- Inici
- > BOIB, Butlletí Oficial
- > BOIB Núm 164 - 13 / desembre / 2025
- > Pàg. 71579 a 71592
Secció I. Disposicions generals
CONSELL DE GOVERN
Núm. 926513
Decret 62/2025, de 12 de desembre, pel qual s’aprova la política de seguretat de la informació de l’Administració de la Comunitat Autònoma de les Illes Balears
-
Contingut, oficial i autèntic, de la disposició:
Versió PDF
Text
L'article 29 de l'Estatut d'autonomia de les Illes Balears encomana als poders públics impulsar l'accés a les noves tecnologies, a la plena integració en la societat de la informació i a la incorporació dels processos d'innovació.
Són aquests poders públics els responsables de generar la confiança de la ciutadania en l'ús dels mitjans tecnològics en les seves relacions amb les administracions de les Illes Balears. Per aconseguir aquesta confiança, els mitjans tecnològics emprats han de ser segurs.
Amb aquest objectiu, el Decret 97/2006, de 24 de novembre, pel qual es creen i regulen les comissions per a la millora contínua de la seguretat de la informació de l'Administració de la Comunitat Autònoma de les Illes Balears, va crear dins l'àmbit d'aquesta Administració la Comissió Directora de la Seguretat de la Informació i la Comissió Tècnica de la Seguretat de la Informació, encarregades de garantir, dins les funcions respectives, la seguretat dels sistemes d'informació.
Posteriorment, la Llei 4/2011, de 31 de març, de la bona administració i del bon govern de les Illes Balears, reconeix el dret de la ciutadania a fer tràmits i rebre informació per mitjans electrònics com un principi informador de la bona administració i dedica l'article 7 als mitjans electrònics, informàtics i telemàtics.
La consolidació del dret de la ciutadania a relacionar-se amb les administracions per mitjans electrònics l'estableixen la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, i la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, amb la implantació definitiva de l'ús de les tecnologies de la informació i la comunicació dins les administracions públiques, tant per millorar l'eficiència en la gestió com per afavorir les relacions de col·laboració i cooperació entre elles.
Ambdues lleis, juntament amb el Reglament d'actuació i funcionament del sector públic per mitjans electrònics, aprovat pel Reial decret 203/2021, de 30 de març, determinen el marc jurídic per al funcionament electrònic de l'Administració. En aquest context, la digitalització de l'actuació administrativa com a forma habitual de relació amb la ciutadania i entre les administracions demana una exigència de fiabilitat, a fi que la ciutadania pugui dur a terme els tràmits administratius de manera segura. La confiança en els sistemes d'informació s'ha d'estendre a les garanties sobre les comunicacions, el tractament i l'emmagatzematge de la informació.
Així mateix, la Llei 39/2015 esmentada, entre els drets de les persones en les seves relacions amb les administracions públiques que preveu l'article 13, inclou el relatiu a la protecció de les dades personals i, en particular, a la seguretat de les dades que figuren en els fitxers, sistemes i aplicacions de les administracions públiques.
D'altra banda, la Llei 40/2015 estableix en l'article 156 que l'Esquema Nacional de Seguretat té per objecte establir la política de seguretat en la utilització de mitjans electrònics i l'incorpora com a part essencial en la configuració de l'arxiu electrònic dels documents que regula en l'article 46 i en el règim de relacions electròniques i transferències de tecnologia entre les administracions públiques, tal com estableix l'article 158.
El Reial decret 311/2022, de 3 de maig, regula l'Esquema Nacional de Seguretat com el conjunt de principis bàsics i requisits mínims necessaris per a una protecció adequada de la informació tractada i els serveis que presten les entitats que, d'acord amb l'article 2 de la Llei 40/2015, integren el sector públic amb l'objectiu d'assegurar l'accés, la confidencialitat, la integritat, la traçabilitat, l'autenticitat, la disponibilitat i la conservació de les dades, la informació i els serveis emprats per mitjans electrònics que gestionen en l'exercici de les seves competències.
En aquest marc, les tecnologies de la informació i la comunicació constitueixen un instrument estratègic i necessari de digitalització de l'Administració de la Comunitat Autònoma de les Illes Balears i el seu sector públic autonòmic. Per tant, és imprescindible que els sistemes d'informació i de comunicacions s'administrin amb diligència i comptin amb les mesures adequades per protegir-se de qualsevol amenaça amb potencial per incidir en la confidencialitat, la integritat i la disponibilitat de la informació i dels serveis.
L'apartat 1 de l'article 12 del Reial decret 311/2022 esmentat defineix la política de seguretat de la informació com el conjunt de directrius que regeixen la manera en què una organització gestiona i protegeix la informació que tracta i els serveis que presta. L'apartat 2 d'aquest mateix article 12 exigeix que cada administració pública disposi d'una política de seguretat aprovada formalment per l'òrgan competent. Pel que fa als ens del sector públic instrumental, l'article esmentat preveu que es puguin incloure en l'àmbit de la política de seguretat que aprovi l'administració amb què guardin relació de vinculació, dependència o adscripció, quan així ho determinin els òrgans competents en l'exercici de les potestats d'autoorganització.
L'Administració de la Comunitat Autònoma de les Illes Balears compleix aquest mandat amb l'aprovació d'aquest Decret. La política de seguretat que s'aprova és l'instrument que ha de servir de suport a l'Administració per aconseguir els seus objectius en la utilització segura dels sistemes d'informació i de comunicacions, defensar-se de les amenaces, garantir la continuïtat dels sistemes d'informació, minimitzar els riscs de dany i assegurar el compliment eficient dels seus objectius. Amb aquesta finalitat, el Decret determina les mesures de seguretat de naturalesa organitzativa, física i lògica per protegir cada sistema d'informació en l'àmbit de l'Administració de la Comunitat Autònoma, atès que la seguretat, entesa com a procés integral i de millora contínua, comprèn tots els elements tècnics, humans, materials i organitzatius relacionats amb els sistemes d'informació i de comunicacions. Per això, la política de seguretat s'aplica en l'àmbit de l'Administració autonòmica i dels ens del sector públic que no en tenguin aprovada una de pròpia i s'hi adhereixin, i a tots els actius de la informació dels quals siguin titulars o gestors.
La política de seguretat de la informació l'Administració de la Comunitat Autònoma de les Illes Balears constitueix el marc de referència orientat a facilitar la gestió, l'administració i la implementació dels mecanismes i procediments de seguretat que estableix l'Esquema Nacional de Seguretat. Estableix els pilars del cos normatiu de seguretat d'aquesta Administració i l'estructura organitzativa que ha de vetlar perquè es compleixi, i identifica els deures que tenen els distints responsables que s'integren en aquesta estructura.
