- Inicio
- > BOIB, Boletín Oficial
- > BOIB Núm. 164 - 13 / Diciembre / 2025
- > Pág. 72789 a 72802
Sección I. Disposiciones generales
CONSEJO DE GOBIERNO
Núm. 926513
Decreto 62/2025, de 12 de diciembre, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de las Illes Balears
-
Contenido, oficial y auténtico, de la disposición:
Versión PDF
Texto
El artículo 29 del Estatuto de Autonomía de las Illes Balears encomienda a los poderes públicos impulsar el acceso a las nuevas tecnologías, a la plena integración en la sociedad de la información y a la incorporación de los procesos de innovación.
Son estos poderes públicos los responsables de generar la confianza de la ciudadanía en el uso de los medios tecnológicos en sus relaciones con las administraciones de las Illes Balears. Para conseguir esta confianza, los medios tecnológicos utilizados deben ser seguros.
Con este objetivo, el Decreto 97/2006, de 24 de noviembre, por el que se crean y regulan las Comisiones para la mejora continua de la seguridad de la información de la Administración de la Comunidad Autónoma de las Illes Balears, creó dentro del ámbito de dicha Administración la Comisión Directora de la Seguridad de la Información y la Comisión Técnica de la Seguridad de la Información, encargadas de garantizar, dentro de sus respectivas funciones, la seguridad de los sistemas de información.
Posteriormente, la Ley 4/2011, de 31 de marzo, de la buena administración y del buen gobierno de las Illes Balears, reconoce el derecho de la ciudadanía a hacer trámites y recibir información por medios electrónicos como un principio informador de la buena administración y dedica el artículo 7 a los medios electrónicos, informáticos y telemáticos.
La consolidación del derecho de la ciudadanía a relacionarse con las administraciones por medios electrónicos la establecen la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con la implantación definitiva del uso de las tecnologías de la información y la comunicación dentro de las administraciones públicas, tanto para mejorar la eficiencia en la gestión como para favorecer las relaciones de colaboración y cooperación entre ellas.
Ambas leyes, junto con el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo, determinan el marco jurídico para el funcionamiento electrónico de la Administración. En este contexto, la digitalización de la actuación administrativa como forma habitual de relación con la ciudadanía y entre las administraciones demanda una exigencia de fiabilidad, a fin de que la ciudadanía pueda llevar a cabo los trámites administrativos de manera segura. La confianza en los sistemas de información debe extenderse a las garantías sobre las comunicaciones, el tratamiento y el almacenamiento de la información.
Asimismo, la citada Ley 39/2015, entre los derechos de las personas en sus relaciones con las administraciones públicas previstos en el artículo 13, incluye lo relativo a la protección de los datos personales y, en particular, a la seguridad de los datos que figuran en los ficheros, sistemas y aplicaciones de las administraciones públicas.
Por otra parte, la Ley 40/2015 establece en el artículo 156 que el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y lo incorpora como parte esencial en la configuración del archivo electrónico de los documentos regulado en el artículo 46 y en el régimen de relaciones electrónicas y transferencias de tecnología entre las administraciones públicas, tal como establece el artículo 158.
El Real Decreto 311/2022, de 3 de mayo, regula el Esquema Nacional de Seguridad como el conjunto de principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades que, de acuerdo con el artículo 2 de la Ley 40/2015, integran el sector público con el objetivo de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionan en el ejercicio de sus competencias.
En este marco, las tecnologías de la información y la comunicación constituyen un instrumento estratégico y necesario de digitalización de la Administración de la Comunidad Autónoma de las Illes Balears y su sector público autonómico. Por lo tanto, es imprescindible que los sistemas de información y de comunicaciones se administren con diligencia y cuenten con las medidas adecuadas para protegerse de cualquier amenaza con potencial para incidir en la confidencialidad, la integridad y la disponibilidad de la información y de los servicios.
El apartado 1 del artículo 12 del mencionado Real Decreto 311/2022 define la política de seguridad de la información como el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. El apartado 2 de este mismo artículo 12 exige que cada administración pública disponga de una política de seguridad aprobada formalmente por el órgano competente. En cuanto a los entes del sector público instrumental, el citado artículo prevé que se puedan incluir en el ámbito de la política de seguridad que apruebe la administración con la que guarden relación de vinculación, dependencia o adscripción, cuando así lo determinen los órganos competentes en el ejercicio de las potestades de autoorganización.
