dictamen:

"Por Orden comunicada de V. E. de 27 de enero de 2022, cuya entrada se registró el 2 de febrero siguiente, el Consejo de Estado ha examinado, con carácter urgente, el expediente relativo al proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.

De antecedentes resulta:

PRIMERO.- El proyecto de Real Decreto sometido a consulta consta de un preámbulo, 41 artículos, tres disposiciones adicionales, una disposición transitoria, una disposición derogatoria, tres disposiciones finales y cuatro anexos.

El articulado del texto presenta la siguiente estructura:

CAPÍTULO I. Disposiciones generales

­ Artículo 1. Objeto

­ Artículo 2. Ámbito de aplicación

­ Artículo 3. Sistemas de información que traten datos personales

­ Artículo 4. Definiciones

CAPÍTULO II. Principios básicos

­ Artículo 5. Principios básicos del Esquema Nacional de Seguridad

­ Artículo 6. La seguridad como un proceso integral

­ Artículo 7. Gestión de la seguridad basada en los riesgos

­ Artículo 8. Prevención, detección, respuesta y conservación

­ Artículo 9. Existencia de líneas de defensa

* Artículo 10. Vigilancia continua y reevaluación periódica

* Artículo 11. Diferenciación de responsabilidades

CAPÍTULO III. Política de seguridad y requisitos mínimos de seguridad

­ Artículo 12. Política de seguridad y requisitos mínimos de seguridad

­ Artículo 13. Organización e implantación del proceso de seguridad

­ Artículo 14. Análisis y gestión de los riesgos

­ Artículo 15. Gestión de personal

­ Artículo 16. Profesionalidad

­ Artículo 17. Autorización y control de los accesos

­ Artículo 18. Protección de las instalaciones

­ Artículo 19. Adquisición de productos de seguridad y contratación de servicios de seguridad

­ Artículo 20. Mínimo privilegio

­ Artículo 21. Integridad y actualización del sistema

­ Artículo 22. Protección de información almacenada y en tránsito

­ Artículo 23. Prevención ante otros sistemas de información interconectados

­ Artículo 24. Registro de actividad y detección de código dañino

­ Artículo 25. Incidentes de seguridad

­ Artículo 26. Continuidad de la actividad

­ Artículo 27. Mejora continua del proceso de seguridad

­ Artículo 28. Cumplimiento de los requisitos mínimos

­ Artículo 29. Infraestructuras y servicios comunes

­ Artículo 30. Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras

CAPÍTULO IV. Seguridad de sistemas: auditoría, informe e incidentes de seguridad

­ Artículo 31. Auditoría de la seguridad

­ Artículo 32. Informe del estado de la seguridad

­ Artículo 33. Capacidad de respuesta a incidentes de seguridad

­ Artículo 34. Prestación de servicios de respuesta a incidentes de seguridad a las entidades del sector público

CAPÍTULO V. Normas de conformidad

­ Artículo 35. Administración digital

­ Artículo 36. Ciclo de vida de servicios y sistemas

­ Artículo 37. Mecanismos de control

­ Artículo 38. Procedimientos de determinación de la conformidad con el Esquema Nacional de Seguridad

CAPÍTULO VI. Actualización del Esquema Nacional de Seguridad

Artículo 39. Actualización permanente

CAPÍTULO VII. Categorización de los sistemas de información

­ Artículo 40. Categorías de seguridad

­ Artículo 41. Facultades

La parte final de la norma tiene el contenido siguiente:

­ Disposición adicional primera. Formación

­ Disposición adicional segunda. Desarrollo del Esquema Nacional de Seguridad.

­ Disposición adicional tercera. Respeto del principio de "no causar un perjuicio significativo" al medioambiente.

­ Disposición transitoria única. Adecuación de sistemas

­ Disposición derogatoria única. Derogación normativa

­ Disposición final primera. Títulos competenciales

­ Disposición final segunda. Desarrollo normativo

­ Disposición final tercera. Entrada en vigor

Por último, la norma se cierra con cuatro anexos, que tienen por objeto las siguientes materias:

­ Anexo I. Categorías de seguridad de los sistemas

­ Anexo II. Medidas de seguridad

­ Anexo III. Auditoría de la seguridad

­ Anexo IV. Glosario

SEGUNDO.- Al proyecto de Real Decreto acompaña la correspondiente memoria del análisis de impacto normativo, fechada el 29 de octubre de 2021.

Comienza con una tabla-resumen que, de forma sintética, enuncia los contenidos que más adelante se desarrollan en detalle: oportunidad de la propuesta (1), contenido y análisis jurídico (2), adecuación al orden constitucional de distribución de competencias (3), descripción de la tramitación (4) y análisis de impactos (5).

1. Oportunidad de la propuesta

La memoria toma como punto de partida el artículo 42 del Real Decreto 3/2010, de 8 de enero, que actualmente regula el Esquema Nacional de Seguridad (en adelante, "ENS") en el ámbito de la Administración Electrónica. Según este precepto, el ENS se debe "mantener actualizado de manera permanente", de modo que se desarrolle y perfeccione "a lo largo del tiempo, en paralelo al progreso de los servicios de la Administración electrónica, de la evolución tecnológica y nuevos estándares internacionales sobre seguridad y auditoría en los sistemas y tecnologías de la información", a medida que se consoliden las infraestructuras que lo apoyen.

El principio de actualización permanente exige tener en cuenta los hitos más relevantes que se han sucedido desde la última reforma del ENS, operada por el Real Decreto 951/2015, de 23 de noviembre. En síntesis, tales hitos han sido los siguientes:

(i) En primer lugar, la experiencia adquirida después de una década de aplicación del ENS. En este tiempo los agentes afectados han evolucionado y se han especializado. Además, hace cinco años se instauró la "certificación del ENS" (en la resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones públicas por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el ENS) y, desde entonces, se han realizado numerosas "evaluaciones exhaustivas" y se han otorgado múltiples certificaciones.

(ii) En segundo lugar, han surgido nuevos vectores de ataque y amenazas cada vez más complejas. La memoria explica que desde 2010 -año en que se adoptó el vigente ENS- los ciberataques se han incrementado en número, frecuencia, sofisticación y severidad de impacto. Los actores de la amenaza han ampliado sus capacidades técnicas y operativas y aprovechan la dependencia de las tecnologías de la información y la comunicación y la interconexión de sistemas para infligir daños cada vez más graves a las entidades públicas y privadas, las cadenas de suministro, los ciudadanos y, en definitiva, a la seguridad nacional. Precisamente por ello, la Estrategia Nacional de Ciberseguridad aprobada en 2019 incluyó entre sus objetivos la seguridad y resiliencia de las redes y sistemas de información y comunicación del sector público.

(iii) En tercer lugar, la evolución del marco normativo aplicable, con la aprobación de las siguientes normas que afectan al ENS:

* En materia de seguridad de redes y sistemas de información, se aprobó el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, desarrollado por el Real Decreto 43/2021, de 26 de enero. De conformidad con sus disposiciones, los operadores de servicios esenciales y los operadores de servicios digitales deben tomar como referencia las medidas de seguridad recogidas en el ENS.

* En materia de seguridad pública, se deben tener en cuenta la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, y el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

* En cuanto a la protección de datos personales, la norma de referencia es el Reglamento General de Protección de Datos [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]. En los últimos años también se han aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

* Finalmente, la reciente aprobación del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, exige actualizar el marco de la ciberseguridad pública.

(iv) En cuarto lugar, tanto el Plan de Digitalización de las Administraciones públicas aprobado para la ejecución de los fondos del componente 11 ("Modernización de las Administraciones públicas") del Plan de Recuperación, Transformación y Resiliencia, como la Agenda España Digital 2025, contemplan la actualización del ENS. Esta previsión se complementa con la inversión destinada a construir el Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos, que servirá de referencia para el conjunto de las Administraciones públicas y contribuirá a mejorar el cumplimiento del ENS.

Por todo ello, la norma proyectada pretende aprobar un nuevo ENS que responda a las amenazas actuales y se adapte a las tendencias en materia de ciberseguridad. Además, persigue mejorar la eficiencia en la aplicación de sus requisitos técnicos, de modo que estos se adapten a las características de los colectivos afectados.

En cuanto a los principios de buena regulación, la memoria dedica un apartado específico a su análisis. Señala que la iniciativa responde a los principios de seguridad y eficacia, ya que cumple con el ordenamiento vigente y está "en clara sintonía con las Directivas y Reglamentos europeos en materia de seguridad de la información y protección de datos fundamentalmente, que exigen una progresiva adecuación y desarrollo del ENS conforme a la realidad jurídica, tecnológica y estratégica de cada momento". Cumple los principios de proporcionalidad y eficiencia porque no existen otras medidas menos gravosas para los colectivos afectados. Respeta el principio de seguridad jurídica porque el texto es conforme con la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (que remite al ENS); la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de infraestructuras críticas, y la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional. En fin, concurren los principios de transparencia (porque la iniciativa ha sido sometida a audiencia pública) y eficiencia (porque no se establecen cargas administrativas adicionales a las previstas en el vigente ENS de 2010).

Con respecto a las alternativas consideradas, se descartó la opción de modificar el Real Decreto 3/2010 porque el ENS vigente "ha quedado demasiado obsoleto como para abordar una nueva modificación, siendo necesaria una nueva regulación integral, al amparo de la Ley 40/2015, de 1 de octubre, en sintonía con la nueva regulación europea y nacional, así como con los actuales estándares tecnológicos de seguridad y auditoría, la Estrategia Nacional de Ciberseguridad de 2019 y las nuevas amenazas en el plano cibernético".

Por lo demás, se indica que el proyecto fue incluido en el Plan Anual Normativo de 2021, pero no está incluida entre las normas que serán objeto de evaluación ex post.

2. Contenido y análisis jurídico

Después de describir el contenido y estructura de la norma, la memoria se refiere a las principales novedades que se introducen. Pueden resumirse en las siguientes:

* Ámbito de aplicación. Se clarifican las exigencias aplicables a las entidades del sector público y privado y se incluyen por primera vez los sistemas que tratan información clasificada, sin perjuicio de que pueda resultar necesario complementar las medidas del ENS con otras específicas.

* Perfiles de cumplimiento específicos. El nuevo artículo 29 incorpora los perfiles de cumplimiento específicos que permiten ajustar los requisitos del ENS a necesidades específicas (por ejemplo, Entidades locales), en beneficio de la eficiencia en la aplicación de la norma.