També en la configuració de la política de seguretat que aprova aquest Decret s'han tingut en consideració les guies del Centre Criptològic Nacional (CCN), especialment les guies CCN-STIC-801 i CCN-STIC-805, les quals orienten les administracions públiques no solament a tenir models de polítiques de la seguretat de la informació, sinó també a determinar les responsabilitats i les funcions dels diferents òrgans de la gestió de la seguretat de la informació, entre els quals hi ha un comitè establert a molt alt nivell, atès que la seguretat de la informació és un procés que pot implicar distints àmbits, fora dels exclusivament tecnològics, com ara els operatius, pressupostaris, legals o de relacions amb les forces de seguretat. Addicionalment, i tenint en compte la possibilitat gens menyspreable que en algun moment, malgrat les proteccions que es vagin desenvolupant, ocorrin incidents de seguretat que poden arribar a ser greus o crítics, el Decret crea uns òrgans de crisi amb unes funcions coincidents amb la guia CCN-CERT BP/20, de bones pràctiques en la gestió de cibercrisi.
Al seu torn, el Reial decret 311/2022 determina que la política de seguretat ha de ser coherent amb el que estableix el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals, i la normativa vigent en aquesta matèria, la qual té caràcter prevalent amb relació a la protecció de dades de caràcter personal en cas de discrepància.
En l'àmbit autonòmic, cal fer referència al Decret 48/2024, de 22 de novembre, pel qual s'aprova la política de protecció de dades personals de l'Administració de la Comunitat Autònoma de les Illes Balears, com a marc de govern i actuació que permet la gestió proactiva de la protecció de les dades de caràcter personal tractades per mitjans electrònics i en suport paper (automatitzats i no automatitzats) en el context de les activitats de tractament de dades personals i els sistemes d'informació de l'Administració de la Comunitat Autònoma de les Illes Balears.
En l'elaboració del Decret s'han observat els principis de bona regulació de l'article 49 de la Llei 1/2019, de 31 de gener, del Govern de les Illes Balears. En concret, s'adequa als principis de necessitat i eficàcia, atès que amb l'aprovació de la política de seguretat de la informació l'Administració de la Comunitat Autònoma es dota d'un marc de protecció en l'ús dels sistemes d'informació dins l'àmbit de l'Administració autonòmica i la seva regulació, que adopta la forma i el rang de decret, és la idònia per assolir els objectius que es volen aconseguir. Així mateix, s'adequa al principi de proporcionalitat, perquè inclou el contingut imprescindible que exigeix l'Esquema Nacional de Seguretat, a fi d'assolir l'objectiu perseguit. D'acord amb el principi d'eficiència, la norma no compta amb càrregues administratives innecessàries o accessòries. S'ha garantit la transparència en la tramitació de la norma i s'ha assegurat la participació de les persones interessades. Igualment, s'ajusta al principi de seguretat jurídica, atès que estableix regles clares amb la finalitat de garantir la millor protecció dels sistemes d'informació i és coherent amb la resta de l'ordenament jurídic, i també al principis de qualitat i simplificació, en la mesura que en l'elaboració d'aquest Decret s'ha seguit el procediment establert legalment, amb respecte als principis de bona regulació, i s'ajusta a les directrius que són d'aplicació en relació amb la forma i l'estructura dels texts normatius.
Per tot això, a proposta del conseller d'Economia, Hisenda i Innovació, i havent-ho considerat el Consell de Govern, en la sessió de dia 12 de desembre de 2025, s'aprova el següent
DECRET
Capítol I Disposicions generals
Article 1 Objecte
Aquest Decret té per objecte aprovar la política de seguretat de la informació de l'Administració de la Comunitat Autònoma de les Illes Balears (PSICAIB), així com el seu marc organitzatiu i de gestió.
Article 2 Àmbit d'aplicació
1. Aquest Decret s'aplica a l'Administració de la Comunitat Autònoma de les Illes Balears.
2. Els ens del sector públic autonòmic han d'aprovar la seva pròpia política de seguretat, que ha de ser coherent amb la PSICAIB i ha de respectar els principis fonamentals que estableix l'article 4 del Decret.
No obstant això, es poden adscriure a la PSICAIB quan així ho determinin els òrgans competents dels ens, en l'exercici de les potestats d'organització. En aquest supòsit, el secretari de l'òrgan competent de l'ens ha de trametre el certificat de l'acord d'adhesió adoptat al secretari del Comitè Director de la Seguretat de la Informació.
3. La PSICAIB s'aplica als actius que operen en els sistemes d'informació dels quals l'Administració autonòmica és titular o té encomanada la gestió.
Article 3 Missió
1. L'Administració de la Comunitat Autònoma de les Illes Balears té com a missió servir amb objectivitat els interessos generals i actuar d'acord amb els principis constitucionals d'eficàcia, de jerarquia, de descentralització, de desconcentració i de coordinació per aconseguir els objectius que estableixen les lleis i l'ordenament jurídic.
2. L'Administració de la Comunitat Autònoma persegueix els objectius següents en matèria de seguretat de la informació:
a) Garantir la confidencialitat, la integritat i l'autenticitat de la informació i la continuïtat en la prestació dels serveis.
b) Implementar mesures de seguretat en funció del risc.
c) Formar i conscienciar a tots els nivells de l'Administració autonòmica respecte de la seguretat de la informació, a fi que totes les persones que intervenen en el procés i els seus responsables jeràrquics tenguin una sensibilitat vers els riscs que poden córrer.
d) Implementar mesures de seguretat que permetin la traçabilitat dels accessos i respectar, entre d'altres, el principi de mínim privilegi, i alhora reforçar també el deure de confidencialitat de les persones usuàries en relació amb la informació que coneixen en exercici de les seves funcions.
e) Desplegar i controlar la seguretat física a fi que els actius de la informació es trobin en àrees segures, protegits per controls d'accés, atesos els riscs detectats.
f) Establir la seguretat en la gestió de les comunicacions, mitjançant els procediments necessaris, per aconseguir que la informació que es transmeti per les xarxes de comunicacions estigui degudament protegida.
g) Controlar l'adquisició, el desenvolupament i el manteniment dels sistemes d'informació en totes les fases del cicle de vida, i garantir-ne la seguretat per defecte.
h) Controlar el compliment de les mesures de seguretat en la prestació dels serveis i mantenir-ne el control en l'adquisició i la incorporació de nous components del sistema.
i) Gestionar els incidents de seguretat per detectar-los, contenir-los, mitigar-los i resoldre'ls correctament, i prendre les mesures necessàries per evitar que es tornin a reproduir.
j) Protegir la informació personal, adoptant les mesures tècniques i organitzatives en atenció als riscs derivats del tractament conforme a la legislació en matèria de protecció de dades.
k) Supervisar de forma continuada el sistema de gestió de la seguretat, i millorar i corregir les ineficiències detectades.
Article 4 Principis fonamentals
1. Els principis són directrius fonamentals de seguretat que s'han de tenir sempre presents en qualsevol activitat relacionada amb l'ús dels actius d'informació.
