Orden CSM/418/2022, de 10 de mayo, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Consumo.

• Marginal: BOE-A-2022-7765
• Sección: III - Otras Disposiciones
• Emisor: Ministerio de Consumo
• Rango de Ley: Orden

Las Tecnologías de la Información y la Comunicación (en adelante, TIC) se han convertido en un mecanismo esencial a la hora de alcanzar los objetivos de cualquier organización pública, suponiendo a su vez, importantes beneficios en cuanto a la eficacia y eficiencia de esta. Por otro lado, la transformación digital del sector público debe incorporar la seguridad de todos los elementos TIC como un elemento más a tener en cuenta: sistemas, comunicaciones, infraestructuras y el propio personal del Ministerio.

Por ello, la seguridad debe considerarse desde una visión integral de los sistemas de información, así como desde un punto de vista global, al cubrir cualquier ámbito que se considere que puede afectar de un modo u otro a la seguridad de los servicios y de la información. Esa necesaria aproximación integral al ámbito de la seguridad de la organización desde el punto de vista TIC proporcionará enfoques preventivos que minimicen la aparición de incidentes (formación, concienciación, medidas técnicas, etc.), como mecanismos de detección y respuesta efectiva a los incidentes a los efectos de garantizar la continuidad de los servicios prestados.

El marco de relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En su artículo 13 se recoge, entre los derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo «a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas».

Por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en su artículo 3, trata los principios generales relativos a las relaciones de las administraciones a través de medios electrónicos. Así mismo, en su artículo 156 se contempla el Esquema Nacional de Interoperabilidad y el Esquema Nacional de Seguridad (en adelante, ENS). Ambas leyes han sido objeto de desarrollo en estas materias en virtud del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

Asimismo, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de las relaciones entre la Administración Pública y los ciudadanos a través de los medios electrónicos, estableciendo los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada y los servicios prestados.

Así, el artículo 12.3 del citado Real Decreto 311/2022, de 3 de mayo, exige que, en la Administración General del Estado, cada ministerio contará con su política de seguridad, que aprobará la persona titular del Departamento. Esta política de seguridad se establecerá de acuerdo con los principios básicos recogidos en el capítulo II del citado Real Decreto, y se desarrollará aplicando los requisitos mínimos referidos en su artículo 12.6, que se refieren a la seguridad como proceso integral, la gestión de la seguridad basada en los riesgos, la prevención, detección, respuesta y conservación, la existencia de líneas de defensa, la vigilancia continua, la reevaluación periódica y la diferenciación de responsabilidades.

Del mismo modo, la política de seguridad de la Información debe referenciar y ser coherente con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; así como en las normas aplicables a la Administración Digital del Departamento que desarrollen o complementen las anteriores y que se encuentren dentro del ámbito de aplicación de la Política de Seguridad de la Información.

En atención a cuanto ha quedado expuesto, el Ministerio de Consumo ha situado los sistemas TIC como elementos estratégicos coadyuvantes para el desarrollo y cumplimiento de las competencias que se le atribuyen. Dichos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad de la información tratada, la integridad, la disponibilidad, la autenticidad, o la trazabilidad de los servicios prestados. Los órganos directivos y las unidades administrativas que conforman el Ministerio deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes.

Así mismo, al disponer de una gran exposición digital a los efectos de proporcionar servicios digitales a ciudadanos y empresas, en diversos ámbitos, así como disponer de procedimientos de control y monitorización del juego online legal e ilegal, protección y promoción de los derechos de las personas consumidoras y usuarias, arbitraje, investigación y control de calidad, vigilancia de mercado, entre otros y todo ello en un entorno de amenazas digitales en constante evolución y de distinta naturaleza, la gestión de la seguridad se convierte en una necesidad para el aseguramiento del ejercicio de las funciones encomendadas, siendo imprescindible la implementación de un plan de seguridad que vele por la calidad de los servicios, y la información en sí misma. Un plan que permita gestionar los riesgos relacionados con las TIC y confiera una estructura organizativa y operativa para poder implantar las medidas requeridas.

Finalmente, tanto el personal del Ministerio de Consumo como las terceras partes que prestan servicio al mismo, deben ser partícipes del citado plan, ya que su participación es requisito imprescindible tanto para su puesta en marcha, como para lograr la mitigación de los riesgos, estableciéndose un entorno coherente en cuanto a lo que el tratamiento de la seguridad se refiere: la dirección estratégica definiendo las medidas a adoptar para controlar y gestionar los riesgos, los técnicos o usuarios finales, encargados de implantar, configurar, tratar y/o manipular los sistemas de información, así como el personal encargado de medir y supervisar la calidad de las medidas implantadas.

Con la presente orden se pretende, por tanto, aprobar la Política de Seguridad de la Información del Ministerio de Consumo, así como establecer la estructura organizativa para definirla, implantarla y gestionarla.

Esta orden cumple con los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. Así, atiende a la necesidad de aprobar la Política de Seguridad de la Información del Ministerio de Consumo, y da cumplimiento al mandato contenido en el artículo 12.3 del Real Decreto 311/2022, de 3 de mayo. Además, es eficaz y proporcionada en el cumplimiento de este propósito sin afectar en forma alguna a los derechos y deberes de la ciudadanía. También contribuye a dotar de mayor seguridad jurídica a la organización y funcionamiento de la Administración General del Estado, en lo que se refiere al Ministerio de Consumo. Cumple también con el principio de transparencia, ya que identifica claramente su propósito, aunque al tratarse de una norma puramente organizativa, su tramitación no ha requerido de la consulta pública previa y de los trámites de audiencia e información pública. No obstante, su memoria ofrece una explicación completa de su contenido. Finalmente, es también adecuada al principio de eficiencia, ya que no impone cargas administrativas.

Durante su tramitación, se han recabado los informes de la Comisión Ministerial de Administración Digital del Ministerio de Consumo y de la Agencia Española de Protección de Datos.

En virtud de lo anterior, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:

Artículo 1  Objeto y ámbito de aplicación.

1.  Constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (en adelante, PSI) en el ámbito de la Administración Digital del Ministerio de Consumo, así como el establecimiento del marco organizativo global en materia de Seguridad de la Información del Departamento.

2.  La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Departamento que no tengan establecida su propia política de seguridad, siendo aplicable a los activos empleados por el Departamento en la prestación de los...