* Principios básicos. El principio "prevención, reacción y recuperación" pasa a denominarse "prevención, detección y respuesta", por entender que la recuperación queda englobada en el concepto más amplio de respuesta. Se introduce como novedad el principio de "vigilancia continua" para la detección de actividades o comportamientos anómalos y mejorar la capacidad de respuesta. Asimismo, se revisa la redacción del principio "responsabilidades diferenciadas" para precisar los aspectos que son exigibles al responsable de la seguridad y al responsable del sistema.

* Política de seguridad. El artículo 12 desarrolla los elementos que debe reunir la política de seguridad. En el ámbito de la Administración General del Estado, cada ministerio contará con su política de seguridad y los organismos o entidades del sector público institucional podrán, bien contar con una política de seguridad propia, bien quedar incluidos en la propia del departamento con el que mantengan la relación de vinculación, dependencia o adscripción.

* Sujetos responsables de la aplicación del ENS. El artículo 12 clarifica el papel de las principales figuras que intervienen en la aplicación del ENS: el responsable de la información, el responsable del servicio, el responsable del sistema y el responsable de la seguridad. Además, cuando se trate de servicios externalizados, será necesario contar con un punto de contacto que supervise el cumplimiento de los requisitos de seguridad y ayude a gestionar los posibles incidentes. En todo caso, la responsabilidad última reside en la entidad del sector público destinataria o contratante de los servicios, que deberá exigir a sus suministradores la debida diligencia en materia de seguridad.

* Requisitos mínimos. Además de mejorar los requisitos mínimos, se refuerza la importancia de la política de seguridad y el requisito "seguridad por defecto" pasa a denominarse "mínimo privilegio", por responder mejor al escenario actual. Una vez cumplidos los requisitos mínimos, el responsable de seguridad puede, en función del análisis de riesgos, ampliar las medidas de seguridad con los refuerzos que se establecen.

* Capacidad de respuesta a incidentes de seguridad. La norma proyectada introduce mejoras en este ámbito. Se desarrollan de forma pormenorizada (i) las condiciones de notificación de incidentes de seguridad por las entidades del sector público al Centro Criptológico Nacional (CCN-CERT) y las actuaciones de respuesta por la Secretaría General de Administración digital y el CCN-CERT y (ii) las condiciones de notificación de incidentes de seguridad al Instituto Nacional de Ciberseguridad (INCIBE-CERT) por las entidades del sector privado que presten servicios a las entidades públicas. Todo ello de conformidad con lo previsto en el Real Decreto 43/2021, de 26 de enero, que desarrolla el Real Decreto-ley 12/2018.

* Sistemas de información de las entidades del sector privado. El ENS se aplicará a los sistemas de información de las entidades del sector privado cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas. Esta exigencia se justifica "por razón de la alta imbricación o interconectividad de los sistemas de información (...) y de la facilidad de propagación de las amenazas y de los vectores de ataque".

* Régimen transitorio y entrada en vigor de la norma. La disposición transitoria contempla un plazo de veinticuatro meses para la adecuación al ENS de los sistemas preexistentes, circunstancia que se acreditará con los distintivos de conformidad que resulten de las correspondientes declaraciones o certificaciones. La memoria explica que habrá sistemas que ya cuenten con los correspondientes distintivos de conformidad y que, "según la práctica habitual con este tipo de distintivos, podrán mantener su vigencia procediendo a su renovación a medida que llegue su caducidad". En cuanto a la entrada en vigor de la norma, si bien se fija para el día siguiente al de su publicación en el Boletín Oficial del Estado, es necesario tener en cuenta que el plazo transitorio de adaptación se extenderá durante los veinticuatro meses siguientes.

* Anexo II: medidas de seguridad. Se introducen modificaciones de detalle que actualizan el marco operacional y las medidas de protección. El resultado es diverso, pues mientras algunas medidas aumentan considerablemente su nivel de exigencia (por ejemplo, medidas de identificación, configuración de seguridad y su gestión, protección frente a código dañino), otras experimentan un refuerzo moderado (requisitos de acceso, gestión de cambios o incidentes, mantenimiento y actualizaciones de seguridad, protección de la confidencialidad y copias de seguridad), otras se simplifican (segregación de tareas, sellos de tiempo o perímetro seguro) y, en fin, otras se eliminan (personal y medios alternativos, protección de los registros de actividad). Además, se introducen medidas nuevas en relación con los servicios en la nube, interconexión de sistemas, protección de la cadena de suministro, medios alternativos, vigilancia y otros dispositivos conectados a la red. Finalmente, para fomentar la implantación y revisión de las medidas de protección, se codifican sus requisitos y se introducen los refuerzos de seguridad.

En cuanto al análisis jurídico de la norma, la memoria expone, en primer lugar, que derogará el Real Decreto 3/2010, de 8 de enero, por el que se regula el esquema Nacional de Seguridad en el ámbito de la Administración electrónica, así como las disposiciones de igual o inferior rango que se opongan a lo dispuesto en la norma proyectada.

En segundo lugar, analiza la conformidad del texto proyectado con el Derecho europeo, con los límites constitucionales y legales de la potestad reglamentaria y con el resto del ordenamiento jurídico. Afirma que la norma se aprueba al amparo del artículo 149.1.18.ª de la Constitución, que atribuye al Estado la competencia para regular el procedimiento administrativo común y el régimen jurídico del sector público, así como del artículo 97 de la Constitución, que atribuye al Gobierno el ejercicio de la potestad reglamentaria.

El proyecto de Real Decreto desarrolla la Ley 40/2015, de 1 de octubre (en ejercicio de la habilitación contenida en la disposición final decimoquinta), en relación con lo previsto en el artículo 156.2, que señala que "El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada".

Además, el proyecto de Real Decreto se relaciona con el Reglamento general de protección de datos y con las siguientes normas:

* La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

* La Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

* La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

* El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad en las redes y sistemas de información (que transpuso al ordenamiento español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión).

* La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

* El Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018.

* El Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

Por otro lado, la memoria explica que el proyecto enlaza con otras iniciativas internacionales y contribuye a fortalecer la posición de España en el ámbito de la Administración digital. En primer lugar, menciona el Índice de Ciberseguridad Global (Global Cybersecurity Index - GCI), una iniciativa de la Unión Internacional de Telecomunicaciones (UIT). Se trata de un índice compuesto para medir el compromiso de los 194 Estados miembros con la ciberseguridad. En la edición de 2020, publicada en junio de 2021, España figura en el cuarto puesto a nivel mundial, por detrás de Estados Unidos, Reino Unido, Arabia Saudí y Estonia y empatada con Corea del Sur y Singapur. Dentro del área geográfica de la Unión Europea, figura en segundo lugar.

Otros índices relevantes reconocen también la posición destacada de España en el ámbito de la ciberseguridad. En el marco de la Unión Europea, se mencionan los siguientes:

* El Índice de Economía y Sociedad Digital (DESI), publicado el 11 de junio de 2020 por la Comisión Europea, "constata el avance de la evolución digital en España y sitúa a nuestro país por encima de la media de la Unión Europea y muy por delante de países de similar tamaño y complejidad administrativa, como Alemania, Francia e Italia". España ocupa la 11.ª posición en el índice DESI; con 57,5 puntos se sitúa por encima de la media europea (52,6 puntos) y mejora su posición del año anterior (53,6 puntos en 2019). Además, avanza en la mayoría de indicadores, destacadamente en el de servicios públicos digitales (87,3 puntos), donde se sitúa en segunda posición, solo por detrás de Estonia (89,3 puntos) y por delante de Dinamarca (87,1 puntos) y Finlandia (87). La Comisión europea ha destacado la posición de España en servicios públicos digitales y su avance con respecto al año anterior y ha puesto de manifiesto que "[l]os indicadores muestran un nivel alto de interacción en línea entre las autoridades públicas, los ciudadanos y las empresas. España obtiene muy buenos resultados en el indicador de datos abiertos y ocupa el segundo puesto con el 90 % de la puntuación máxima. El 82 % de los usuarios de internet españoles participa activamente en los servicios de administración electrónica, 6 puntos porcentuales más que el año anterior".

* En otro índice publicado por la Comisión, el "eGovernment Benchmark 2018", España se ubica en un nivel medio-alto de penetración y digitalización y forma parte del escenario Fruitful eGov -que incluye a los mejores países de su clase-, por encima del promedio europeo. España figura en el grupo de países top-performing en varias facetas analizadas.

Fuera de la Unión Europea, España destaca en otros índices internacionales muy relevantes:

* Es el caso del índice de Administración Electrónica eGovernment Development Index (EGDI) publicado por la ONU, único indicador en la materia con alcance global hasta la fecha. En la Encuesta de Gobierno Electrónico 2020 España "figura en el grupo de países con muy alto rendimiento" y mantiene el puesto 17 en la edición de 2020 (el mismo puesto que en 2018).

* En el marco de la OCDE, la primera edición del Índice de Gobierno Digital (con datos de 2019) sitúa a España en la séptima posición del ranking global, con una puntuación destacada en tres de las seis dimensiones analizadas: digital por diseño, sector público impulsado por datos y proactividad.

Para completar el análisis jurídico, la memoria justifica la previsión de entrada inmediata en vigor de la norma por razón de la urgencia en su tramitación, declarada en acuerdo de Consejo de Ministros de 25 de mayo de 2021. Se prevé el desarrollo mediante instrucciones técnicas de seguridad de obligado cumplimiento que se aprobarán mediante orden ministerial o resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Asimismo, el proyectado artículo 39 recoge el principio de actualización permanente del ENS conforme a la nueva regulación, el estado de la tecnología y de las infraestructuras, los estándares de seguridad y el tipo de amenazas.

3. Adecuación de la norma al orden de distribución de competencias

La memoria reitera que el Real Decreto proyectado se dicta al amparo de la competencia estatal prevista en el artículo 149.1.18.ª de la Constitución en materia de procedimiento administrativo común y bases del régimen jurídico de las Administraciones públicas. Asimismo, se basa en la competencia exclusiva del Estado en materia de telecomunicaciones y seguridad pública, de acuerdo con lo previsto en los artículos 149.1.21.ª y 149.1.29.ª de la Constitución.

En este punto, la memoria extracta varios párrafos de la sentencia del Tribunal Constitucional 142/2018, que analizó la distribución de competencias entre el Estado y las comunidades autónomas en materia de ciberseguridad. Según el tribunal, "La ciberseguridad, como sinónimo de la seguridad en la red, es una actividad que se integra en la seguridad pública, así como en las telecomunicaciones" (FJ 4). Por ello, no es una materia reconducible a un único título competencial, sino que se identifica con la seguridad nacional o la seguridad pública, con la Administración electrónica y con la materia de telecomunicaciones y régimen general de las comunicaciones (FFJJ 5 y 6).

