Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.

• Marginal: BOE-A-2023-8109
• Sección: III - Otras Disposiciones
• Emisor: Ministerio de Asuntos Económicos y Transformación Digital
• Rango de Ley: Orden

El marco de la relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos, se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Por otra parte, el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, define el Esquema Nacional de Seguridad, que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de dicha norma, estando constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Esta disposición ha sido desarrollada a través del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

El Real Decreto 311/2022, de 3 de mayo, tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información. Su artículo 12.3 exige que, en la Administración General del Estado, cada ministerio cuente con su política de seguridad, que aprobará la persona titular del Departamento. Dicha política se establecerá con base en los principios básicos recogidos en el capítulo II del real decreto (seguridad como proceso integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua; reevaluación periódica; diferenciación de responsabilidades). Por su parte, su artículo 13 exige que la política de seguridad identifique unos claros responsables de velar por su cumplimiento.

En este marco normativo, la presente orden tiene por objeto la aprobación de la Política de Seguridad de la Información del Ministerio de Asuntos Económicos y Transformación Digital. Para su elaboración se han tenido en cuenta, además de la normativa ya citada, las recomendaciones y guías del Centro Criptológico Nacional (guías STIC-800 relacionadas con el Esquema Nacional de Seguridad).

Desde el punto de vista del contenido ha de destacarse, en primer lugar, el artículo 5 que recoge los principios de la seguridad de la información, tanto los básicos, los cuales habrán de tenerse en cuenta en cualquier actividad relacionada con el uso de los activos de la información, como los particulares, que garantizan el cumplimiento de los primeros. En segundo lugar, ha de mencionarse la creación, en el artículo 7, del Comité de Dirección de Seguridad de la Información, órgano adscrito a la Subsecretaría del Departamento y que tiene entre sus funciones aprobar las propuestas de modificación y actualización permanente que se hagan sobre la Política de Seguridad de la Información. Dicho órgano colegiado será asistido por el grupo de trabajo que se define en el artículo 8. Por otra parte, en los artículos 9 al 13 se definen todos roles y responsabilidades de cada uno de los participantes los procesos de definición, ejecución, y evaluación de las medidas de seguridad que se deben implantar en los órganos y organismos que formen parte del ámbito de aplicación de la Política de Seguridad de la Información. La gestión de los riesgos es la herramienta fundamental para garantizar la seguridad de la información en cualquier organización, y en este sentido el artículo 15 define el proceso de gestión de riesgos como una metodología general, así como las actividades y responsabilidades a la hora de ejecutar los diferentes análisis de riesgos. Además, el artículo 16 define los tres niveles normativos que se utilizarán para articular la Política de Seguridad de la Información, de forma que se pueda disponer de un corpus normativo común para todos los órganos y organismos que formen parte del ámbito de la Política de Seguridad de la Información.

Dentro de los principios particulares ha de resaltarse el de la protección de los datos de carácter personal, que además tiene una regulación específica en el artículo 17, lo que permitirá garantizar de forma consistente en la presente norma, la seguridad de los tratamientos de datos personales en base al artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD). En este sentido, la Disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, reconoce al Esquema Nacional de Seguridad como un instrumento para la implementación de medidas que permitan garantizar la seguridad de los datos de carácter personal.

Por último, cabe reseñar la importancia de que el personal del Ministerio forme parte activa de ejecución de los mecanismos y buenas prácticas para garantizar la seguridad de la información en el ámbito corporativo. En particular, el artículo 19 reconoce la necesidad de que el personal cuente con la información y formación adecuadas, y conozca sus responsabilidades y deberes al respecto.

En la elaboración de la orden se han cumplido los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, y en particular, los principios de necesidad y eficiencia, pues se trata del instrumento más adecuado para garantizar una política de seguridad en la utilización de medios electrónicos que permita una adecuada protección de la información dentro del Ministerio de Asuntos Económicos y Transformación Digital, evitando cargas administrativas innecesarias o accesorias. También se adecua al principio de proporcionalidad, pues no existe otra alternativa menos restrictiva de derechos o de obligaciones. En cuanto a los principios de seguridad jurídica y transparencia, se ha procurado la participación de las partes interesadas y la norma es coherente con el resto del ordenamiento jurídico.

Durante su tramitación se han recabado informes de la Comisión Ministerial de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, de la Agencia Española de Protección de Datos, y de la Secretaría General Técnica del Ministerio de Asuntos Económicos y Transformación Digital.

En su virtud, con la aprobación previa de la Ministra de Hacienda y Función Pública, dispongo:

Artículo 1  Objeto.

Constituye el objeto de esta orden la aprobación de la Política de Seguridad de la Información del Ministerio de Asuntos Económicos y Transformación Digital, en adelante PSI.

Artículo 2  Ámbito de aplicación.

1.  El ámbito de aplicación inicial es el Ministerio de Asuntos Económicos y Transformación Digital. Sin embargo, se podrán adscribir a la presente PSI aquellos organismos públicos y entidades de derecho público vinculados o dependientes del Departamento, que no tengan establecida su propia PSI, y que así lo soliciten a la Subsecretaría de Asuntos Económicos y Transformación Digital.

2.  Tal y como se dispone en el artículo 12.4 del Real Decreto 311/2022, de 3 de mayo, se excluye del ámbito de aplicación de la presente Orden a la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, puesto que dicho órgano ya cuenta con su propia PSI.

3.  La PSI será de obligado cumplimiento para todo el personal que acceda, tanto a los sistemas de información, como a la propia información que sea gestionada por el Departamento, con independencia de cuál sea su destino, adscripción o relación con el mismo. Lo dispuesto en esta norma también será de aplicación a los sistemas de información que traten información clasificada, pudiendo en este caso resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas, derivadas de los compromisos internacionales contraídos por España o de su pertenencia a organismos o foros internacionales.

Artículo 3  Misión del departamento.

El Ministerio de Asuntos Económicos y Transformación Digital, de acuerdo con lo dispuesto en el artículo 1 del Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital, es el departamento de la Administración General del Estado encargado de la propuesta, coordinación y ejecución de la política del Gobierno en materia económica, de apoyo a la empresa y de reformas para la mejora del crecimiento potencial y de la necesaria interlocución en estos asuntos con la Unión Europea y otros Organismos Económicos y Financieros Internacionales; así como de la política de telecomunicaciones y para la transformación digital, en particular impulsando la digitalización de las Administraciones Públicas. Igualmente le corresponde el establecimiento de las disposiciones y directrices necesarias para su funcionamiento, así como el resto de competencias y...