La Administración de la Comunidad Autónoma de las Illes Balears cumple dicho mandato con la aprobación de este Decreto. La política de seguridad que se aprueba es el instrumento que debe servir de apoyo a la Administración para conseguir sus objetivos en la utilización segura de los sistemas de información y de comunicaciones, defenderse de las amenazas, garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el cumplimiento eficiente de sus objetivos. Con esta finalidad, el Decreto determina las medidas de seguridad de naturaleza organizativa, física y lógica para proteger cada sistema de información en el ámbito de la Administración de la Comunidad Autónoma, dado que la seguridad, entendida como proceso integral y de mejora continua, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y de comunicaciones. Por ello, la política de seguridad se aplica en el ámbito de la Administración autonómica y de los entes del sector público que no tengan aprobada una propia y se adhieran a esta, y a todos los activos de la información de los que sean titulares o gestores.
La Política de Seguridad de la Información Administración de la Comunidad Autónoma de las Illes Balears constituye el marco de referencia orientado a facilitar la gestión, la administración y la implementación de los mecanismos y procedimientos de seguridad establecidos en el Esquema Nacional de Seguridad. Establece los pilares del cuerpo normativo de seguridad de esta Administración y la estructura organizativa que debe velar por su cumplimiento, e identifica los deberes que tienen los distintos responsables que se integran en dicha estructura.
También en la configuración de la política de seguridad que aprueba este Decreto se han tenido en consideración las guías del Centro Criptológico Nacional (CCN), especialmente las guías CCN-STIC-801 y CCN-STIC-805, las cuales orientan a las administraciones públicas no solo a tener modelos de políticas de la seguridad de la información, sino también a determinar las responsabilidades y las funciones de los diferentes órganos de la gestión de la seguridad de la información, entre los que se encuentra un comité establecido a muy alto nivel, dado que la seguridad de la información es un proceso que puede implicar a distintos ámbitos, fuera de los exclusivamente tecnológicos, como los operativos, presupuestarios, legales o de relaciones con las fuerzas de seguridad. Adicionalmente, y teniendo en cuenta la posibilidad nada despreciable de que, en algún momento, a pesar de las protecciones que se vayan desarrollando, ocurran incidentes de seguridad que pueden llegar a ser graves o críticos, el Decreto crea unos órganos de crisis con unas funciones coincidentes con la guía CCN-CERT BP/20, de buenas prácticas en la gestión de cibercrisis.
A su vez, el Real Decreto 311/2022 determina que la política de seguridad debe ser coherente con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y la normativa vigente en esta materia, la cual tiene carácter prevalente con relación a la protección de datos de carácter personal en caso de discrepancia.
En el ámbito autonómico, hay que hacer referencia al Decreto 48/2024, de 22 de noviembre, por el que se aprueba la Política de Protección de Datos Personales de la Administración de la Comunidad Autónoma de las Illes Balears, como marco de gobierno y actuación que permite la gestión proactiva de la protección de los datos de carácter personal tratados por medios electrónicos y en soporte papel (automatizados y no automatizados) en el contexto de las actividades de tratamiento de datos personales y los sistemas de información de la Administración de la Comunidad Autónoma de las Illes Balears.
En la elaboración del Decreto se han observado los principios de buena regulación del artículo 49 de la Ley 1/2019, de 31 de enero, del Gobierno de las Illes Balears. En concreto, se adecua a los principios de necesidad y eficacia, dado que con la aprobación de la Política de Seguridad de la Información la Administración de la Comunidad Autónoma se dota de un marco de protección en el uso de los sistemas de información dentro del ámbito de la Administración autonómica y su regulación, que adopta la forma y el rango de decreto, es la idónea para alcanzar los objetivos que se quieren conseguir.
Asimismo, se adecua al principio de proporcionalidad, porque incluye el contenido imprescindible que exige el Esquema Nacional de Seguridad, con el fin de alcanzar el objetivo perseguido.