En consecuencia, se concluye que el proyecto es plenamente respetuoso con la doctrina del Tribunal Constitucional en materia de ciberseguridad.

4. Descripción de la tramitación

Como consideración previa, se cita el párrafo segundo del apartado segundo del acuerdo de Consejo de Ministros sobre actuaciones urgentes en materia de ciberseguridad, de 25 de mayo de 2021, donde se justificaba la tramitación urgente del proyecto de Real Decreto por "la intensificación de las ciberamenazas y ciberincidentes que se está produciendo y la imprevisibilidad en cuanto a su número, complejidad técnica y daño potencial" a los sectores público y privado.

A continuación, se describen los distintos hitos seguidos en la tramitación del expediente normativo. El resumen de las alegaciones y observaciones recibidas, junto a las razones del departamento proponente para acoger o rechazar cada una de ellas, figuran en un anexo a la memoria.

5. Análisis de impactos

En último lugar, la memoria se detiene en la valoración de los impactos previstos. En el ámbito económico, se prevén los siguientes efectos:

­ La norma tendrá un impacto neutral en los precios de los servicios. La memoria argumenta que el coste de las medidas, principios y requisitos que se exigen debería ser marginal para los colectivos obligados, pues estos se encuentran en su mayoría sujetos al ENS y los esfuerzos se centrarán en un ejercicio de adaptación (en ocasiones ya alcanzado). Por otro lado, el esfuerzo económico debe considerarse una inversión que generará rendimientos positivos por la reducción de los incidentes de seguridad y el impacto positivo a nivel reputacional.

­ El efecto sobre la productividad se prevé positivo. Las medidas de seguridad y gestión de incidentes reducirán los impactos perjudiciales y, con ello, mejorará la productividad de los servicios. Se garantizarán los derechos de los ciudadanos y mejorará la confianza en el mercado y en sector público. Además, la cadena de suministro de seguridad a entidades del sector público (empresas consultoras, integradoras, etc.) verá incrementar el número de proyectos exigidos por la necesidad de adecuar los sistemas de información al ENS. A su vez, ello supondrá una mayor actividad de las entidades de certificación del ENS y, en consecuencia, de la Entidad Nacional de Acreditación (ENAC). En fin, la mayor seguridad redundará también en beneficio de las personas físicas (como incentivo para acudir a la tramitación digital de procedimientos administrativos) y jurídicas (al proporcionar un ecosistema más seguro) y reducirá los esfuerzos operativos y económicos derivados de la recuperación ante ciberincidentes.

­ El impacto sobre el empleo será neutral, si bien se verán acentuados perfiles en el ámbito de la ciberseguridad y la auditoría de seguridad de sistemas.

­ Se estima que las nuevas medidas tendrán un efecto positivo sobre la innovación, por cuanto una mayor seguridad redundará en beneficio de la incorporación de las tecnologías de la información y la comunicación a los procesos productivos.

­ La norma tendrá un efecto prácticamente neutro sobre los consumidores, al menos directamente. Sin embargo, la mejora en la confianza, productividad e innovación contribuirá a dinamizar los mercados, con el consiguiente aumento en la demanda de servicios digitales.

­ Con respecto a los efectos sobre la economía europea y otras economías, la memoria destaca que el ciberespacio no conoce de fronteras, por lo que una mayor seguridad en las infraestructuras y colectivos afectados por el ENS beneficiará a los agentes de la Unión Europea.

­ Para las pequeñas y medianas empresas (pymes) el efecto se prevé reducido, pues solo se verán afectadas directamente aquellas que colaboren con los colectivos incluidos en el ámbito de aplicación del ENS. En todo caso, la norma se convertirá en una guía a la que podrán acogerse, lo que les permitirá acceder a más infraestructuras y ser más competitivas.

­ Finalmente, se indica que la norma tendrá un efecto positivo en la reducción de los ciberincidentes que afectan a las entidades del sector público. Tales incidentes no solo impactan en cuestiones como las horas de trabajo o las inversiones precisas para recuperar la situación de normalidad, sino que producen daños intangibles al menoscabar la imagen de la entidad afectada.

Desde la perspectiva de la competencia y la unidad de mercado, el impacto se prevé neutral. Las obligaciones impuestas a los colectivos afectados se definen de acuerdo con el principio de proporcionalidad, con la inclusión de perfiles de cumplimiento específicos, adaptados a las dimensiones y características de los colectivos afectados.

En cuanto al impacto presupuestario, la memoria formula dos consideraciones. Por un lado, estima que las medidas no supondrán ni ingresos ni gastos adicionales directos para el Estado. Añade que "las relativas a la implementación de las medidas de seguridad y demás aspectos regulados por la norma serán atendidos conforme a las debidas partidas presupuestarias al efecto". Por otro lado, indica que la aprobación de la norma se verá complementada por la inversión destinada a constituir el Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos, que servirá de referencia para las demás Administraciones públicas y contribuirá a mejorar el cumplimiento del ENS. Con respecto a este nuevo organismo, se incluye la siguiente explicación:

"El proyecto de constitución de este Centro está previsto en el Plan de Digitalización de las Administraciones Públicas 2021-2025 (en concreto en la Medida 9 "Centro de Operaciones de Ciberseguridad" del Eje 1 "Transformación digital de la Administración General del Estado"), responde a necesidades relacionadas directamente con las iniciativas de los Fondos de Recuperación y Resiliencia, y se realizará con cargo a las aplicaciones presupuestarias 27.50.460B.682 y 27.50.460B.684, y al proyecto de inversión 2021-27-50-0006.

El Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos contribuirá a mejorar la situación de seguridad de cada entidad en su alcance (del orden de 90 entidades) y su grado de conocimiento de la misma, y actuará como elemento facilitador para el cumplimiento de la regulación en materia de seguridad de la información, concretamente del Esquema Nacional de Seguridad".

Con respecto a las cargas administrativas, concluye que el proyecto no las incrementa, dado que serán las Administraciones y demás entidades del sector público y colectivos obligados quienes deban adecuar sus procedimientos y medidas de seguridad.

El impacto en los medios y servicios digitales es positivo, ya que la norma mejorará la protección de la información y de los servicios prestados, lo que redundará en una mayor confianza y garantizará la continuidad de los servicios, particularmente en relación con el ejercicio de derechos y el cumplimiento de obligaciones. Al reforzar la protección contra ciberamenazas y ciberataques se mitigan los riesgos de sustracción de datos, alteración (incluyendo el fraude por inserción de documentos falsos), destrucción (incluyendo el cifrado irrecuperable de datos y documentos) o quiebra de disponibilidad. "De ahí -concluye la memoria- que la transformación digital haya de ir acompañada de medidas organizativas y técnicas de seguridad proporcionadas a los riesgos".

Por último, la memoria indica que la norma no tiene impacto por razón de género ni tampoco en la infancia, la adolescencia o la familia. Considera que no existe un impacto directo en materia de cambio climático -ya que se trata de un real decreto de contenido organizativo- si bien destaca que la disposición adicional tercera recoge específicamente la obligación de respetar el principio de "no causar un perjuicio significativo" al medioambiente (Do No Significant Harm, DNSH) y la exigencia de cumplir las condiciones de etiquetado climático y digital, todo ello en cumplimiento de las condiciones específicas previstas en el Plan de Recuperación, Transformación y Resiliencia. Añade que el robustecimiento del ENS fomentará el empleo de la tecnología y los canales electrónicos de comunicación, por lo que puede contribuir a evitar desplazamientos superfluos y a reducir el consumo de papel y la generación de residuos.

Con relación a la igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad tampoco se prevé un impacto directo, si bien el aumento de la seguridad en los servicios públicos digitales beneficiará a las personas con limitaciones, ya que el empleo de medios electrónicos proporciona una vía alternativa de comunicación con la Administración. Asimismo, una mayor seguridad redundará en beneficio del ejercicio de derechos individuales como el derecho a un acceso rápido, eficaz y eficiente a los servicios públicos; el derecho a disponer de servicios web de calidad; el derecho a recibir información transparente y veraz y el derecho a preservar la privacidad de los datos personales.

TERCERO.- El 2 de febrero de 2022 se recibió en el Consejo de Estado el expediente instruido para la elaboración del proyecto de Real Decreto, en el que constan los siguientes trámites fundamentales:

a) Declaración de urgencia

El 25 de mayo de 2021 el Consejo de Ministros adoptó un acuerdo en materia de ciberseguridad. Entre sus previsiones se incluía la aprobación de un proyecto de Real Decreto que sustituyera al vigente ENS, tramitado por vía de urgencia -al amparo de lo previsto en el artículo 27.1.b) de la Ley 50/1997, de 27 de noviembre, del Gobierno- por la intensificación de los ciberincidentes y ciberamenazas.

b) Audiencia pública

Debido a la declaración de urgencia no se evacuó trámite de consulta previa, según prevén los artículos 26.2 y 27.2 de la Ley del Gobierno. Sin embargo, tanto el proyecto normativo como la memoria fueron sometidos a audiencia pública (artículo 26.6 de la Ley del Gobierno y el artículo 133.2 de la Ley 39/2015, de 1 de octubre) a través de su publicación en el portal web del Ministerio de Asuntos Económicos y Transformación Digital. El trámite se abrió el 15 de junio de 2021 y se concedieron siete días hábiles.

Se recibieron alegaciones de varias asociaciones, empresas y particulares. También remitieron observaciones el Banco de España, dos universidades públicas (Universidad Pública de Navarra y Universidad de A Coruña), el Departamento de Salud de la Generalitat de Cataluña y el Ayuntamiento de Tavernes de la Valldigna (Valencia).

La mayoría de los escritos se centró en aspectos técnicos, especialmente las medidas de seguridad previstas en el anexo II (refuerzos de seguridad, requisitos de identificación de usuarios externos, controles de acceso o mecanismos de autenticación y gestión de incidentes, entre otros). Otras observaciones se referían al ámbito de aplicación del ENS, a la insuficiencia del tratamiento de la protección de datos, al régimen transitorio, a las instrucciones técnicas de seguridad y guías prácticas, a diversas cuestiones de personal y a la adquisición y contratación de productos y servicios de seguridad. En algunos escritos se solicitaba la concreción de determinados aspectos de la norma y, en otros, se pedía la aclaración o ampliación de conceptos. En fin, algunas entidades cuestionaron la valoración del impacto presupuestario en la memoria, especialmente en relación con otras Administraciones territoriales distintas a la Administración General del Estado.

c) Consulta a las comunidades autónomas, entes locales y universidades

El 14 de junio de 2021 la secretaría de la Comisión Sectorial de Administración Electrónica remitió a los representantes de las comunidades autónomas, a las ciudades autónomas de Ceuta y Melilla, a la Federación Española de Municipios y Provincias (FEMP) y a la Conferencia de Rectores de las Universidades Españolas (CRUE) la primera versión del texto y de la memoria. Se concedieron quince días hábiles para formular observaciones.