2. La PSICAIB s'ha de desenvolupar, amb caràcter general, d'acord amb els principis següents:
a) Seguretat com a procés integral. La seguretat s'entén com un procés integral constituït per tots els elements tècnics, humans, materials, jurídics i organitzatius. La seguretat de la informació s'ha de considerar com a part de la gestió operativa habitual i s'ha d'aplicar des del disseny inicial dels sistemes d'informació, ha de proporcionar les funcionalitats mínimes requerides i ha de fer que l'ús ordinari del sistema sigui senzill i segur, de manera que una utilització insegura requereixi un acte conscient de l'usuari. A més, les especificacions de seguretat s'han d'incloure en totes les fases del cicle de vida dels serveis i sistemes, acompanyades dels procediments de control corresponents, i s'ha de conèixer en tot moment l'estat de seguretat dels sistemes en relació amb les especificacions dels fabricants, les vulnerabilitats i les actualitzacions que els afectin, i reaccionar amb diligència per gestionar el risc en vista de l'estat de seguretat.
b) Gestió de la seguretat basada en els riscs. L'anàlisi i la gestió de riscs és part essencial del procés de seguretat i constitueix una activitat contínua i actualitzada. La gestió de riscs permet mantenir un entorn controlat i minimitzar els riscs fins a nivells acceptables. La reducció d'aquests nivells es fa mitjançant el desplegament de mesures de seguretat, que estableixen un equilibri entre la naturalesa de les dades i els tractaments, entre l'impacte i la probabilitat dels riscs als quals estan exposats, i entre l'eficàcia i el cost de les mesures de seguretat.
c) Prevenció, detecció, resposta i conservació. S'han de preveure accions relatives als aspectes de prevenció, detecció i resposta, a fi de minimitzar les vulnerabilitats i aconseguir que les amenaces no es materialitzin o que, en cas de fer-ho, no afectin greument la informació que gestiona el sistema o els serveis que presta. El sistema d'informació ha de garantir la conservació de les dades i de la informació en suport electrònic.
d) Existència de línies de defensa. El sistema d'informació ha de disposar d'una estratègia de protecció constituïda per múltiples capes de seguretat, constituïdes, al seu torn, per mesures de naturalesa organitzativa, física i lògica.
e) Vigilància contínua i reavaluació periòdica. Les mesures de seguretat s'han de reavaluar i actualitzar periòdicament per adequar-ne l'eficàcia a l'evolució constant dels riscs i sistemes de protecció. L'avaluació permanent de l'estat de seguretat ha de servir per mesurar l'evolució del sistema de gestió de seguretat de la informació, així com per detectar vulnerabilitats, deficiències de configuració i activitats o comportaments anòmals i respondre-hi de manera oportuna. La seguretat de la informació ha de ser atesa, revisada i auditada per personal qualificat, diferenciat, dedicat i instruït en totes les fases del cicle de vida dels sistemes d'informació.
f) Responsabilitat diferenciada. En els sistemes d'informació s'ha de diferenciar el responsable de la informació, el responsable del servei, el responsable de seguretat i el responsable del sistema. La responsabilitat de la seguretat dels sistemes d'informació ha d'estar diferenciada de la responsabilitat sobre l'explotació d'aquests sistemes d'informació.
g) Principi de proporcionalitat. La implantació de les mesures que mitiguin els riscs de seguretat dels actius de les tecnologies de la informació i la comunicació s'ha de fer sota un enfocament de proporcionalitat, tant respecte dels costs econòmics i operatius com respecte dels riscs i la gravetat de la informació i dels serveis afectats.
h) Principi de conscienciació i formació. S'han d'articular iniciatives que permetin a les persones usuàries conèixer els seus deures i obligacions pel que fa al tractament segur de la informació. Igualment, s'ha de fomentar la formació específica en matèria de seguretat de les tecnologies de la informació i la comunicació de totes les persones que gestionen i administren sistemes d'informació i de comunicacions.
Article 5 Marc normatiu
1. El marc normatiu en què es desenvolupen les activitats de l'Administració de la Comunitat Autònoma de les Illes Balears en l'àmbit de la seguretat de la informació és el següent:
a) Reglament 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades).
b) Reglament 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE.
c) Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.
d) Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança.
e) Llei 9/2017, de 8 de novembre, de contractes del sector públic, per la qual es transposen a l'ordenament jurídic espanyol les directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014.
f) Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.
g) Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic.
h) Llei 4/2011, de 31 de març, de la bona administració i del bon govern de les Illes Balears.
i) Llei 3/2003, de 26 de març, de règim jurídic de l'Administració de la Comunitat Autònoma de les Illes Balears.
j) Reial decret llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d'informació.
k) Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat.
l) Reial decret 203/2021, de 30 de març, pel qual s'aprova el Reglament d'actuació i funcionament del sector públic per mitjans electrònics.
m) Reial decret 4/2010, de 8 de gener, pel qual es regula l'Esquema Nacional d'Interoperabilitat en l'àmbit de l'administració electrònica.
n) Ordre PCI/487/2019, de 26 d'abril, per la qual es publica l'Estratègia Nacional de Ciberseguretat 2019, aprovada pel Consell de Seguretat Nacional.
o) Decret 10/2025, de 14 de juliol, de la presidenta de les Illes Balears, pel qual s'estableixen les competències i l'estructura orgànica bàsica de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears.
p) Decret 48/2024, de 22 de novembre, pel qual s'aprova la política de protecció de dades personals de l'Administració de la Comunitat Autònoma de les Illes Balears.
q) Decret 24/2022, d'11 de juliol, de la Comissió Superior de Sistemes d'Informació en Tecnologia i Comunicacions.
r) Decret 113/2010, de 5 de novembre, d'accés electrònic als serveis públics de l'Administració de la Comunitat Autònoma de les Illes Balears.
s) Decret 107/2006, de 15 de desembre, de regulació de l'ús de la signatura electrònica en l'àmbit de l'Administració de la Comunitat Autònoma de les Illes Balears.
t) La resta de normativa que complementi, desplegui o substitueixi les anteriors i que es trobi dins l'àmbit d'aplicació de la PSICAIB.
2. Igualment, formen part del marc regulador de la PSICAIB totes les normes a què fa referència el capítol III.
Capítol II Estructura organitzativa
Article 6 Organització de la seguretat de la informació
1. La preservació de la seguretat és un objectiu comú de tot el personal, els òrgans i les unitats de l'Administració de la Comunitat Autònoma de les Illes Balears.
2. L'estructura organitzativa de la gestió de la seguretat de la informació de l'Administració de la Comunitat Autònoma està composta pels elements següents:
a) Comitè Director de la Seguretat de la Informació.
b) Comitè Tècnic de la Seguretat de la Informació.
c) Responsables de la informació.
d) Responsables del servei.
e) Responsables de seguretat.
f) Responsables del sistema.
g) Administradors de la seguretat del sistema.
Article 7 Comitè Director de la Seguretat de la Informació
1. El Comitè Director de la Seguretat de la Informació és l'òrgan col·legiat encarregat de donar l'impuls organitzatiu i normatiu necessari en matèria de seguretat de la informació. El Comitè s'adscriu a la Conselleria d'Economia, Hisenda i Innovació, a través de la Direcció General d'Estratègia Digital i Desenvolupament Tecnològic.
2. Aquest Comitè té la composició següent:
a) La presidència, que ocupa el conseller d'Economia, Hisenda i Innovació.
b) La vicepresidència, que ocupa el director general d'Estratègia Digital i Desenvolupament Tecnològic.
c) Vocals:
— El secretari general de la Conselleria de Presidència, Coordinació de l'Acció de Govern i Cooperació Local.
— El director general de Funció Pública.
— El director general d'Emergències i Interior.
— El director de la Direcció de l'Advocacia de la Comunitat Autònoma.