De acuerdo con el principio de eficiencia, la norma no cuenta con cargas administrativas innecesarias o accesorias. Se ha garantizado la transparencia en la tramitación de la norma y se ha asegurado la participación de las personas interesadas. Igualmente, se ajusta al principio de seguridad jurídica, dado que establece reglas claras con la finalidad de garantizar la mejor protección de los sistemas de información y es coherente con el resto del ordenamiento jurídico, así como a los principios de calidad y simplificación, en la medida en que en la elaboración de este Decreto se ha seguido el procedimiento establecido legalmente, con respeto a los principios de buena regulación, y se ajusta a las directrices que son de aplicación en relación con la forma y la estructura de los textos normativos.
Por todo ello, a propuesta del consejero de Economía, Hacienda e Innovación, y habiéndolo considerado el Consejo de Gobierno, en la sesión de 12 de diciembre de 2025, se aprueba el siguiente
DECRETO
Capítulo I Disposiciones generales
Artículo 1 Objeto
Este Decreto tiene por objeto aprobar la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de las Illes Balears (PSICAIB), así como su marco organizativo y de gestión.
Artículo 2 Ámbito de aplicación
1. Este Decreto se aplica a la Administración de la Comunidad Autónoma de las Illes Balears.
2. Los entes del sector público autonómico aprobarán su propia política de seguridad, que debe ser coherente con la PSICAIB y debe respetar los principios fundamentales establecidos en el artículo 4 del Decreto.
No obstante, pueden adscribirse a la PSICAIB cuando así lo determinen los órganos competentes de los entes, en el ejercicio de las potestades de organización. En este caso, el secretario del órgano competente del ente remitirá el certificado del acuerdo de adhesión adoptado al secretario del Comité Director de la Seguridad de la Información.
3. La PSICAIB se aplica a los activos que operan en los sistemas de información de los que la Administración autonómica es titular o tiene encomendada la gestión.
Artículo 3 Misión
1. La Administración de la Comunidad Autónoma de las Illes Balears tiene como misión servir con objetividad los intereses generales y actuar de acuerdo con los principios constitucionales de eficacia, jerarquía, descentralización, desconcentración y coordinación para conseguir los objetivos que establecen las leyes y el ordenamiento jurídico.
2. La Administración de la Comunidad Autónoma persigue los siguientes objetivos en materia de seguridad de la información:
a) Garantizar la confidencialidad, la integridad y la autenticidad de la información y la continuidad en la prestación de los servicios.
b) Implementar medidas de seguridad en función del riesgo.
c) Formar y concienciar a todos los niveles de la Administración autonómica respecto de la seguridad de la información, a fin de que todas las personas que intervienen en el proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que pueden correr.
d) Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio de mínimo privilegio, y al mismo tiempo reforzar también el deber de confidencialidad de las personas usuarias en relación con la información que conocen en ejercicio de sus funciones.
e) Desplegar y controlar la seguridad física a fin de que los activos de la información se encuentren en áreas seguras, protegidos por controles de acceso, dados los riesgos detectados.
f) Establecer la seguridad en la gestión de las comunicaciones, mediante los procedimientos necesarios, para conseguir que la información que se transmita por las redes de comunicaciones esté debidamente protegida.
g) Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida, y garantizar su seguridad por defecto.
h) Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios y mantener su control en la adquisición e incorporación de nuevos componentes del sistema.
i) Gestionar los incidentes de seguridad para detectarlos, contenerlos, mitigarlos y resolverlos correctamente, y tomar las medidas necesarias para evitar que se vuelvan a reproducir.
j) Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
k) Supervisar de forma continuada el sistema de gestión de la seguridad, y mejorar y corregir las ineficiencias detectadas.
Artículo 4 Principios fundamentales
1. Los principios son directrices fundamentales de seguridad que deben tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información.
2. La PSICAIB se desarrollará, con carácter general, de acuerdo con los siguientes principios:
a) Seguridad como proceso integral. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos. La seguridad de la información debe considerarse como parte de la gestión operativa habitual y se aplicará desde el diseño inicial de los sistemas de información, proporcionará las funcionalidades mínimas requeridas y hará que el uso ordinario del sistema sea sencillo y seguro, de manera que una utilización insegura requiera un acto consciente del usuario. Además, las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los procedimientos de control correspondientes, y deberá conocerse en todo momento el estado de seguridad de los sistemas en relación con las especificaciones de los fabricantes, las vulnerabilidades y las actualizaciones que les afecten, y reaccionar con diligencia para gestionar el riesgo en vista del estado de seguridad.