Constan en el expediente los escritos remitidos por la Generalitat de Catalunya (Agencia de Ciberseguridad de Cataluña y Consorcio de Administración Abierta de Cataluña), la Junta de Comunidades de Castilla-La Mancha, la Generalitat Valenciana, la Junta de Andalucía y la Xunta de Galicia (esta última sin observaciones).

Además de observaciones de carácter técnico -que, en algunos casos, coincidían con determinadas alegaciones del sector-, los escritos recibidos se centraron en el análisis de cuestiones como el ámbito de aplicación de la norma (subjetivo y objetivo), la política de seguridad, la figura del responsable de seguridad, el acceso a infraestructuras y servicios comunes, los perfiles de cumplimiento específico y las competencias de la CSAE. También se formularon observaciones formales y de redacción. Muchas fueron aceptadas y trasladadas a la versión final del proyecto remitido al Consejo de Estado.

Al margen de lo anterior, la Agencia de Ciberseguridad de Cataluña manifestó su oposición a ciertos aspectos de la norma en los que, a su entender, se invadían competencias autonómicas. En concreto, solicitó que se incluyera una mención a los CSIRT autonómicos con competencias en materia de gestión de ciberseguridad y gestión de incidentes de seguridad; objetó la regulación del papel del CCN y consideró que debía matizarse la exigencia de cumplimiento de las instrucciones técnicas de seguridad y guías elaboradas por el CCN y la CSAE. También consideró que no había base legal para atribuir al Comité Sectorial de Administración Electrónica las competencias específicas en materia de seguridad. Estas observaciones han sido rechazadas por las razones que constan en la memoria (en algunos casos) y a ellas se hará referencia más adelante.

d) Consulta al Comité de Dirección de las Tecnologías de Información y Comunicaciones (CD-TIC) de la Administración General del Estado

El 14 de junio de 2021, la secretaría del CD-TIC de la Administración General del Estado remitió la primera versión de ambos textos a los responsables de tecnologías de la información y comunicaciones (TIC) de todos los ministerios, organismos y entidades que se integran en dicho comité.

Se recibieron aportaciones de los ministerios de Justicia, Defensa, Hacienda y Sanidad; la Agencia Estatal de la Administración Tributaria (AEAT); la Intervención General de la Administración del Estado; la Gerencia de Informática de la Seguridad Social (GISS) y el Instituto Nacional de Estadística. La mayoría se centraba en aspectos técnicos de las medidas de seguridad, aunque también se formularon observaciones al ámbito de aplicación de la norma, a la capacidad de respuesta a incidentes de seguridad (en particular, en relación con la intervención del CCN y la SGAD), a los informes de auditoría, a las instrucciones técnicas de seguridad y a las definiciones incluidas en el glosario del anexo IV.

e) Informe de la Comisión Nacional de los Mercados y la Competencia

En virtud de lo dispuesto en el artículo 5.2.a) de la Ley 3/2013, de 4 de junio, de creación de la Comisión Nacional de los Mercados y la Competencia (CNMC), obra en el expediente el informe emitido por esta Comisión, fechado el 22 de julio de 2021.

La CNMC valora positivamente el proyecto de Real Decreto y destaca la importancia de la seguridad como razón imperiosa de interés general que, dentro del respeto a los principios de buena regulación, legitima la adopción de medidas regulatorias. Aun cuando considera que el proyecto "no presenta restricciones a la competencia", formula dos comentarios "a modo de recordatorio de las posiciones de esta Comisión al respecto de futuros desarrollos regulatorios o decisorios". Por un lado, respecto al requisito de profesionalidad (artículo 16), afirma que "resulta preferible el criterio de la capacitación técnica de los profesionales, frente a [la exigencia de] una concreta titulación". Por otro, en lo que afecta a la adquisición de productos y contratación de servicios de seguridad, recomienda que se utilicen procedimientos que favorezcan la competencia; que los esquemas de acreditación se basen en criterios objetivos, transparentes y no discriminatorios y que se observe el principio de neutralidad tecnológica. Ninguna de estas observaciones ha dado lugar a modificaciones en el texto.

Finalmente, la CNMC advierte de que la función de coordinación que la norma atribuye al CCN-CERT para el tratamiento de vulnerabilidades y resolución de incidentes de seguridad (artículo 34.1) debe realizarse sin reserva exclusiva de actividad. A esta observación ha contestado el departamento proponente indicando en la memoria que el proyecto ya incluye una precisión acerca de la posición del CCN-CERT en su artículo 33.1, donde se indica que actuará "sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administración pública y de la función de coordinación a nivel nacional del CCN".

f) Informe de la Oficina de Coordinación y Calidad Normativa (OCCN)

De acuerdo con el artículo 26.9 de la Ley del Gobierno, ha emitido informe la OCCN del Ministerio de Presidencia, Relaciones con las Cortes y Memoria Democrática. La práctica totalidad de sus observaciones -referidas al articulado del proyecto y a la memoria- ha sido aceptada por el centro proponente.

g) Segunda versión del texto y nuevos informes

Consideradas las diferentes alegaciones y observaciones recibidas, se elaboró una segunda versión del proyecto de Real Decreto y de su memoria del análisis de impacto normativo y se solicitaron nuevos informes el 30 de julio de 2021.

h) Informe de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos ha informado de acuerdo con lo previsto en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el artículo 5.3.a) de su Estatuto, aprobado por Real Decreto 389/2021, de 1 de junio.

Después de resumir las principales novedades del proyecto, el informe comienza por destacar las diferencias que existen entre el ámbito de la seguridad de la información y el de la protección de datos de carácter personal. Con respecto a este último, recuerda que la normativa aplicable ha evolucionado desde un modelo de lista de cumplimiento hasta otro basado en el análisis de riesgo y de impacto (principio de responsabilidad activa), donde el delegado de protección de datos adquiere un papel protagonista.

Como observaciones particulares, la Agencia Española de Protección de Datos consideraba que las referencias a la normativa sobre protección de datos eran insuficientes, por lo que sugería incorporar un artículo específico dedicado a los sistemas de información que traten datos personales y modificar el anexo II a fin de incluir expresamente el análisis de riesgos y la evaluación de impacto (artículos 24 y 35 del RGPD). Además, recomendaba incluir una referencia a los criterios de aplicación de la normativa de protección de datos que se establezcan por la Agencia Española de Protección de Datos; mencionar el principio de prevalencia de las medidas agravadas (resultado del análisis de riesgos) e incluir en el instrumento que apruebe la política de seguridad una referencia a los riesgos del tratamiento de datos personales. En fin, respecto al registro de actividad y código dañino (artículo 24) consideraba que las medidas previstas encontraban amparo en el artículo 6.1.d) del RGPD, si bien entendía que debía recogerse una referencia expresa a los principios de necesidad y proporcionalidad e incluir -bien en el articulado, bien en los anexos- garantías adicionales derivadas del artículo 5 del RGPD, tales como los principios de limitación de la finalidad, minimización de datos o la limitación del plazo de conservación. Advertía que estas cautelas deberían extremarse en el análisis de comunicaciones para evitar la vulneración de derechos fundamentales (no solo el derecho a la protección de datos personales sino también el del secreto de las comunicaciones).

El anexo a la memoria indica que todas las observaciones han sido aceptadas.

i) Última fase de informes

Finalmente, el texto proyectado ha sido consultado a diferentes departamentos ministeriales. Constan en el expediente los siguientes informes:

- Informe del Ministerio de Política Territorial. De acuerdo con el artículo 26.5 de la Ley del Gobierno ha informado la Dirección General de Régimen Jurídico Autonómico y Local del Ministerio de Política Territorial por afectar el proyecto a la distribución de competencias entre el Estado y las comunidades autónomas. No se formulan observaciones de tipo competencial.

- Aprobación previa del Ministerio de Hacienda y Función Pública, que tuvo lugar el 4 de agosto de 2021.

- Otros ministerios. Han informado los siguientes ministerios: Inclusión, Seguridad Social y Migraciones; Asuntos Exteriores, Unión Europea y Cooperación; Sanidad; Defensa; Ciencia e Innovación; Igualdad; Educación y Formación Profesional; Agricultura, Pesca y Alimentación; Industria, Comercio y Turismo; Transición Ecológica y Reto Demográfico; Derechos Sociales y Agenda 2030; Política Territorial; Cultura y Deporte; Justicia; Interior; Hacienda y Función Pública; Presidencia, Relaciones con las Cortes y Memoria Democrática; Transportes, Movilidad y Agenda Urbana; Universidades y Trabajo y Economía Social.

Las observaciones han sido diversas, en muchos casos dirigidas a clarificar algunos aspectos de la norma, asegurar su coherencia interna o mejorar la redacción de determinados preceptos. En el anexo a la memoria se da cuenta de las observaciones aceptadas y rechazadas, con las razones que apoyan la decisión adoptada en un caso o en otro.

- Informe del ministerio proponente. Finalmente, consta en el expediente el informe de la Secretaría General Técnica del Ministerio de Asuntos Económicos y Transformación Digital, de acuerdo con lo previsto en el artículo 26.5 de la Ley del Gobierno. Las observaciones de este último informe han sido atendidas en su mayoría.

Y, en tal estado de tramitación el expediente, V. E. acordó remitirlo al Consejo de Estado para dictamen.

I

Se somete a consulta un proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad. La base legal de la norma proyectada se encuentra en el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, cuyo apartado dos tiene el siguiente tenor literal:

"2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada".

Por su parte, la disposición final decimoquinta de la misma ley habilita al Consejo de Ministros para "dictar cuantas disposiciones reglamentarias sean necesarias para el desarrollo de la presente Ley, así como para acordar las medidas necesarias para garantizar la efectiva ejecución e implantación de las previsiones de esta Ley".

Debe concluirse, por tanto, que existen habilitación y base legal suficientes para acometer el desarrollo reglamentario proyectado. El rango normativo es adecuado.

II

El expediente normativo se ha tramitado correctamente. La urgencia fue declarada por el Consejo de Ministros mediante acuerdo de 25 de mayo de 2021, debido a la necesidad de dar respuesta a un número creciente de ciberamenzas y ciberincidentes. En coherencia con ello, se ha prescindido del trámite de consulta previa (artículos 26.2 y 27.2 de la Ley del Gobierno) y se han reducido los plazos. También el dictamen de este Alto Cuerpo Consultivo se ha solicitado con carácter urgente, en virtud de lo dispuesto en el artículo 19.2 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado.