— L'interventor general de la Comunitat Autònoma.
d) La secretaria, que ocupa el cap del Departament de Ciberseguretat i Telecomunicacions.
3. Poden assistir a la sessió, amb veu però sense vot, els òrgans directius de la conselleria o de l'ens del sector públic autonòmic que promogui la proposta en matèria de seguretat de la informació que, si s'escau, formi part de l'ordre del dia.
4. El president, per iniciativa pròpia o a proposta de qualsevol dels membres, pot convocar, amb veu i sense vot, els òrgans directius diferents del promotor quan es tractin assumptes que afectin les seves competències.
5. El Comitè pot nomenar els assessors que consideri oportuns, amb caràcter permanent o puntual, els quals poden ser convidats a assistir a les sessions, amb veu però sense vot.
6. El vicepresident pot substituir el president en cas de vacant, absència, malaltia o qualsevol altra causa justificada.
7. En els casos de vacant, absència, malaltia i, en general, quan es doni alguna causa justificada, el vicepresident i els vocals poden designar altres persones perquè assisteixin a les sessions amb plenes facultats per exercir les funcions pròpies d'aquests membres. La designació es pot fer entre persones funcionàries amb dependència orgànica del vicepresident o del vocal de què es tracti en cada cas, amb rang mínim de cap de servei, o entre les persones titulars dels òrgans directius de la conselleria de què es tracti.
8. En cas de vacant, absència, malaltia o qualsevol altre impediment justificat del secretari, l'ha de suplir la persona que determini el president del Comitè.
9. S'atribueixen a aquest Comitè les funcions següents:
a) Aprovar la proposta de política de seguretat de la informació i de les modificacions que se'n facin, i elevar-la al conseller d'Economia, Hisenda i Innovació perquè n'impulsi la tramitació.
b) Vetlar pel compliment de la PSICAIB, impulsar el desplegament i el compliment del cos normatiu, i també fer-ne difusió.
c) Elaborar l'estratègia d'evolució de l'organització respecte a la seguretat de la informació.
d) Rebre l'informe consolidat de l'estat de seguretat de l'Administració de la Comunitat Autònoma que elabori el Comitè Tècnic de la Seguretat de la Informació.
e) Resoldre, en darrera instància, els conflictes de responsabilitat en els termes que s'estableixen en l'article 19.
f) Proveir els recursos i els mitjans necessaris per assegurar la conscienciació i la formació en matèria de seguretat de la informació de tot el personal afectat per aquest Decret.
g) Promoure la millora contínua del sistema de gestió de la seguretat de la informació.
h) Implementar les mesures organitzatives de seguretat d'acord amb els plans de millora.
10. El Comitè Director de la Seguretat de la Informació pot encomanar al Comitè Tècnic de la Seguretat de la Informació les tasques necessàries per exercir millor les seves funcions.
11. El Comitè s'ha de reunir de manera ordinària una vegada a l'any i, de manera extraordinària, a petició de manera motivada de qualsevol membre.
12. El Comitè es regeix pel que s'estableix en aquest Decret i pel que disposen els articles 15 a 18 de la Llei 40/2015 i el capítol V del títol II de la Llei 3/2003.
Article 8 Comitè Tècnic de la Seguretat de la Informació
1. El Comitè Tècnic de la Seguretat de la Informació és l'òrgan col·legiat encarregat de coordinar i impulsar els aspectes tècnics en matèria de seguretat de la informació. El Comitè s'adscriu a la Conselleria d'Economia, Hisenda i Innovació, a través de la Direcció General d'Estratègia Digital i Desenvolupament Tecnològic.
2. Aquest Comitè té la composició següent:
a) La presidència, que ocupa el director general d'Estratègia Digital i Desenvolupament Tecnològic.
b) La vicepresidència, que ocupa el director general d'Innovació i Transformació Digital.
c) Vocals:
— El cap del Departament de Ciberseguretat i Telecomunicacions.
— El cap del Departament de Desenvolupament Tecnològic.
— El cap del Departament d'Infraestructures Tecnològiques i Plataformes Corporatives.
— El cap del Departament de l'Oficina d'Administració Digital.
— El cap del Servei de Ciberseguretat.
d) La secretaria, que ocupa el cap del Servei Jurídic d'Administració Digital.
3. El delegat de Protecció de Dades de l'Administració de la Comunitat Autònoma de les Illes Balears hi ha d'assistir amb veu però sense vot quan es tractin qüestions relatives a la protecció de dades de caràcter personal.
4. Poden assistir a la sessió, amb veu però sense vot, els òrgans directius de la conselleria o de l'ens del sector públic autonòmic que promogui la proposta en matèria de seguretat de la informació que, si s'escau, formi part de l'ordre del dia.
5. El president, per iniciativa pròpia o a proposta de qualsevol dels membres, pot convocar, amb veu i sense vot, els òrgans directius diferents del promotor, quan es tractin assumptes que afectin les seves competències.
6. El Comitè pot nomenar els assessors que consideri oportuns, amb caràcter permanent o puntual, i els pot convidar a assistir a les sessions, amb veu però sense vot.
7. El vicepresident substitueix el president en cas de vacant, absència, malaltia o qualsevol altra causa justificada.
8. En els casos de vacant, absència, malaltia i, en general, quan es doni alguna causa justificada, el vicepresident i els vocals poden designar altres persones perquè assisteixin a les sessions amb plenes facultats per exercir les funcions pròpies d'aquests membres. La designació es pot fer entre persones funcionàries amb dependència orgànica del vicepresident o del vocal de què es tracti en cada cas, amb rang mínim de cap de secció.
9. En cas d'absència o qualsevol altre impediment justificat del secretari, l'ha de suplir la persona que determini el president del Comitè.
10. S'atribueixen a aquest Comitè les funcions següents:
a) Elevar la proposta de política de seguretat de la informació de l'Administració de la Comunitat Autònoma de les Illes Balears al Comitè Director de la Seguretat de la Informació, revisar-la anualment i proposar-ne les modificacions que consideri.
b) Revisar, si escau, les propostes de polítiques de seguretat de la informació dels ens del sector públic autonòmic i assabentar-ne el Comitè Director de Seguretat de la Informació.
c) Proposar les normes de segon nivell d'acord amb l'article 14.
d) Proposar al Comitè Director de la Seguretat de la Informació les mesures organitzatives que s'han d'implementar d'acord amb els plans de millora de la seguretat de la informació.
e) Prioritzar les actuacions en matèria de seguretat quan els recursos siguin limitats.
f) Dur a terme les tasques de suport encomanades pel Comitè Director de la Seguretat de la Informació, d'acord amb l'apartat 10 de l'article 7.
g) Elaborar l'informe consolidat de l'estat de seguretat de la informació de l'Administració de la Comunitat Autònoma sobre la base dels informes dels responsables de seguretat, i elevar-lo al Comitè Director de la Seguretat de la Informació.
h) Vetlar perquè la creació i l'ús de serveis horitzontals permetin la reducció de duplicitats i aquests tenguin un funcionament homogeni en els sistemes d'informació.
i) Monitorar els principals riscs residuals que assumeixen els responsables del servei i els responsables de la informació i recomanar possibles actuacions.
j) Promoure auditories periòdiques o autoavaluacions que permetin verificar que es compleixen les obligacions de l'Administració de la Comunitat Autònoma en matèria de seguretat de la informació.
k) Resoldre els conflictes de responsabilitat en els termes que s'estableixen en l'article 19.
l) Aprovar els plans de millora i de continuïtat de la seguretat.