b) Gestión de la seguridad basada en los riesgos. El análisis y la gestión de riesgos es parte esencial del proceso de seguridad y constituye una actividad continua y actualizada. La gestión de riesgos permitirá mantener un entorno controlado y minimizar los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establezcan un equilibrio entre la naturaleza de los datos y los tratamientos, entre el impacto y la probabilidad de los riesgos a los que están expuestos, y entre la eficacia y el coste de las medidas de seguridad.
c) Prevención, detección, respuesta y conservación. Se deben prever acciones relativas a los aspectos de prevención, detección y respuesta, con el fin de minimizar las vulnerabilidades y conseguir que las amenazas no se materialicen o que, en caso de hacerlo, no afecten gravemente a la información que gestiona el sistema o a los servicios que presta. El sistema de información garantizará la conservación de los datos y de la información en soporte electrónico.
d) Existencia de líneas de defensa. El sistema de información debe disponer de una estrategia de protección constituida por múltiples capas de seguridad, constituidas, a su vez, por medidas de naturaleza organizativa, física y lógica.
e) Vigilancia continua y reevaluación periódica. Las medidas de seguridad deben reevaluarse y actualizarse periódicamente para adecuar su eficacia a la evolución constante de los riesgos y sistemas de protección. La evaluación permanente del estado de seguridad servirá para medir la evolución del sistema de gestión de seguridad de la información, así como para detectar vulnerabilidades, deficiencias de configuración y actividades o comportamientos anómalos y responder a ella de manera oportuna. La seguridad de la información será atendida, revisada y auditada por personal cualificado, diferenciado, dedicado e instruido en todas las fases del ciclo de vida de los sistemas de información.
f) Responsabilidad diferenciada. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de seguridad y el responsable del sistema. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de estos sistemas de información.
g) Principio de proporcionalidad. La implantación de las medidas que mitiguen los riesgos de seguridad de los activos de las tecnologías de la información y la comunicación debe hacerse bajo un enfoque de proporcionalidad, tanto respecto de los costes económicos y operativos como respecto de los riesgos y la gravedad de la información y de los servicios afectados.
h) Principio de concienciación y formación. Se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. Igualmente, se fomentará la formación específica en materia de seguridad de las tecnologías de la información y la comunicación de todas las personas que gestionan y administran sistemas de información y de comunicaciones.
Artículo 5 Marco normativo
1. El marco normativo en el que se desarrollan las actividades de la Administración de la Comunidad Autónoma de las Illes Balears en el ámbito de la seguridad de la información es el siguiente:
a) Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
b) Reglamento 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
c) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
d) Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
e) Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
f) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
g) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
h) Ley 4/2011, de 31 de marzo, de la buena administración y del buen gobierno de las Illes Balears.
i) Ley 3/2003, de 26 de marzo, de Régimen Jurídico de la Administración de la Comunidad Autónoma de las Illes Balears.
j) Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
k) Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
l) Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
m) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
n) Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional.
o) Decreto 10/2025, de 14 de julio, de la presidenta de las Illes Balears, por el que se establecen las competencias y la estructura orgánica básica de las consejerías de la Administración de la Comunidad Autónoma de las Illes Balears.
p) Decreto 48/2024, de 22 de noviembre, por el que se aprueba la Política de Protección de Datos Personales de la Administración de la Comunidad Autónoma de las Illes Balears.
q) Decreto 24/2022, de 11 de julio, de la Comisión Superior de Sistemas de Información en Tecnología y Comunicaciones.
r) Decreto 113/2010, de 5 de noviembre, de acceso electrónico a los servicios públicos de la Administración de la Comunidad Autónoma de las Illes Balears.
s) Decreto 107/2006, de 15 de diciembre, de regulación del uso de la firma electrónica en el ámbito de la Administración de la Comunidad Autónoma de las Illes Balears.
t) El resto de normativa que complemente, desarrolle o sustituya a las anteriores y que se encuentre dentro del ámbito de aplicación de la PSICAIB.
2. Igualmente, forman parte del marco regulador de la PSICAIB todas las normas a que hace referencia el capítulo III.
Capítulo II Estructura organizativa
Artículo 6 Organización de la seguridad de la información
1. La preservación de la seguridad es un objetivo común de todo el personal, órganos y unidades de la Administración de la Comunidad Autónoma de las Illes Balears.