Sin perjuicio de lo anterior, se han cumplido todos los trámites exigidos por el ordenamiento jurídico. Tanto el proyecto como la memoria se han sometido a audiencia pública (artículo 26.6 de la Ley del Gobierno y 133.2 de la Ley 39/2015); se han solicitado los informes de la CNMC (artículo 5.2.a) de la Ley 3/2013, de 4 de junio) y de la Agencia Española de Protección de Datos (artículo 5.3.a) del Real Decreto 389/2021); se ha consultado a las comunidades autónomas y entidades locales.

Además, han intervenido prácticamente todos los ministerios (artículo 26.5 de la Ley del Gobierno) y constan los preceptivos informes del Ministerio de Política Territorial y Función Pública (por afectar la norma a la distribución de competencias entre el Estado y las comunidades autónomas) y la Oficina de Coordinación y Calidad Normativa (artículo 26.9 de la Ley del Gobierno); la aprobación previa del Ministerio de Hacienda y Función Pública y el informe final de la Secretaría General Técnica del Ministerio de Asuntos Económicos y Transformación Digital como departamento proponente (artículo 26.5 de la Ley del Gobierno).

De todos estos trámites da cuenta la memoria del análisis de impacto normativo que, en líneas generales, debe ser valorada en términos positivos, sin perjuicio de la observación que más adelante se formula. Particularmente útil resulta el resumen de las novedades introducidas en el ENS, así como la relación que hace el anexo de las distintas observaciones recibidas y de la respuesta a cada una de ellas.

En suma, el expediente normativo se ha tramitado correctamente y procede analizar el contenido de la norma proyectada.

III

El nuevo ENS se dicta con base en tres títulos competenciales. En primer lugar, el previsto en el artículo 149.1.18.ª de la Constitución, que atribuye al Estado competencia exclusiva en materia de bases del régimen jurídico de las Administraciones públicas. En segundo lugar, el que resulta del artículo 149.1.21.ª de la Constitución, que reconoce la competencia estatal exclusiva en materia de telecomunicaciones. Por último, el contemplado en el artículo 149.1.29.ª de la Constitución, que atribuye al Estado competencia exclusiva en materia de seguridad pública, sin perjuicio de la posibilidad de creación de policías por las comunidades autónomas.

Durante la tramitación del expediente la invocación de los anteriores títulos competenciales ha suscitado controversia. La Agencia de Ciberseguridad de Cataluña, aun "[r]econociendo lógicamente las competencias exclusivas señaladas", ha manifestado su rechazo a la "fuerte injerencia" del proyecto en las competencias autonómicas en "materias tan sensibles de alcance constitucional" como el autogobierno y la autoorganización. Recuerda que el Estatuto de Autonomía de Cataluña, modificado por Ley Orgánica 6/2006, de 19 de julio, atribuye a la Generalitat competencia exclusiva en materia de régimen jurídico y procedimiento de las Administraciones públicas catalanas, derivadas de las particularidades del derecho sustantivo de Cataluña y de las especialidades de organización (artículo 159) y competencias en materia de seguridad pública y comunicaciones electrónicas (respectivamente, artículos 164 y 140).

En materia de seguridad de redes y sistemas de información afirma que el sistema de distribución de competencias entre el Estado y las comunidades autónomas es "ciertamente complejo" y considera que la sentencia del Tribunal Constitucional 142/2018, de 20 de diciembre, es un claro exponente de esta complejidad. Sin embargo, con base en esa sentencia, concluye que el Tribunal Constitucional ha reconocido la competencia de la Generalitat para organizar su propia Administración y diseñar y mantener sus servicios de Administración electrónica, lo que implica la autoprotección de tales servicios mediante las funciones de análisis, investigación y respuesta para proteger su seguridad. Añade que el tribunal consideró conforme al reparto competencial de competencias la atribución a la comunidad autónoma de la función de proteger las redes y sistemas de información de la Generalitat y de sector público, así como de los de los particulares y de otras Administraciones públicas que se relacionen por medios electrónicos con dicha administración. En fin, de la jurisprudencia constitucional citada, la Agencia de Ciberseguridad de Cataluña dice extraer la siguiente conclusión:

"[C]omo es de ver, la competencia en materia de Seguridad pública estatutariamente reconocida, no solo se refiere a la función policial en sentido estricto, sino que también comprende las potestades administrativas que puedan ser consideradas como complementarias o inherentes a las tareas de prevención e investigación de hechos delictivos y persecución de los culpables, del mantenimiento del orden ciudadano y otras análogas que se atribuyen a los cuerpos y fuerzas de seguridad, a lo que se debe añadir la competencia inequívoca en materia de Ciberseguridad de la Generalitat en los términos establecidos por el Constitucional.

Por todo lo anterior, el Real Decreto ENS no puede desconocer esta realidad competencial de la Generalitat de Catalunya y de la Agència de Ciberseguretat de Catalunya. Más aún, como es el caso catalán, donde de forma pionera se ha elevado la "ciberseguridad" a categoría de Servicio Público. En consecuencia, es claro que la competencia en materia de ciberseguridad y de la consecuente potestad del desarrollo y concreción del ENS, de las las (sic) medidas de seguridad aplicables derivadas de la normativa de ciberseguridad, el establecimiento de esquemas de seguridad, instrucciones, directrices y normas técnicas, guías y análogos ?Marco normativo propio? debe ser desempeñada por el órgano competente en la materia dentro del ámbito de ejercicio de dicha competencia, es decir, de la Agència de Ciberseguretat de Catalunya en el marco de sus competencias".

Las observaciones de la Agencia de Ciberseguridad de Cataluña han sido contestadas por el departamento proponente en el anexo a la memoria del análisis de impacto normativo. Con carácter preliminar, niega que el proyecto desconozca las competencias autonómicas como se desprende de la lectura del texto. Al margen de ello, afirma que, en la citada sentencia 142/2018, el Tribunal Constitucional reconoció que la ciberseguridad pública se enmarca en el concepto de seguridad pública y, por tanto, es una competencia que corresponde ejercer en exclusiva al Estado al amparo del artículo 149.1.29.ª de la Constitución, en conexión con las competencias exclusivas en materia de Defensa (artículo 149.1.4.ª de la Constitución) y telecomunicaciones (artículo 149.1.21.ª). Ello no supone privar a las comunidades autónomas de toda posibilidad de actuación en este ámbito. Al contrario, muchas veces su colaboración viene exigida por el propio ENS. Pero al amparo de las competencias que les reconozcan sus estatutos, las comunidades autónomas deberán limitarse a adoptar medidas para garantizar la protección de sus infraestructuras y la seguridad de las tecnologías de información y comunicación en tanto se apliquen a las relaciones con sus administrados y con otras Administraciones.

Circunscrito a estos términos el debate, es claro que la respuesta habrá de obtenerse a partir de la tantas veces citada sentencia del Tribunal Constitucional 142/2018, de 20 de diciembre.

Con carácter previo, cabe recordar que este Consejo de Estado ya se pronunció sobre la cuestión en el dictamen número 891/2017, de 26 de octubre, emitido con carácter previo a la interposición del recurso de inconstitucionalidad en relación con la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña (que daría lugar después a la sentencia 142/2018). Afirmó entonces que "la conexión entre ciberseguridad y seguridad pública es (...) evidente, pudiendo por tanto entenderse aquélla incardinada en la mencionada competencia exclusiva del Estado (...). Esta conclusión, sin embargo, no impide, (...) que las comunidades autónomas puedan, al amparo de las competencias que sus respectivos Estatutos de Autonomía les reconocen, adoptar determinadas medidas que coadyuven a garantizar la protección de sus infraestructuras y la seguridad de las tecnologías de la información y la comunicación (TIC)".

Con respecto al alcance de las medidas que pueden adoptar las comunidades autónomas, el dictamen afirmaba lo siguiente:

"Tales medidas han de limitarse, según se ha argumentado, a cuestiones instrumentales, de carácter técnico u organizativo, o a actividades de apoyo y fomento de la protección de las redes y sistemas de información, pero no pueden, en modo alguno, menoscabar la competencia exclusiva del Estado en materia de seguridad pública (que, sin ninguna duda, comprende, por ejemplo, las competencias normativas necesarias para regular la investigación y el análisis de los ciberataques, por tratarse de una función directamente conectada con la protección de la seguridad de las tecnologías de la información (...) ni dar lugar a una cláusula general de atribución de competencias a la Agencia en materia de ciberseguridad (...). Tampoco pueden dichas medidas proyectarse sobre otros ámbitos cuya regulación solo el Estado puede asumir al amparo de los correspondientes títulos competenciales (tal es el caso, por ejemplo, de la intervención de las comunicaciones, regulada en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, o de la intervención de los sistemas informáticos o telemáticos, que ha de ajustarse a lo dispuesto en la Ley de Enjuiciamiento Criminal de 1882...)".

La sentencia del Tribunal Constitucional 142/2018 analizó el concepto de ciberseguridad y concluyó que se trata de una materia que se incardina en las competencias exclusivas del Estado en materia de seguridad pública y telecomunicaciones. Así, en el fundamento jurídico cuarto, la sentencia afirma lo siguiente:

"La ciberseguridad, como sinónimo de la seguridad en la red, es una actividad que se integra en la seguridad pública, así como en las telecomunicaciones. A partir de su conceptuación como conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan, fácilmente se infiere que, en tanto que dedicada a la seguridad de las tecnologías de la información, presenta un componente tuitivo que se proyecta específicamente sobre el concreto ámbito de la protección de las redes y sistemas de información que utilizan los ciudadanos, empresas y administraciones públicas. El uso cotidiano de las tecnologías de la información y la comunicación ha provocado que se conviertan en un elemento esencial para el desarrollo económico y las relaciones sociales. No obstante, es también un hecho constatado que las amenazas a la seguridad de la red comportan un riesgo que afecta a los ámbitos más diversos, por cuanto pueden afectar a la disponibilidad, integridad y confidencialidad de la información (...).

Atendiendo a lo que se ha expuesto, puede concluirse que la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen general de telecomunicaciones".

El tribunal reconoce que la ciberseguridad no es un concepto o materia reconducible a un único título competencial, sino que "puede proyectarse sobre otros planos, como es el caso de la administración electrónica, que abarca la organización de medios y previsión de medidas de protección de la administración y, por extensión, la protección de los derechos de los ciudadanos cuando se relacionan con la administración por medios electrónicos" (FJ 5). Sin embargo, estas medidas de organización y protección no se discutieron en el recurso de inconstitucionalidad, sino que quedaron expresamente excluidas al no ser discutidas por ninguna de las partes ("el Abogado del Estado no ha cuestionado, antes al contrario, que las diferentes administraciones públicas son competentes para la adopción de medidas de autoprotección en relación con sus infraestructuras y la seguridad de las tecnologías de la información y la comunicación, por lo que esta dimensión de la ciberseguridad no se ve aquí concernida").