11. El Comitè s'ha de reunir de manera ordinària cada tres mesos i, de manera extraordinària, a petició de manera motivada de qualsevol membre.
12. Els acords s'han d'adoptar per majoria de vots. En cas d'empat, el president té vot de qualitat.
13. El Comitè es regeix pel que s'estableix en aquest Decret i pel que disposen els articles 15 a 18 de la Llei 40/2015 i el capítol V del títol II de la Llei 3/2003.
Article 9 Responsables de la informació
1. El responsable de la informació és la persona que determina els requisits de seguretat de la informació.
2. Aquesta responsabilitat recau en els òrgans directius de les conselleries respecte de la informació tractada en l'àmbit de les seves competències. En el cas dels ens del sector públic instrumental autonòmic adherits a la PSICAIB, aquesta responsabilitat ha de recaure en l'òrgan de direcció que determini l'ens.
3. Són funcions dels responsables de la informació:
a) Aprovar els nivells de seguretat de la informació i valorar els impactes dels incidents que afectin la seguretat de la informació en cadascuna de les dimensions de seguretat que estableix l'Esquema Nacional de Seguretat. Per aprovar-los pot obtenir una proposta del responsable de seguretat i, si escau, del responsable del sistema.
b) Assignar els recursos econòmics i humans necessaris per dur a terme les anàlisis de riscs i els controls compensatoris.
c) Acceptar, juntament amb els responsables del servei, els riscs residuals calculats en l'anàlisi de riscs i fer-ne el seguiment i el control, sens perjudici de la possibilitat de delegar aquesta darrera tasca.
d) Proposar al responsable de seguretat suspendre el tractament de la informació o la prestació del servei corresponent si s'aprecien deficiències greus de seguretat.
e) Aprovar les normes de tercer nivell d'acord amb l'article 14.
f) Exercir qualsevol altra funció prevista per la normativa de seguretat.
Article 10 Responsables del servei
1. El responsable del servei és la persona que determina els requisits de seguretat dels serveis prestats.
2. Aquesta responsabilitat recau en els òrgans directius de les conselleries que gestionin els procediments o tràmits del servei prestat dins l'àmbit de les seves competències. En el cas dels ens del sector públic instrumental autonòmic adherits a la PSICAIB, aquesta responsabilitat ha de recaure en l'òrgan de direcció que determini l'ens.
3. Són funcions dels responsables del servei:
a) Aprovar els nivells de seguretat del servei prestat i valorar els impactes dels incidents que afectin la seguretat de la informació en cadascuna de les dimensions de seguretat que estableix l'Esquema Nacional de Seguretat. Per aprovar-los pot obtenir una proposta del responsable de seguretat i, si escau, del responsable del sistema.
b) Assignar els recursos econòmics i humans necessaris per dur a terme les anàlisis de riscs i els controls compensatoris.
c) Acceptar, juntament amb els responsables de la informació, els riscs residuals calculats en l'anàlisi de riscs i fer-ne el seguiment i el control, sens perjudici de la possibilitat de delegar aquesta darrera tasca.
d) Proposar al responsable de seguretat suspendre la prestació del servei si s'aprecien deficiències greus de seguretat.
e) Aprovar les normes de tercer nivell d'acord amb l'article 14.
f) Exercir qualsevol altra funció prevista per la normativa de seguretat.
Article 11 Responsables de seguretat
1. El responsable de seguretat és la persona que determina les decisions per satisfer els requisits de seguretat de la informació i dels serveis, supervisa la implantació de mesures necessàries per garantir que se satisfan els requisits i informa sobre aquests aspectes.
2. El responsable del servei de cada sistema d'informació ha de nomenar el responsable de seguretat. Quan la gestió de la seguretat d'un sistema d'informació l'assumeixi per raó de competència la Direcció General d'Estratègia Digital i Desenvolupament Tecnològic, el responsable de seguretat ha de ser el cap del Departament de Ciberseguretat i Telecomunicacions, que pot nomenar responsables de seguretat delegats, que han de dur a terme, dins el seu àmbit competencial, les funcions que els ha delegat el responsable de seguretat. Els responsables de seguretat delegats han de mantenir una dependència funcional directa del cap del Departament de Ciberseguretat i Telecomunicacions.
3. El càrrec de responsable de seguretat és incompatible amb els càrrecs de responsable del sistema, del servei i de la informació. En tot cas, no pot haver-hi dependència jeràrquica entre el responsable de seguretat i el responsable del sistema. Aquesta restricció no és aplicable als sistemes d'informació l'objecte principal dels quals sigui la prestació de serveis de seguretat de la informació.
4. Són funcions del responsable de seguretat:
a) Vetlar perquè la seguretat s'apliqui a tots els sistemes d'informació durant tot el cicle de vida.
b) Vetlar pel compliment del cos normatiu definit en l'article 14.
c) Col·laborar en l'elaboració de les normes de segon i tercer nivell definides en l'article 14.
d) Aprovar les normes de tercer nivell d'acord amb l'article 14.
e) Promoure la seguretat de la informació gestionada i dels serveis electrònics prestats pels sistemes d'informació.
f) Mantenir la documentació de seguretat organitzada i actualitzada, i gestionar els mecanismes per accedir-hi, juntament amb el responsable del sistema.
g) Proposar les activitats de conscienciació i formació en matèria de seguretat.
h) Coordinar i fer el seguiment de l'adequació a l'Esquema Nacional de Seguretat.
i) Supervisar el funcionament de les mesures de seguretat de la informació, ja siguin de caràcter tecnològic o organitzatiu, i fer controls per comprovar-ne l'efectivitat.
j) Dur a terme auditories periòdiques per verificar que es compleixen les obligacions en matèria de seguretat de la informació, analitzar els informes d'auditoria i elaborar-ne les conclusions, que s'han de presentar al responsable del sistema perquè adopti les mesures correctores adients.
k) Elaborar informes periòdics de seguretat que incloguin els incidents més rellevants i elevar-los al Comitè Tècnic de la Seguretat de la Informació.
l) Determinar la categoria del sistema d'informació segons el procediment descrit en l'Esquema Nacional de Seguretat i les mesures de seguretat que s'hi han d'aplicar.
m) Dur a terme les anàlisis de riscs i fer el seguiment del procés de gestió del risc.
n) Aprovar la declaració d'aplicabilitat, que comprèn la relació de mesures de seguretat seleccionades per a un sistema d'informació.
o) Elaborar els plans de millora de la seguretat i els plans de continuïtat, juntament amb el responsable del sistema.
p) Aprovar, amb caràcter previ a la implantació, els canvis que impliquin un risc de nivell alt en la seguretat del sistema.
q) Ordenar la suspensió del tractament de la informació o de la prestació del servei corresponent si s'aprecien deficiències greus de seguretat, i informar-ne els responsables de la informació, del servei i del sistema.
r) Analitzar els informes d'autoavaluació i elevar-ne les conclusions al responsable del sistema perquè adopti les mesures correctores adequades.
s) Exercir qualsevol altra funció prevista per la normativa de seguretat.