2. La estructura organizativa de la gestión de la seguridad de la información de la Administración de la Comunidad Autónoma está compuesta por los siguientes elementos:
a) Comité Director de la Seguridad de la Información.
b) Comité Técnico de la Seguridad de la Información.
c) Responsables de la información.
d) Responsables del servicio.
e) Responsables de seguridad.
f) Responsables del sistema.
g) Administradores de la seguridad del sistema.
Artículo 7 Comité Director de la Seguridad de la Información
1. El Comité Director de la Seguridad de la Información es el órgano colegiado encargado de dar el impulso organizativo y normativo necesario en materia de seguridad de la información. El Comité se adscribe a la Consejería de Economía, Hacienda e Innovación, a través de la Dirección General de Estrategia Digital y Desarrollo Tecnológico.
2. Este Comité tiene la siguiente composición:
a) La presidencia, ocupada por el consejero de Economía, Hacienda e Innovación.
b) La vicepresidencia, ocupada por el director general de Estrategia Digital y Desarrollo Tecnológico.
c) Vocales:
— El secretario general de la Consejería de Presidencia, Coordinación de la Acción de Gobierno y Cooperación Local.
— El director general de Función Pública.
— El director general de Emergencias e Interior.
— El director de la Dirección de la Abogacía de la Comunidad Autónoma.
— El interventor general de la Comunidad Autónoma.
d) La secretaría, ocupada por el jefe del Departamento de Ciberseguridad y Telecomunicaciones.
3. Podrán asistir a la sesión, con voz pero sin voto, los órganos directivos de la consejería o del ente del sector público autonómico que promueva la propuesta en materia de seguridad de la información que, en su caso, forme parte del orden del día.
4. El presidente, por iniciativa propia o a propuesta de cualquiera de los miembros, podrá convocar, con voz y sin voto, a los órganos directivos diferentes del promotor cuando se traten asuntos que afecten a sus competencias.
5. El Comité podrá nombrar a los asesores que considere oportunos, con carácter permanente o puntual, los cuales podrán ser invitados a asistir a las sesiones, con voz pero sin voto.
6. El vicepresidente podrá sustituir al presidente en caso de vacante, ausencia, enfermedad o cualquier otra causa justificada.
7. En los casos de vacante, ausencia, enfermedad y, en general, cuando se dé alguna causa justificada, el vicepresidente y los vocales podrán designar a otras personas para que asistan a las sesiones con plenas facultades para ejercer las funciones propias de estos miembros. La designación se podrá hacer entre personas funcionarias con dependencia orgánica del vicepresidente o del vocal de que se trate en cada caso, con rango mínimo de jefe de servicio, o entre las personas titulares de los órganos directivos de la consejería de que se trate.
8. En caso de vacante, ausencia, enfermedad o cualquier otro impedimento justificado del secretario, deberá suplirlo la persona que determine el presidente del Comité.
9. Se atribuyen a este Comité las siguientes funciones:
a) Aprobar la propuesta de política de seguridad de la información y de las modificaciones que se realicen, y elevarla al consejero de Economía, Hacienda e Innovación para que impulse su tramitación.
b) Velar por el cumplimiento de la PSICAIB, impulsar el desarrollo y el cumplimiento del cuerpo normativo, así como hacer difusión.
c) Elaborar la estrategia de evolución de la organización respecto a la seguridad de la información.
d) Recibir el informe consolidado del estado de seguridad de la Administración de la Comunidad Autónoma que elabore el Comité Técnico de la Seguridad de la Información.
e) Resolver, en última instancia, los conflictos de responsabilidad en los términos establecidos en el artículo 19.
f) Proveer los recursos y los medios necesarios para asegurar la concienciación y la formación en materia de seguridad de la información de todo el personal afectado por este Decreto.
g) Promover la mejora continua del sistema de gestión de la seguridad de la información.
h) Implementar las medidas organizativas de seguridad de acuerdo con los planes de mejora.
10. El Comité Director de la Seguridad de la Información podrá encomendar al Comité Técnico de la Seguridad de la Información las tareas necesarias para ejercer mejor sus funciones.
11. El Comité se reunirá de manera ordinaria una vez al año y, de manera extraordinaria, a petición motivada de cualquier miembro.