La sentencia estimó parcialmente el recurso y declaró inconstitucionales y nulos determinados preceptos de la ley catalana que invadían las competencias del Estado en materia de seguridad pública y telecomunicaciones. En cambio, afirmó la constitucionalidad de aquellos aspectos en los que la norma autonómica se limitaba a articular la protección de "las redes y sistemas de información de la Administración de la Generalitat y de su sector público y los de los particulares y otras administraciones públicas que se relacionan por medios electrónicos con dicha administración" (FJ 7).

La Agencia de Ciberseguridad de Cataluña pretende ahora deducir de la sentencia citada un reconocimiento de las competencias autonómicas en materia de ciberseguridad vinculadas a la "competencia en materia de Seguridad pública estatutariamente reconocida". Esta interpretación no puede ser admitida porque ha sido expresamente rechazada por el Tribunal Constitucional. Por su conexión con la cuestión debatida en el expediente, resulta ilustrativa la cita del fundamento jurídico séptimo, c):

"... la función (...) trasciende (...) el ámbito estricto de la administración y su protección frente a ciberataques, ya que proyecta su ejercicio a la tarea de planificar, gestionar, coordinar y supervisar la ciberseguridad en Cataluña y no exclusivamente en relación a la Administración de la Generalitat y su sector público. Presupone así el diseño de un marco estratégico e institucional en esta materia que supera las competencias de la Generalitat en este ámbito, ya que no se refiere a la actuación de la administración y tampoco puede relacionarse con las competencias autonómicas derivadas de la creación de la policía de seguridad propia. Por el contrario, interfiere o menoscaba las competencias estatales en materia de seguridad pública, así como las del artículo 149.1.21 CE en cuya virtud corresponde al Estado adoptar las previsiones necesarias para garantizar un tratamiento unitario de esta cuestión".

Así pues, a la luz de la jurisprudencia constitucional, es preciso concluir que el Estado tiene competencia para aprobar la norma proyectada.

IV

El proyecto sometido a consulta está llamado a desempeñar un papel crucial en la protección de la ciberseguridad en España. De acuerdo con el citado artículo 156.2 de la Ley 40/2015, su finalidad es establecer la política de seguridad en la utilización de los medios electrónicos por las entidades del sector público, así como desarrollar los principios básicos y requisitos mínimos que garantizarán la seguridad de la información tratada.

La vigente Estrategia Nacional de Ciberseguridad de 2019, afirma, "sin lugar a dudas, que la ciberseguridad ha modernizado la Seguridad Nacional, tratándose de uno de los ámbitos de mayor avance hasta la fecha". La tendencia a la digitalización y la apertura del ciberespacio ofrecen "innumerables oportunidades de futuro" pero también "serios desafíos a la seguridad". Por este motivo, el primer objetivo es garantizar la seguridad y resiliencia de las redes y sistemas de información y comunicaciones del sector público y de los servicios esenciales. Para ello, la segunda de las líneas de acción que define la estrategia exige la plena implantación del ENS, "con un enfoque prioritario basado en el riesgo". También busca fomentar la progresiva implantación y creación de infraestructuras de ciberseguridad en las comunidades autónomas y entes locales, así como en sus organismos vinculados o dependientes, en cooperación y coordinación con las estructuras estatales en beneficio de la ciberseguridad nacional. En fin, se prevé el desarrollo de un Centro de Operaciones de Ciberseguridad de la Administración General del Estado que mejore las capacidades de respuesta ante ciberamenazas.

No cabe duda, por tanto, de la necesidad y oportunidad del proyecto. Como dijo el Consejo de Estado en relación con el entonces proyecto de Real Decreto 3/2010, "el Esquema Nacional de Seguridad resulta una pieza imprescindible para la efectividad del derecho de los ciudadanos de acceso electrónico a la Administración en condiciones que aseguren la integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos. El principio de seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas exigirá al menos el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos en la actividad administrativa (...). En tal sentido, la seguridad se concibe (...) como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información. Se trata, pues, de una dimensión esencial para generar confianza en los ciudadanos respecto de la administración electrónica y de que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que dicha información pueda llegar a conocimiento de personas no autorizadas, cuyas garantías son necesarias para la generalización del uso de las nuevas tecnologías en las relaciones con las Administraciones Públicas" (dictamen número 2.161/2009, de 7 de enero de 2010).

Desde la aprobación del ENS en 2010 -y su última revisión en 2015- se han sucedido diversos acontecimientos que aconsejan aprobar un nuevo texto. Como explica acertadamente el preámbulo, la nueva política de seguridad debe adaptarse al ordenamiento vigente y al estado de la tecnología, así como a las amenazas que se ciernen sobre los sistemas de información, con un enfoque que permita la adaptación a los riesgos de los diferentes servicios y tipos de sistemas.

V

El contenido altamente técnico de la norma descansa en el criterio experto del centro proponente y se ha beneficiado de las observaciones y sugerencias de los diversos agentes especializados que han participado, lo que ha dado lugar a un texto que incorpora soluciones técnicas consensuadas y con un amplio grado de aceptación. El contenido del proyecto merece, por ello, un juicio global favorable a este Consejo de Estado, sin perjuicio de las observaciones que se formulan a continuación.

Para su mejor comprensión, parece oportuno hacer alguna consideración previa -necesariamente breve- acerca del marco en que se inserta el proyectado ENS. Este marco se caracteriza por la intersección de cuatro grandes grupos normativos: el régimen de funcionamiento del sector público por medios electrónicos; las disposiciones sobre seguridad de las redes y sistemas de información; la Ley de Seguridad Nacional y la normativa sobre protección de datos.

A) El empleo de medios electrónicos es hoy la norma de actuación del sector público, tanto en las relaciones ad intra como ad extra. Así resulta de la Ley 39/2015, que reconoce el derecho de los interesados a relacionarse con la Administración a través de un punto de acceso general electrónico (artículo 13) y obliga a determinados sujetos de relacionarse con la Administración por medios electrónicos (artículo 14). Por su parte, la Ley 40/2015 consagra el principio de relación de las Administraciones públicas por medios electrónicos (artículo 3).

Consecuencia necesaria de este proceso de digitalización es la necesidad de garantizar la seguridad de los sistemas de información y comunicación empleados por el sector público, por su impacto en la seguridad nacional y en los derechos de los ciudadanos. Ya se ha visto que la Ley 40/2015 remite con carácter general a las normas técnicas del ENS, la fijación de la política de seguridad y la aprobación de los principios básicos y requisitos mínimos (artículo 156.2). En el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por Real Decreto 203/2021, de 30 de marzo, son constantes las llamadas al cumplimiento de requisitos técnicos: a título de ejemplo, deberán ajustarse a las medidas de seguridad del ENS los portales de internet (artículo 5); los sistemas de identificación de personal (artículo 24); el intercambio electrónico de datos en entornos cerrados de comunicación (artículo 25.5); los sistemas de clave concertada (artículo 28.1) y la gestión del archivo electrónico único (artículo 55.2). En este sentido, la norma proyectada -y muy especialmente las medidas de seguridad definidas en su anexo II- se convertirá en una pieza clave para garantizar la seguridad del funcionamiento electrónico del sector público.

B) En cuanto al régimen de seguridad de las redes y sistemas de información, la norma de cabecera es la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como "Directiva NIS" por su acrónimo inglés: Network and Information Security). Esta directiva fue incorporada al ordenamiento español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, desarrollado a su vez por el Real Decreto 43/2021.

Como analiza en detalle el dictamen del Consejo de Estado número 623/2020, de 26 de noviembre (emitido en relación con el proyecto de Real Decreto 43/2021), se trata de un grupo normativo complejo, que regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales.

­ Son servicios esenciales aquellos que se consideran necesarios "para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas" (artículo 3.c) del Real Decreto-ley 12/2018, que reproduce la redacción del artículo 2.a) de la Ley 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas). A estos operadores se les podrán imponer medidas de seguridad y obligaciones de notificación que deben respetar, entre otras, las exigencias del ENS (artículos 16 y 19 del Real Decreto-ley 12/2018).

­ Por su parte, son servicios digitales los servicios de la sociedad de la información definidos en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (artículo 3.d) del Real Decreto-ley 12/2018).

La conocida como "normativa NIS" introdujo un marco institucional de ciberseguridad, integrado por las autoridades públicas competentes y los llamados "equipos de respuesta a incidentes de seguridad informática" (CSIRT, acrónimo de Computer Security Incident Response Team). Las autoridades competentes ejercen funciones de supervisión del cumplimiento de las obligaciones de seguridad, mientras que los CSIRT analizan riesgos y supervisan incidentes, difunden alertas y aportan soluciones para mitigar sus efectos. De esta manera, "los CSIRT son la puerta de entrada de las notificaciones de incidentes pero el destinatario de las notificaciones es la autoridad competente respectiva" (dictamen número 623/2020, antes citado).

C) En el ámbito de la seguridad nacional la ciberseguridad se reconoce como un ámbito de especial interés en el artículo 10 de la Ley 36/2015, lo que obliga a las Administraciones públicas a establecer mecanismos de coordinación e intercambio de información, especialmente en relación con los sistemas de vigilancia y alerta ante posibles riesgos y amenazas (artículo 11 de la ley). En caso de amenaza grave, el capítulo III de la ley regula la gestión de las crisis, que se desarrolla a través de la declaración de "situación de interés para la seguridad nacional".

En lo que ahora interesa, el ENS, en cuanto norma que afecta a los sistemas de información utilizados para la prestación de los servicios públicos, se considera comprendido en los recursos y procedimientos integrantes del Sistema Nacional de Seguridad y así lo recoge el artículo 1.3 de la norma proyectada.

D) Finalmente, la normativa de protección de datos la conforman hoy, además del artículo 18.4 de la Constitución Española, el Reglamento general de protección de datos (Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

El cuidado análisis de la Agencia Española de Protección de Datos (antecedente tercero, letra h, del presente dictamen) arranca con el deslinde conceptual entre la seguridad de la información y la protección de datos de carácter personal. La primera -seguridad de la información- comprende el conjunto de medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información y los datos que emplean los sistemas de información del sector público. La segunda -protección de datos- tiene por objeto la protección de un derecho fundamental y exige, entre otras, la adopción de determinadas medidas técnicas y organizativas que debe cumplir el responsable del tratamiento de los datos.