Article 12 Responsables del sistema
1. El responsable del sistema és l'encarregat de desenvolupar la forma concreta d'implementar la seguretat en el sistema i de supervisar-ne l'operació diària. Pot delegar aquesta darrera tasca en els administradors de la seguretat del sistema.
2. El responsable del servei de cada sistema d'informació ha de nomenar el responsable del sistema. Quan la gestió de la seguretat d'un sistema d'informació l'assumeixi per raó de competència la Direcció General d'Estratègia Digital i Desenvolupament Tecnològic, el responsable del sistema ha de ser el cap del Departament d'Infraestructures Tecnològiques i Plataformes Corporatives, que pot nomenar responsables del sistema delegats, que han de dur a terme, dins el seu àmbit competencial, les funcions que els ha delegat el responsable del sistema. Els responsables del sistema delegats han de mantenir una dependència funcional directa del cap del Departament d'Infraestructures Tecnològiques i Plataformes Corporatives.
3. Són funcions pròpies del responsable del sistema:
a) Operar i mantenir el sistema durant tot el cicle de vida i responsabilitzar-se de les especificacions que tengui, de la instal·lació i de la verificació que funciona correctament.
b) Definir la tipologia i la política de gestió del sistema, i establir els criteris d'ús i els serveis de què disposa.
c) Comprovar que les mesures específiques de seguretat s'integren adequadament dins el marc general de seguretat.
d) Suspendre l'ús de la informació o de la prestació d'un determinat servei si l'informen de deficiències greus de seguretat que puguin afectar la satisfacció dels requisits que s'hagin establert, i informar-ne immediatament els responsables de seguretat, del servei i de la informació.
e) Proposar les normes de tercer nivell d'acord amb l'article 14.
f) Elaborar els plans de millora de la seguretat i els plans de continuïtat, juntament amb el responsable de seguretat.
g) Mantenir la documentació de seguretat organitzada i actualitzada, i gestionar els mecanismes per accedir-hi, juntament amb el responsable de seguretat.
h) Qualsevol altra funció en l'àmbit de la seguretat dels sistemes d'informació que li sigui encomanada a través de la normativa de seguretat.
Article 13 Administradors de la seguretat del sistema
1. Els administradors de la seguretat del sistema són les persones encarregades de la instal·lació i el manteniment d'un sistema d'informació i han d'implantar els procediments i la configuració de seguretat que s'hagi establert en el marc de la política de seguretat.
2. Els administradors de la seguretat del sistema, designats pel responsable de seguretat o pel responsable del sistema, tenen les funcions següents dins el seu àmbit de responsabilitat:
a) Implementar, gestionar i mantenir les mesures de seguretat aplicables al sistema d'informació.
b) Gestionar, configurar i actualitzar el maquinari i el programari en els quals es basen els mecanismes i els serveis de seguretat del sistema d'informació.
c) Gestionar les autoritzacions concedides als usuaris del sistema i monitorar l'activitat desenvolupada en el sistema per comprovar que s'ajusta al que s'ha autoritzat.
d) Aplicar els procediments de seguretat de la informació.
e) Assegurar que es compleixen estrictament els controls de seguretat establerts.
f) Assegurar que s'apliquen els procediments aprovats per gestionar el sistema d'informació.
g) Supervisar les instal·lacions de maquinari i programari, així com les modificacions i millores que s'hi facin, per assegurar que la seguretat no es troba compromesa i que en tot moment s'ajusten a les autoritzacions pertinents.
h) Monitorar l'estat de la seguretat dels sistemes obtingut a través de les eines de gestió d'esdeveniments de seguretat i mecanismes d'auditoria tècnica.
i) Informar els responsables de seguretat i els responsables del sistema de qualsevol anomalia, compromís o vulnerabilitat relacionada amb la seguretat.
j) Col·laborar en la investigació i la resolució d'incidents de seguretat, des que es detecten fins que es resolen.
k) Mantenir la documentació de seguretat organitzada i actualitzada, i gestionar els mecanismes per accedir-hi, juntament amb el responsable de seguretat.
l) Qualsevol altra funció que dins el seu àmbit d'actuació li encomani el responsable de seguretat o el del sistema.
Capítol III Cos normatiu de seguretat de la informació
Article 14 Estructura del cos normatiu
1. El cos normatiu de seguretat de la informació és de compliment obligat i s'ha de basar en els principis fonamentals de l'article 4.
2. El cos normatiu de seguretat de la informació ha d'estar a disposició de totes les persones que necessitin conèixer-lo, en particular de les que emprin, operin o administrin els sistemes d'informació i de comunicacions.
3. El cos normatiu de seguretat de la informació s'estructura en els quatre nivells següents, relacionats jeràrquicament, de manera que cada norma estigui fonamentada en les normes de nivell superior:
a) Primer nivell normatiu: està constituït per la PSICAIB i la normativa de caràcter general sobre la seguretat de la informació.
b) Segon nivell normatiu: està constituït principalment per les normes i les directrius de seguretat generals que, d'acord amb la PSICAIB, determinen què es pot fer i què no des del punt de vista de la seguretat, sense entrar en detalls d'implementació ni tecnològics. En tot cas, els documents han de descriure, com a mínim, les mesures tècniques i organitzatives necessàries per assegurar el control d'accés als sistemes d'informació, i controlar i limitar les autoritzacions i l'accés a les seves funcions.
La documentació d'aquest segon nivell l'ha d'aprovar el director general d'Estratègia Digital i Desenvolupament Tecnològic, a proposta del Comitè Tècnic de la Seguretat de la Informació.
c) Tercer nivell normatiu: està constituït pels documents en què es formalitzen els procediments tècnics, els quals han d'incloure detalls d'implementació i tecnològics, que expliquen com s'han de dur a terme determinades tasques amb respecte als principis de seguretat, així com als processos interns que s'hi estableixin. En concret, els documents han de determinar com dur a terme les tasques habituals, qui ha de fer cada tasca, com identificar i reportar comportaments anòmals i la forma en què s'ha de tractar la informació en funció del nivell de seguretat que requereix.
La documentació d'aquest nivell l'han d'aprovar, segons l'àmbit de competència, els responsables de seguretat o els responsables de la informació o del servei. Es poden aplicar a un àmbit organitzatiu específic o a un sistema d'informació determinat.
d) Quart nivell normatiu: està constituït per documentació de caràcter formatiu, com ara guies o recomanacions, amb la finalitat d'orientar els usuaris en l'aplicació correcta de les mesures de seguretat, en especial proporcionant raonaments on no hi ha procediments precisos.
La documentació d'aquest nivell l'han d'aprovar, segons l'àmbit de competència, els responsables de seguretat o els responsables de la informació o del servei. Es poden aplicar a un àmbit organitzatiu específic o a un sistema d'informació determinat.
Capítol IV Protecció de dades de caràcter personal
Article 15 Mesures de protecció de dades de caràcter personal
1. La seguretat de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o mal accidental, constitueix un dels principis que han de regir el tractament d'aquestes dades.