12. El Comité se rige por lo establecido en este Decreto y por lo dispuesto en los artículos 15 a 18 de la Ley 40/2015 y el capítulo V del título II de la Ley 3/2003.
Artículo 8 Comité Técnico de la Seguridad de la Información
1. El Comité Técnico de la Seguridad de la Información es el órgano colegiado encargado de coordinar e impulsar los aspectos técnicos en materia de seguridad de la información. El Comité se adscribe a la Consejería de Economía, Hacienda e Innovación, a través de la Dirección General de Estrategia Digital y Desarrollo Tecnológico.
2. Este Comité tiene la siguiente composición:
a) La presidencia, ocupada por el director general de Estrategia Digital y Desarrollo Tecnológico.
b) La vicepresidencia, ocupada por el director general de Innovación y Transformación Digital.
c) Vocales:
— El jefe del Departamento de Ciberseguridad y Telecomunicaciones.
— El jefe del Departamento de Desarrollo Tecnológico.
— El jefe del Departamento de Infraestructuras Tecnológicas y Plataformas Corporativas.
— El jefe del Departamento de la Oficina de Administración Digital.
— El jefe del Servicio de Ciberseguridad.
d) La secretaría, ocupada por el jefe del Servicio Jurídico de Administración Digital.
3. El delegado de Protección de Datos de la Administración de la Comunidad Autónoma de las Illes Balears asistirá con voz pero sin voto cuando se traten cuestiones relativas a la protección de datos de carácter personal.
4. Podrán asistir a la sesión, con voz pero sin voto, los órganos directivos de la consejería o del ente del sector público autonómico que promueva la propuesta en materia de seguridad de la información que, en su caso, forme parte del orden del día.
5. El presidente, por iniciativa propia o a propuesta de cualquiera de los miembros, podrá convocar, con voz y sin voto, los órganos directivos diferentes del promotor, cuando se traten asuntos que afecten a sus competencias.
6. El Comité podrá nombrar a los asesores que considere oportunos, con carácter permanente o puntual, y les podrá invitar a asistir a las sesiones, con voz pero sin voto.
7. El vicepresidente sustituirá al presidente en caso de vacante, ausencia, enfermedad o cualquier otra causa justificada.
8. En los casos de vacante, ausencia, enfermedad y, en general, cuando se dé alguna causa justificada, el vicepresidente y los vocales podrán designar a otras personas para que asistan a las sesiones con plenas facultades para ejercer las funciones propias de estos miembros. La designación se podrá hacer entre personas funcionarias con dependencia orgánica del vicepresidente o del vocal de que se trate en cada caso, con rango mínimo de jefe de sección.
9. En caso de ausencia o cualquier otro impedimento justificado del secretario, lo suplirá la persona que determine el presidente del Comité.
10. Se atribuyen a este Comité las siguientes funciones:
a) Elevar la propuesta de política de seguridad de la información de la Administración de la Comunidad Autónoma de las Illes Balears al Comité Director de la Seguridad de la Información, revisarla anualmente y proponer las modificaciones que considere.
b) Revisar, si procede, las propuestas de políticas de seguridad de la información de los entes del sector público autonómico e informar al Comité Director de Seguridad de la Información.
c) Proponer las normas de segundo nivel de acuerdo con el artículo 14.
d) Proponer al Comité Director de la Seguridad de la Información las medidas organizativas que deben implementarse de acuerdo con los planes de mejora de la seguridad de la información.
e) Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
f) Llevar a cabo las tareas de apoyo encomendadas por el Comité Director de la Seguridad de la Información, de acuerdo con el apartado 10 del artículo 7.
g) Elaborar el informe consolidado del estado de seguridad de la información de la Administración de la Comunidad Autónoma con base en los informes de los responsables de seguridad, y elevarlo al Comité Director de la Seguridad de la Información.
h) Velar por que la creación y el uso de servicios horizontales permitan la reducción de duplicidades y estos tengan un funcionamiento homogéneo en los sistemas de información.
i) Monitorizar los principales riesgos residuales que asumen los responsables del servicio y los responsables de la información y recomendar posibles actuaciones.
j) Promover auditorías periódicas o autoevaluaciones que permitan verificar que se cumplen las obligaciones de la Administración de la Comunidad Autónoma en materia de seguridad de la información.
k) Resolver los conflictos de responsabilidad en los términos establecidos en el artículo 19.
l) Aprobar los planes de mejora y de continuidad de la seguridad.