Las carencias iniciales del proyecto en esta materia han sido corregidas en la versión final del proyecto remitida a este Consejo de Estado, en la que se acogen las observaciones de la Agencia Española de Protección de Datos. Se incluye un artículo específico dedicado a los sistemas de información que traten datos personales (artículo 3) y una nueva redacción del anexo II para adecuar su contenido a la normativa de protección de datos. Además, el artículo 12.1 exige que la política de seguridad incluya una valoración de los riesgos derivados del tratamiento de datos personales y se han suprimido las remisiones normativas que resultaban innecesarias. Todo ello merece una valoración favorable a este Consejo.

Atención especial merece el artículo 24, que permite registrar las actividades de los usuarios y analizar las comunicaciones entrantes y salientes con el fin de evitar daños a las redes y sistemas de información. La Agencia Española de Protección de Datos ha considerado que esta regulación está amparada por el artículo 6.1 del Reglamento General de Protección de Datos, relativo al tratamiento necesario para cumplir una misión de interés público o en ejercicio de poderes públicos conferidos al responsable del tratamiento. Ahora bien, advierte que el tratamiento deberá hacerse siempre "en la medida estrictamente necesaria y proporcionada", previsión que se ha incluido en el artículo proyectado. Añade que se deberán incluir garantías adicionales para respetar los principios del artículo 5 del Reglamento General de Protección de datos. Por la importancia de esta cuestión, se volverá a ella en las consideraciones generales que a continuación se formulan.

VI

El texto proyectado suscita a este Consejo de Estado algunas observaciones en relación con las competencias del Centro Criptológico Nacional (A); el análisis de comunicaciones (B); las funciones de la Comisión Sectorial de Administración Electrónica (C) y el análisis del impacto presupuestario de la norma proyectada (D).

A) Competencias del Centro Criptológico Nacional (CCN)

De entre las diversas funciones del CCN que regula la norma proyectada, se han discutido en el expediente las relacionadas con la capacidad de respuesta a incidentes (artículo 33), la interoperabilidad en materia de ciberseguridad y criptografía (artículo 35) y la aprobación de instrucciones técnicas de seguridad y guías de seguridad.

1) En cuanto a la respuesta a incidentes de seguridad, la Agencia de Ciberseguridad de Cataluña ha cuestionado la redacción de los apartados 2 y 5 del proyectado artículo 33.

El artículo 33 aclara, en su apartado 1, que el CCN "articulará la respuesta a los incidentes de seguridad en torno a la estructura denominada CCN-CERT (por su acrónimo en inglés de Computer Emergency Response Team), que actuará sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada administración pública y de la función de coordinación a nivel nacional e internacional del CCN". De ello se desprende que al CCN se atribuyen dos funciones: la capacidad de respuesta a incidentes de seguridad (que no es exclusiva) y la coordinación a nivel nacional e internacional (que sí lo es).

Por su parte, el apartado 2 del artículo 33 tiene el siguiente tenor:

"Sin perjuicio de lo establecido en el artículo 19.2 del Real Decreto-ley 12/2018, de 7 de septiembre, las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información concernidos, de acuerdo con la correspondiente Instrucción Técnica de Seguridad...".

El apartado 5 añade la siguiente previsión en relación con las entidades del sector privado:

"5. Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán al INCIBE-CERT, centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S. A. (INCIBE) dependiente del Ministerio de Asuntos Económicos y Transformación Digital, los incidentes que les afecten a través de su equipo de respuesta a incidentes de seguridad informática , quien, sin perjuicio de sus competencias y de lo previsto en los artículos 9, 10 y 11 del Real Decreto 43/2021, de 26 de enero, en relación con la Plataforma de Notificación y Seguimiento de Ciberincidentes, lo pondrá inmediatamente en conocimiento del CCN-CERT".

La Agencia de Ciberseguridad de Cataluña considera que los preceptos citados no respetan el orden constitucional de distribución de competencias porque deben incluir una mención a los CSIRT autonómicos "que hayan asumido la gestión de la ciberseguridad y de los incidentes de seguridad que se produzcan en su territorio". Aunque acepta que los incidentes se notifiquen al CCN, considera que "la competencia en primera instancia corresponde al Catalonia-CERT, tanto en el ámbito del sector público como en el de los privados que presenten servicios a entidades públicas".

A juicio del Consejo de Estado esta interpretación debe rechazarse. De acuerdo con lo razonado en epígrafes anteriores (III y V), la competencia en materia de ciberseguridad, en su dimensión de seguridad pública conectada con el régimen de comunicaciones electrónicas, corresponde al Estado en exclusiva.

Dentro de este marco competencial, el Real Decreto-ley 12/2018 transpuso al ordenamiento español la Directiva NIS diferenciando entre los CSIRT y las autoridades competentes. Como ya se ha señalado, los primeros son los encargados de notificar los incidentes ocurridos dentro de su ámbito de actuación, pero son las segundas -las autoridades competentes- las destinatarias de esas comunicaciones, con funciones de supervisión y coordinación (artículo 10 del Real Decreto-ley 12/2018).

El artículo 9 del Real Decreto-ley 12/2018 regula las autoridades competentes en materia de seguridad de las redes y sistemas de información. En lo que ahora importa, el CCN es el órgano que el real decreto-ley designa como autoridad competente en relación con los operadores de servicios esenciales y prestadores de servicios digitales que no tengan la consideración de operadores críticos y estén comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre. En el caso de prestadores de servicios digitales que no estén comprendidos en el ámbito de aplicación de la Ley 40/2015 (supuesto previsto en el artículo 33.5), el artículo 11 del Real Decreto-ley 12/2018 designa como CSIRT de referencia al INCIBE-CERT.

Debe concluirse, por tanto, que la norma proyectada es conforme con el orden constitucional de distribución de competencias y respeta el marco legal aplicable. Sin embargo, se echa en falta una explicación más detallada de estas cuestiones en la memoria del análisis de impacto normativo, que en este punto no da respuesta a las alegaciones de la Agencia de Ciberseguridad de Cataluña. Se recomienda, por ello, ampliar la justificación que ofrece la memoria en el análisis jurídico e incluir una contestación expresa en el anexo.

2) En lo que respecta a las funciones que el artículo 35.2 recoge en materia de interoperabilidad en materia de ciberseguridad y criptografía, la agencia catalana niega que puedan ser asumidas en exclusiva por el CCN.

El tenor literal del precepto proyectado es el siguiente:

"El CCN es el órgano competente para garantizar la debida interoperabilidad en materia de ciberseguridad y criptografía, en relación con la aplicación del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica".

Esta redacción reproduce la de la disposición adicional primera del citado Real Decreto 4/2010, que regula el Esquema Nacional de Interoperabilidad. Además, su contenido es coherente con las funciones que atribuye al CCN el artículo 2 del Real Decreto 421/2004, de 12 de marzo, en coherencia con la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia.

Sobre esta cuestión, además de reiterar lo dicho a propósito de las competencias en materia de ciberseguridad, procede recordar que este Consejo de Estado destacó la importancia de la interoperabilidad de los sistemas informáticos en su dictamen número 45/2021, de 18 de marzo, emitido en relación con el proyecto de reglamento de funcionamiento del sector público por medios electrónicos. Advirtió entonces -y recuerda ahora- que la interoperabilidad no solo es una decisión fundamental adoptada por el legislador de 2015, sino que se erige en una verdadera garantía del usuario de los servicios de información con el fin de posibilitar el tránsito por distintas vías de comunicaciones electrónicas sin barreras ni obstáculos. Por todo ello, nada cabe objetar a la redacción propuesta. En todo caso -y al igual que en la observación al artículo 33- se sugiere incluir una respuesta expresa a esta alegación en el anexo a la memoria.

3) Por último, respecto a la competencia del CCN para la aprobación de instrucciones técnicas de seguridad y guías de seguridad, la Agencia de Ciberseguridad de Cataluña se limita a exigir que las referencias se maticen con una referencia a "las competencias sobre la materia que ostenten las comunidades autónomas".

Estima el Consejo de Estado que la aclaración propuesta no resulta necesaria ya que, como se ha dicho, las competencias estatal y autonómica se mueven en planos distintos. De acuerdo con la jurisprudencia constitucional citada, las competencias autonómicas se ciñen a la protección de las redes y servicios del sector público autonómico, en el ámbito de sus competencias de autoorganización. En cambio, en aquello que afecte a la ciberseguridad nacional será necesario cumplir con la política de seguridad establecida por el Estado.

B) Registro de actividad y análisis de las comunicaciones

El artículo 24 del proyecto, bajo la rúbrica "Registro de actividad y detección de código dañino", tiene el siguiente tenor literal:

"1. Con el propósito de satisfacer el objeto de este real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

2. Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación de las Administraciones públicas, y de conformidad con lo dispuesto en el Reglamento General de Protección de Datos, los sujetos comprendidos en el artículo 2 podrán, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.

3. Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad".

Con carácter general, ya se ha señalado que la Agencia Española de Protección de Datos ha respaldado el contenido de este artículo con fundamento en el artículo 6 del Reglamento General de Protección de Datos. Además, el centro proponente ha aceptado modificar el texto para incluir una referencia expresa a los principios de necesidad y proporcionalidad. Sin embargo, en el informe de la Agencia Española de Protección de Datos se exigía la inclusión en este precepto -o en los anexos- otras garantías derivadas del artículo 5 del Reglamento General de Protección de Datos. En concreto, mencionaba los principios de limitación de la finalidad (que prohíbe el tratamiento de los datos personales para fines distintos), minimización de los datos (que exige identificar los datos personales o la categoría de datos personales que puedan ser tratados) limitación del plazo de conservación.

A pesar de que el anexo a la memoria declara haber acogido todas las observaciones de la Agencia Española de Protección de Datos, no parece que el texto remitido en consulta haya incluido estas garantías adicionales. De haberse omitido, considera el Consejo de Estado que resulta muy conveniente que se recojan expresamente. Por más que en el precepto abunden las remisiones a la normativa aplicable -en particular al Reglamento General de Protección de Datos- como garantía del respeto a los derechos de los usuarios, la sensibilidad de la materia regulada, que afecta al ejercicio de derechos fundamentales, aconseja, a juicio de este Consejo, extremar las cautelas para evitar cualquier riesgo de abuso. Por ello, en línea con lo informado por la Agencia Española de Protección de Datos, se considera necesario incluir una referencia a los principios citados, bien en el proyectado artículo 24, bien en los anexos de la norma.

