Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
En este artículo, te ofrecemos el artículo escrito por Ramón Terol Gómez, Profesor Titular de Derecho Administrativo de la Universidad de Alicante, para el cuarto número de la Revista Digital «ELEX INSIGHT».
Para leer el nuevo número de la revista de forma gratuita, haz clic aquí. En la misma, cinco expertos del ámbito jurídico analizan en detalle las últimas novedades del sistema legal en España y como las nuevas tecnologías emergentes funcionan a través de ellos.
Mediante la Orden de 7 de junio de 2024, del Vicelehendakari Primero y Consejero de Seguridad del Gobierno Vasco, se regula la elaboración de planes de continuidad en materia de ciberseguridad para ciertas actividades sujetas a la norma vasca de autoprotección, como su propio título indica. Tal norma está contenida en el Decreto 277/2010, de 2 de noviembre, por el que se regulan las obligaciones de autoprotección exigibles a determinadas actividades, centros o establecimientos para hacer frente a situaciones de emergencia, que fue modificado por el Decreto 21/2019, de 12 de febrero.
Es en la indicada norma en la que se establecen obligaciones de autoprotección exigibles a determinadas actividades, centros o establecimientos para hacer frente a situaciones de emergencia, contempla las actividades que deben disponer de planes de autoprotección y los requisitos para su elaboración. Actividades esenciales que están expuestas amenazas de ciberseguridad y cuya continuidad es preciso garantizar anticipándose a los problemas de esa índole que puedan plantearse.
Y a partir de ahí, reconocida la relevancia de las amenazas de ciberseguridad tal y como se explica en el preámbulo de la Orden, en la misma se indica que “parece conveniente arbitrar mecanismos que posibiliten que las actividades de sectores básicos y esenciales obligados a desarrollar planes de autoprotección deban desarrollar también planes de continuidad en materia de ciberseguridad que puedan unificarse en un documento único y común”.
El objeto de la Orden es, por tanto, “regular los planes de continuidad informática para hacer frente a los eventos de la ciberseguridad en actividades, centros, establecimientos o infraestructuras prioritarias de la Comunidad Autónoma de Euskadi”. A tal fin, la Orden se estructura en cuatro artículos, una disposición adicional, una disposición transitoria y una final, seguida de cuatro anexos. Este es su índice:
La Orden, y las obligaciones que impone, es de aplicación “a las actividades de los sectores cuya operación es necesaria para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de la ciudadanía, y el eficaz funcionamiento de las Instituciones de Euskadi y sus Administraciones Públicas, cuando alguno de sus establecimientos este sujeto a
lo establecido en el Decreto 277/2010, de 2 de noviembre, modificado por el Decreto 21/2019, de 12 de febrero, por el que se regulan las obligaciones de autoprotección exigibles a determinadas actividades, centros o establecimientos para hacer frente a situaciones de emergencia” (artículo 2.1).
La concreción de los sectores a los que se hace referencia está en el Anexo I de la Orden, y son los siguientes:
Esta indicación podrá actualizarse por el titular del departamento competente en materia de seguridad del Gobierno Vasco, “en virtud de la transposición que se efectúe de la Directiva (UE) 2022/2555, del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2); así como en virtud de cualquier otra normativa relacionada con estos sectores en materia de ciberseguridad” (artículo 2.2).
Para los titulares de las actividades no incluidas en el señalado ámbito de aplicación, cabe la posibilidad de que se les exija por la Administración competente la elaboración e implantación de planes de continuidad “cuando presenten un especial riesgo o vulnerabilidad” (artículo 2.3). Todo ello sin perjuicio de que podrán también adoptarlos voluntariamente los no obligados (artículo 2.4), quedando “exentos del control administrativo aquellos centros, establecimientos o instalaciones dependientes del Ministerio de Defensa, de Instituciones Penitenciarias, de las Fuerzas y Cuerpos de Seguridad, y Resguardo Aduanero, así como los de los órganos judiciales” (artículo 2.5).
Las obligaciones que se imponen están en el prolijo artículo 4 de la Orden, que otorga especial importancia al denominado “plan de continuidad en materia de ciberseguridad, cuyo contenido mínimo está en el Anexo II de la propia Orden, y que corresponden tanto a las personas titulares de las actividades indicadas (apartado 1), como a la autoridad competente en materia de emergencias y protección civil de la Comunidad Autónoma de Euskadi (apartado 2) y a la Agencia Vasca de ciberseguridad de Euskadi (apartado 3).
Tales obligaciones impuestas por la Orden se consideran “norma mínima o supletoria respecto a las normativas especificas en materia de ciberseguridad” (artículo 3.1.), con la indicación adicional y de alcance práctico consistente en que “Los planes de continuidad previstos en esta Orden y aquellos otros instrumentos de prevención y autoprotección impuestos por otra normativa aplicable, podrán fusionarse en un documento único cuando dicha unión permita evitar duplicaciones innecesarias de la información y la repetición de los trabajos realizados por el titular o la autoridad competente, siempre que se cumplan todos los requisitos esenciales de la presente Orden” (artículo 3.2).
La Orden entró en vigor al día siguiente de su publicación en el Boletín Oficial del
País Vasco, esto es, el 20 de junio de 2024, previéndose que las obligaciones que recoge serán exigibles desde esa fecha para todas las actividades, centros, establecimientos o infraestructuras nuevas, y que “para las ya existentes se da un periodo de carencia igual al periodo de revisión de su Plan de Autoprotección” (Disposición transitoria).
Este blog solo recoge una muestra resumida del contenido que puedes encontrar en el cuarto número de la Revista Digital «ELEX INSIGHT«. Para acceder a todos los números de forma gratuita, visita el siguiente enlace:
🡡 Haz clic para leer 🡡
Si deseas descubrir cómo la inteligencia artificial de ELEX puede transformar tu práctica legal, solicita ahora una DEMO a través de este enlace o programa una reunión con nuestros expertos para aclarar cualquier duda que puedas tener al respecto.