2. Quan un sistema d'informació tracti dades de caràcter personal, també hi serà d'aplicació la normativa en matèria de protecció de dades personals.
3. En aquests supòsits, el responsable o l'encarregat del tractament, amb l'assessorament del delegat de Protecció de Dades, ha de dur a terme l'anàlisi de riscs o, si escau, l'avaluació de l'impacte relatiu a la protecció de dades, tal com estableixen els articles 24 i 35 del Reglament 2016/679 del Parlament Europeu i del Consell i la Llei orgànica 3/2018.
4. En el cas que l'anàlisi de riscs o l'avaluació de l'impacte a què es refereix l'apartat anterior determini mesures de seguretat agreujades respecte de les que preveu l'Esquema Nacional de Seguretat, són les que s'han d'implementar amb caràcter prevalent en la protecció de dades de caràcter personal.
Capítol V Gestió de la seguretat
Article 16 Gestió de riscs
1. La gestió de riscs s'ha de fer de manera contínua sobre els sistemes d'informació, d'acord amb els principis de gestió de la seguretat basada en els riscs i de vigilància contínua i reavaluació periòdica que defineix l'article 4.
2. El procés de gestió de riscs comprèn les fases de categorització dels sistemes, anàlisi de riscs i selecció de mesures de seguretat que s'han d'aplicar, que han de ser proporcionals als riscs i han d'estar justificades.
3. Les fases de la gestió de riscs esmentades en l'apartat anterior s'han de dur a terme d'acord amb els annexos I i II de l'Esquema Nacional de Seguretat.
4. Els responsables del servei o els responsables de la informació són els encarregats de sol·licitar l'anàlisi de riscs preceptiva.
5. Els responsables de seguretat, una vegada que els responsables de la informació i del servei hagin qualificat la informació i hagin determinat el nivell de seguretat del sistema, han de fer les anàlisis de riscs amb la col·laboració d'aquests responsables, i han d'elaborar la declaració d'aplicabilitat i el conjunt de mesures per garantir la confidencialitat, la integritat, la disponibilitat, l'autenticitat i la traçabilitat de la informació i del servei respectiu. L'anàlisi de riscs ha d'identificar els riscs residuals, sobre la base dels quals han de determinar el tractament adequat i comunicar-lo als responsables de la informació i del servei.
6. Les anàlisis de riscs, així com la manera de tractar-los, s'han de fer també quan es detectin incidents de seguretat o s'identifiquin canvis organitzatius, metodològics, legals o tecnològics que puguin suposar un increment del risc a què es troben exposats els sistemes d'informació.
7. Quan de l'anàlisi de riscs duita a terme en resulti probable que el tractament suposa un risc significatiu per als drets i les llibertats de les persones, conforme a l'article 35 del Reglament (UE) 2016/679, els responsables del tractament, amb l'assessorament del delegat de Protecció de Dades, han de fer prèviament una avaluació d'impacte de les operacions de tractament en la protecció de les dades personals.
Article 17 Gestió d'incidents
1. La Direcció General d'Estratègia Digital i Desenvolupament Tecnològic ha d'implantar els mecanismes apropiats per identificar correctament, registrar i resoldre els incidents de seguretat dels sistemes d'informació de l'Administració de la Comunitat Autònoma.
2. Aquesta Direcció General ha de notificar els incidents de seguretat al Centre Criptològic Nacional (CCN) a través de l'eina desenvolupada per a aquesta finalitat, així com als responsables del tractament de dades personals, de la informació i del servei afectats.
3. Tots els responsables de seguretat dels sistemes d'informació inclosos en l'àmbit d'aplicació de la PSICAIB han de notificar de manera immediata els incidents de seguretat a la Direcció General d'Estratègia Digital i Desenvolupament Tecnològic amb una proposta de categorització de l'incident segons les guies CCN-CERT de gestió d'incidents de la seguretat. La Direcció General esmentada, amb caràcter urgent, ha de convocar el comitè de crisi pertinent d'acord amb l'article 18.
Article 18 Comitès de crisi
1. El Comitè Operatiu de Crisi i el Comitè Superior de Crisi són els òrgans encarregats de gestionar, prendre decisions i coordinar les accions necessàries per fer front als incidents de seguretat en els sistemes d'informació que es puguin qualificar com a crisi.
2. S'ha d'entendre per situació de crisi en un sistema d'informació l'esdeveniment en l'àmbit de la seguretat de la informació amb gran impacte sobre l'activitat de l'organització i que requereix prendre decisions ràpides amb informació limitada.
3. El Comitè Operatiu de Crisi i el Comitè Superior de Crisi han de determinar si s'està davant una crisi o no, quin nivell té, les mesures que s'han d'adoptar i el repartiment de responsabilitats. Així mateix, han de dur a terme la gestió adequada dels grups d'interès i la gestió de la comunicació tant durant les crisis com posteriorment, durant la recuperació.
4. El Comitè Operatiu de Crisi està format pels membres del Comitè Tècnic de la Seguretat de la Informació. El Comitè Superior de Crisi està format pels membres del Comitè Director de la Seguretat de la Informació.
5. El Comitè Operatiu de Crisi ha d'actuar davant els incidents de seguretat qualificats amb un impacte baix, mitjà i alt. En aquests casos no és necessària la declaració de crisi.
6. El Comitè Superior de Crisi ha d'actuar davant els incidents de seguretat qualificats amb un impacte crític i molt alt, amb coordinació permanent amb el Comitè Operatiu de Crisi, i ha de declarar la crisi. El president del Comitè Superior de Crisi ha d'informar permanentment la Presidència del Govern de les Illes Balears sobre l'estat de l'incident i com evoluciona.
7. La coordinació entre els dos comitès es fa a través del cap del Departament de Ciberseguretat i Telecomunicacions i el cap del Servei de Ciberseguretat.
8. Ambdós comitès de crisi poden convocar els responsables de la informació i del servei del sistema d'informació afectat.
Article 19 Resolució de conflictes
1. En cas de conflicte entre els diferents responsables que componen l'estructura organitzativa definida per gestionar la seguretat de la informació, s'han d'atendre les regles següents:
a) Si els responsables en conflicte tenen un superior jeràrquic comú de nivell directiu, aquest ha de resoldre el conflicte. En el cas que no hi hagi un superior jeràrquic comú o que aquest sigui el director general d'Estratègia Digital i Desenvolupament Tecnològic, l'ha de resoldre el Comitè Tècnic de la Seguretat de la Informació.
b) En els casos en què el Comitè Tècnic de la Seguretat de la Informació resolgui el conflicte, qualsevol de les parts en conflicte, a través del seu òrgan directiu, pot apel·lar al Comitè Director de la Seguretat de la Informació perquè resolgui el conflicte en darrera instància.
2. En qualsevol cas, mentre no es pugui aplicar el mecanisme de resolució de conflictes descrit ha de prevaler la decisió del responsable de seguretat que garanteixi un nivell de protecció de la informació i dels serveis més alt.
Article 20 Obligacions de compliment de la política de seguretat
1. La PSICAIB i el cos normatiu de desplegament és de compliment obligat per a tots els òrgans superiors, els òrgans directius i el personal de l'Administració de la Comunitat Autònoma de les Illes Balears; així com per al personal d'altres organismes o entitats que hagin estat autoritzats per accedir als sistemes d'informació de l'Administració autonòmica, amb independència de la destinació, adscripció o relació.