C) Funciones de la Comisión Sectorial de Administración Electrónica (CSAE)

El artículo 32 de la norma proyectada, que trata del informe del estado de la seguridad, dispone lo siguiente en su apartado primero:

"La Comisión Sectorial de Administración Electrónica recogerá la información relacionada con el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere este real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información comprendidos en el ámbito de aplicación del artículo 2, que se plasmará en el informe correspondiente".

Por otro lado, la disposición adicional segunda, que se refiere al desarrollo del ENS, prevé que corresponderá al Ministerio de Asuntos Económicos y Transformación Digital, "a propuesta de la Comisión Sectorial de Administración Electrónica", la aprobación de las instrucciones técnicas de seguridad de obligado cumplimiento.

La Agencia de Ciberseguridad de Cataluña ha manifestado en el expediente que ninguna de estas previsiones encuentra amparo legal en la disposición adicional novena de la Ley 40/2015 y, por tanto, deben suprimirse o acomodarse a lo previsto en la ley. En cambio, el centro proponente considera que las competencias atribuidas a la CSAE en la Ley 40/2015 no pueden considerarse como numerus clausus y que, en todo caso, las funciones de la norma proyectada se pueden subsumir en las previsiones de la regulación actual.

La regulación de la CSAE encuentra su sede en la disposición adicional novena de la Ley 40/2015, cuyo tenor literal es el siguiente:

"1. La Comisión Sectorial de administración electrónica, dependiente de la Conferencia Sectorial de Administración Pública, es el órgano técnico de cooperación de la Administración General del Estado, de las Administraciones de las Comunidades Autónomas y de las Entidades Locales en materia de administración electrónica.

2. La Comisión Sectorial de la administración electrónica desarrollará, al menos, las siguientes funciones:

a) Asegurar la compatibilidad e interoperabilidad de los sistemas y aplicaciones empleados por las Administraciones Públicas.

b) Impulsar el desarrollo de la administración electrónica en España.

c) Asegurar la cooperación entre las Administraciones Públicas para proporcionar información administrativa clara, actualizada e inequívoca.

3. Cuando por razón de las materias tratadas resulte de interés, podrá invitarse a las organizaciones, corporaciones o agentes sociales que se estime conveniente en cada caso a participar en las deliberaciones de la Comisión Sectorial".

A la luz de la disposición citada, se puede concluir que la Ley 40/2015 concibe a la CSAE como un órgano de naturaleza cooperativa (la cooperación entre Administraciones se repite en los apartados 1 y 2 y el apartado 3 abre la puerta a la participación de otras organizaciones, corporaciones o agentes). Como afirma el departamento consultante, la lista de competencias no está cerrada: el apartado 2 dice que tendrá, "al menos", las funciones que se enumeran, lo que abre la puerta a su ampliación por vía reglamentaria. En este sentido, las nuevas competencias de información y propuesta encajan sin dificultad dentro de las acciones de impulso a la implantación de la Administración electrónica y de garantía de compatibilidad e interoperabilidad entre sistemas y aplicaciones. Es más, la finalidad de las disposiciones proyectadas es, precisamente, dar entrada a la participación de las demás Administraciones territoriales en materia de ciberseguridad. A lo anterior se añade que las nuevas funciones son de apoyo y asistencia a los órganos competentes en cada caso, de modo que no es la CSAE sino que son el CCN y el Ministerio de Asuntos Económicos quienes tienen, respectivamente, la competencia para aprobar el informe del estado de la seguridad y las instrucciones técnicas de seguridad de obligado cumplimiento.

Así las cosas, considera el Consejo de Estado que ni el artículo 32 ni la disposición adicional segunda son contrarias a la disposición adicional novena de la Ley 40/2015.

D) Análisis del impacto presupuestario

La memoria del análisis de impacto normativo, que, como se ha dicho, en líneas generales es muy completa, presenta sin embargo importantes deficiencias en lo que se refiere a la valoración del impacto presupuestario. Esta circunstancia ha sido puesta de manifiesto por varias entidades a lo largo del expediente, además de por la Oficina de Coordinación y Calidad Normativa y el Ministerio de Hacienda.

Aunque el departamento proponente afirma haber acogido varias de estas observaciones, lo cierto es que la memoria remitida a este Consejo no contiene ninguna valoración relevante. El análisis de impactos se limita a una sucinta indicación de que la norma proyectada no conllevará gastos adicionales, "[s]i bien las relativas a la implementación de las medidas de seguridad y demás aspectos regulados por la norma serán atendidos conforme a las debidas partidas presupuestarias al efecto".

Por toda valoración, se indica que la aprobación del real decreto se verá complementada con la inversión destinada a la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos, que responde a necesidades que se relacionan directamente con las iniciativas de los Fondos de Recuperación y Resiliencia, y que será financiado con las partidas presupuestarias y el proyecto de inversión que se indican. Sin embargo, ni este centro ni su creación forman parte del contenido de la norma proyectada, que no se refiere a él en ningún momento. Además, es evidente que una valoración de impacto presupuestario no puede limitarse a listar las partidas presupuestarias aplicables, sino que requiere calcular y explicar los costes que se prevén y su impacto en los presupuestos públicos.

Este análisis del impacto presupuestario resulta a todas luces insuficiente. De entrada, el Consejo de Estado coincide con la Oficina de Coordinación y Calidad Normativa en que la afirmación de que los gastos serán atendidos con las correspondientes partidas presupuestarias resulta irrelevante. Pero, además, resulta especialmente grave que una norma como la proyectada, cuyo ámbito de aplicación se extiende a todo el sector público y a determinadas entidades del sector privado, no incluya ninguna previsión de los costes que las nuevas medidas de seguridad pueden generar. La propia memoria incurre en contradicción, pues en otro momento afirma que "la cadena de suministro de la seguridad a las entidades del sector público (empresas consultoras, integradoras, etc.) verá incrementado el número de sus proyectos por la necesidad de adecuar los sistemas de información concernido al nuevo modelo". Evidentemente, el aumento de proyectos originará gastos en las entidades afectadas, gastos que no se estiman ni siquiera a grandes rasgos.

No se trata de una cuestión menor ni de un aspecto puramente accesorio. Conviene recordar que, en los últimos años, tanto el Tribunal Supremo como el Consejo de Estado han insistido en la importancia de las memorias para explicar el contenido y efectos de las normas, especialmente en su dimensión económica. Desde la sentencia de 27 de noviembre de 2006 (recurso número 51/2005), la jurisprudencia explica que las memorias sirven para proporcionar al titular de la potestad reglamentaria "información sobre los costes que las medidas adoptadas puedan suponer a fin de que, contraponiendo estos con las ventajas que aquellas han de representar, evidenciadas en la memoria justificativa, la decisión se adopte con conocimiento de todos los aspectos, tanto negativos como positivos". Por este motivo, se han anulado normas por insuficiencia de las memorias que las acompañaban (entre otras, sentencias de diciembre de 2011 (recurso número 6507/2009), 18 de junio de 2012 (recurso número 6513/2009), 2 de diciembre de 2016 (recurso número 903/2014), 22 de marzo de 2018 (recurso número 458/2016), 15 de marzo de 2019 (recurso número 618/2017)).

Consecuencia de lo anterior es la necesidad de revisar la memoria para incluir una estimación del impacto presupuestario. Lo mismo cabe decir de la valoración de las cargas administrativas (téngase en cuenta que la norma afecta también a entidades privadas). No se le oculta a este Consejo de Estado que la diversidad de entidades destinatarias de la norma, unida a la urgencia en la tramitación del expediente, dificultan un análisis exhaustivo y detallado de los costes de implantación del nuevo ENS. Sin embargo, es necesario advertir de que, en su redacción actual, la memoria resulta manifiestamente insuficiente en su valoración del impacto presupuestario y las cargas administrativas.

VII

Finalmente, se formulan algunas observaciones de detalle, con el encarecimiento a la autoridad consultante para que lleve a cabo una última revisión del texto para corregir erratas y defectos de puntuación.

a) Preámbulo. En el apartado II, párrafo segundo, se sugiere -en línea con una observación formulada por la Junta de Andalucía- sustituir la mención a "los gobiernos" por una referencia al sector público.

b) Artículo 12 (Política de seguridad y requisitos mínimos de seguridad). Debe revisarse la redacción del apartado 2 del artículo 12, cuya intelección resulta particularmente compleja. Se sugiere dividir el precepto en dos frases independientes y evitar la expresión "que un sector público institucional dado...", que no parece propia de una norma jurídica.

Por otro lado, en el apartado 3, no se comprende el sentido en que se emplea la expresión "ámbitos competenciales" en la última frase.

c) Artículo 16 (Profesionalidad). De acuerdo con una observación formulada por el Ministerio de Universidades, sería preferible referirse genéricamente a "requisitos de formación" y no al "diseño curricular".

d) Artículo 33 (Capacidad de respuesta a incidentes de seguridad). Se sugiere dividir el apartado 2 en varios apartados independientes para regular los distintos supuestos de hecho. Además, debe definirse el acrónimo ESPDEF-CERT que se emplea en dos ocasiones.

e) Disposición adicional segunda (Desarrollo del Esquema Nacional de Seguridad). La disposición no indica cuál es el órgano competente dentro del Ministerio de Asuntos Económicos y Transformación Digital para aprobar las instrucciones técnicas de seguridad, lo que debe corregirse.

f) Disposición adicional tercera (Respeto del principio de "no causar un perjuicio significativo" al medioambiente). No se entiende la finalidad de esta disposición, ni por su escasa conexión con el objeto de la norma proyectada ni por su carácter particular, que contrasta con la vocación de permanencia del ENS. Se sugiere, por ello, considerar su posible supresión. En caso de que el centro proponente opte por mantenerla, sería recomendable aligerar su contenido y, en todo caso, evitar la referencia a las comunicaciones de la Comisión y de las decisiones de ejecución del Consejo como "normativa de desarrollo".

g) Observaciones de redacción. En general, se sugiere eliminar los incisos que carecen de contenido normativo y que responden a otro tipo de escritos (por ejemplo, en el artículo 1.3, suprimir el inciso "por otra parte"). Además, debe unificarse el uso de mayúsculas (especialmente en la expresión "instrucciones técnicas de seguridad"). En el artículo 20, letra a), el adverbio "exclusivamente" resulta redundante, por lo que se sugiere su supresión.

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez consideradas las observaciones formuladas en el presente dictamen, puede V. E. someter al Consejo de Ministros, para su aprobación, el proyecto de Real Decreto sometido a consulta".

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 24 de febrero de 2022

LA SECRETARIA GENERAL,

LA PRESIDENTA,

EXCMA. SRA. VICEPRESIDENTA PRIMERA DEL GOBIERNO Y MINISTRA DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL.

- 1 -