2. Totes les persones a qui els sigui d'aplicació la PSICAIB tenen el deure d'informar el responsable de seguretat corresponent de qualsevol risc significatiu per a la seguretat dels sistemes d'informació protegits i de les violacions de seguretat de les quals tenguin coneixement, d'acord amb els procediments establerts.
3. L'incompliment de la normativa de seguretat pot comportar l'exigència de les responsabilitats administratives i legals corresponents.
Article 21 Terceres parts
1. Quan l'Administració de la Comunitat Autònoma de les Illes Balears empri serveis o tracti informació d'altres entitats, se'ls ha de fer partícips de la PSICAIB i s'han d'establir mecanismes d'informació i coordinació amb els respectius responsables de seguretat.
2. Quan l'Administració de la Comunitat Autònoma presti serveis o cedeixi informació a tercers, se'ls ha de fer partícips de la PSICAIB i de la normativa de seguretat que afecta aquests serveis i informació. En aquest cas, els tercers queden subjectes a les obligacions establertes en aquesta normativa, sens perjudici que puguin desenvolupar els seus propis procediments operatius per satisfer-la.
Article 22 Revisió de la política de seguretat de la informació
El Comitè Tècnic de la Seguretat de la Informació ha de revisar la PSICAIB en intervals planificats o sempre que es produeixin canvis significatius, a fi d'assegurar que mantengui la idoneïtat, l'adequació i l'eficàcia.
Disposició addicional primera Dotació pressupostària
L'aplicació de les previsions contingudes en aquest Decret no suposa cap increment de la despesa pública, atès que s'han d'atendre amb els mitjans materials i humans personals de què disposa l'Administració autonòmica, per la qual cosa no requereix cap dotació pressupostària.
Disposició addicional segona Adaptació de polítiques de seguretat existents
Els ens del sector públic instrumental de l'Administració de la Comunitat Autònoma de les Illes Balears que disposin d'una política de seguretat de la informació pròpia a l'entrada en vigor d'aquest Decret, han de revisar-la i adaptar-la, si escau, per mantenir la coherència amb la política de seguretat de la informació de l'Administració autonòmica i el respecte als principis que s'hi recullen.
Disposició addicional tercera Referències als càrrecs
1. En aquest Decret s'empra la forma no marcada quant al gènere, que coincideix formalment amb la masculina, en totes les referències a òrgans, càrrecs i funcions, de manera que s'han d'entendre referides al masculí o al femení segons la identitat de gènere de la persona titular de qui es tracti.
2. Les referències contingudes en aquest Decret als càrrecs que s'esmenten a continuació s'han d'interpretar de la manera següent:
a) Les referències al director general d'Estratègia Digital i Desenvolupament Tecnològic es fan com a òrgan competent sobre els sistemes d'informació, recursos tecnològics i serveis informàtics i telemàtics de l'Administració de la Comunitat Autònoma; amb funcions d'encàrrec del tractament de les dades personals en relació amb aquests sistemes, recursos i serveis, i competent sobre la seguretat de la informació dels recursos tecnològics.
En el moment que l'Agència Balear de Digitalització, Ciberseguretat i Telecomunicacions assumeixi les competències esmentades en el paràgraf anterior, les referències al director general d'Estratègia Digital i Desenvolupament Tecnològic s'han d'entendre fetes a l'òrgan de direcció de l'Agència que assumeixi aquestes funcions.
b) Les referències al director general de Funció Pública es fan com a òrgan competent en matèria d'ordenació i gestió del personal al servei de l'Administració de la Comunitat Autònoma de les Illes Balears.
c) Les referències al director general d'Emergències i Interior es fan com a òrgan competent en matèria d'emergències, seguretat de les seus de l'Administració autonòmica i coordinació de policies locals.
d) Les referències al director general d'Innovació i Transformació Digital s'entenen com a òrgan competent en la promoció de la cultura de la ciberseguretat a la societat de les Illes Balears, incloent-hi ciutadans, administracions i empreses.
e) Les referències al secretari general de la Conselleria de Presidència, Coordinació de l'Acció de Govern i Cooperació Local s'entenen com a conselleria competent en matèria de coordinació interdepartamental entre els òrgans de conselleries diverses i de coordinació de les matèries de caràcter transversal.
f) Les referències al conseller d'Economia, Hisenda i Innovació s'entenen com a titular de la conselleria d'adscripció de la Direcció General d'Estratègia Digital i Desenvolupament Tecnològic.
g) Les referències al cap del Departament de Ciberseguretat i Telecomunicacions s'entenen com a la persona que exerceix les funcions en matèria de ciberseguretat.
Disposició addicional quarta Constitució del Comitè Director de la Seguretat de la Informació i del Comitè Tècnic de la Seguretat de la Informació
La sessió constitutiva del Comitè Director de la Seguretat de la Informació i del Comitè Tècnic de la Seguretat de la Informació s'ha de dur a terme en el termini de quatre mesos des de l'entrada en vigor d'aquest Decret.
Disposició addicional cinquena Definicions
Els termes o expressions utilitzades en el Decret tenen el significat indicat en el Reial decret 311/2022.
Disposició derogatòria única Normes que es deroguen
Queden derogades totes les disposicions de rang igual o inferior que s'oposin a aquest Decret, el contradiguin o siguin incompatibles amb el que disposa i, en particular, el Decret 97/2006, de 24 de novembre, pel qual es creen i regulen les comissions per a la millora contínua de la seguretat de la informació en l'Administració de la Comunitat Autònoma de les Illes Balears.
Disposició final primera Modificació del Decret 24/2022, d'11 de juliol, de la Comissió Superior de Sistemes d'Informació en Tecnologia i Comunicacions
L'apartat 2 de l'article 6 del Decret 24/2022, d'11 de juliol, de la Comissió Superior de Sistemes d'Informació en Tecnologia i Comunicacions, queda modificat de la manera següent:
2. Correspon a la Comissió Superior de Sistemes d'Informació en Tecnologia i Comunicacions emetre l'informe previ i preceptiu sobre els plecs de prescripcions tècniques per als contractes en matèria de sistemes d'informació de quantia superior a cinc-cents mil euros, i al director general d'Estratègia Digital i Desenvolupament Tecnològic quan no se superi aquest import, en ambdós casos amb la consulta prèvia als caps de departament adscrits a aquesta Direcció General.
Disposició final segona Desplegament
Es faculta el conseller d'Economia, Hisenda i Innovació per dictar les disposicions necessàries per desplegar aquest Decret.
Disposició final tercera Entrada en vigor
Aquest Decret entra en vigor l'endemà de la publicació en el Butlletí Oficial de les Illes Balears.
Palma, en la data de la signatura electrònica (12 de desembre de 2025)
| La presidenta | |
| El conseller d'Economia, Hisenda i Innovació | Margarita Prohens Rigo |
| Antoni Costa Costa |
- Aquesta versió HTML se mostra només a efectes de consulta i no té validesa legal per una versió oficial i autèntica consulti la versió PDF.