11. El Comité se reunirá de manera ordinaria cada tres meses y, de manera extraordinaria, a petición motivada de cualquier miembro.
12. Los acuerdos se adoptarán por mayoría de votos. En caso de empate, el presidente tendrá voto de calidad.
13. El Comité se rige por lo establecido en este Decreto y por lo dispuesto en los artículos 15 a 18 de la Ley 40/2015 y el capítulo V del título II de la Ley 3/2003.
Artículo 9 Responsables de la información
1. El responsable de la información es la persona que determina los requisitos de seguridad de la información.
2. Esta responsabilidad recae en los órganos directivos de las consejerías respecto de la información tratada en el ámbito de sus competencias. En el caso de los entes del sector público instrumental autonómico adheridos a la PSICAIB, esta responsabilidad recaerá en el órgano de dirección que determine el ente.
3. Son funciones de los responsables de la información:
a) Aprobar los niveles de seguridad de la información y valorar los impactos de los incidentes que afecten a la seguridad de la información en cada una de las dimensiones de seguridad que establece el Esquema Nacional de Seguridad. Para aprobarlos puede obtener una propuesta del responsable de seguridad y, si procede, del responsable del sistema.
b) Asignar los recursos económicos y humanos necesarios para llevar a cabo los análisis de riesgos y los controles compensatorios.
c) Aceptar, junto con los responsables del servicio, los riesgos residuales calculados en el análisis de riesgos y realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta última tarea.
d) Proponer al responsable de seguridad suspender el tratamiento de la información o la prestación del servicio correspondiente si se aprecian deficiencias graves de seguridad.
e) Aprobar las normas de tercer nivel de acuerdo con el artículo 14.
f) Ejercer cualquier otra función prevista por la normativa de seguridad.
Artículo 10 Responsables del servicio
1. El responsable del servicio es la persona que determina los requisitos de seguridad de los servicios prestados.
2. Esta responsabilidad recae en los órganos directivos de las consejerías que gestionen los procedimientos o trámites del servicio prestado dentro del ámbito de sus competencias. En el caso de los entes del sector público instrumental autonómico adheridos a la PSICAIB, esta responsabilidad recaerá en el órgano de dirección que determine el ente.
3. Son funciones de los responsables del servicio:
a) Aprobar los niveles de seguridad del servicio prestado y valorar los impactos de los incidentes que afecten a la seguridad de la información en cada una de las dimensiones de seguridad que establece el Esquema Nacional de Seguridad. Para aprobarlos puede obtener una propuesta del responsable de seguridad y, si procede, del responsable del sistema.
b) Asignar los recursos económicos y humanos necesarios para llevar a cabo los análisis de riesgos y los controles compensatorios.
c) Aceptar, junto con los responsables de la información, los riesgos residuales calculados en el análisis de riesgos y realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta última tarea.
d) Proponer al responsable de seguridad suspender la prestación del servicio si se aprecian deficiencias graves de seguridad.
e) Aprobar las normas de tercer nivel de acuerdo con el artículo 14.
f) Ejercer cualquier otra función prevista por la normativa de seguridad.
Artículo 11 Responsables de seguridad
1. El responsable de seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisa la implantación de medidas necesarias para garantizar que se satisfacen los requisitos e informa sobre estos aspectos.
2. El responsable del servicio de cada sistema de información nombrará al responsable de seguridad. Cuando la gestión de la seguridad de un sistema de información la asuma por razón de competencia la Dirección General de Estrategia Digital y Desarrollo Tecnológico, el responsable de seguridad será el jefe del Departamento de Ciberseguridad y Telecomunicaciones, que podrá nombrar responsables de seguridad delegados, que llevarán a cabo, dentro de su ámbito competencial, las funciones que les ha delegado el responsable de seguridad. Los responsables de seguridad delegados mantendrán una dependencia funcional directa del jefe del Departamento de Ciberseguridad y Telecomunicaciones.
3. El cargo de responsable de seguridad es incompatible con los cargos de responsable del sistema, del servicio y de la información. En todo caso, no puede haber dependencia jerárquica entre el responsable de seguridad y el responsable del sistema. Esta restricción no es aplicable a los sistemas de información cuyo objeto principal sea la prestación de servicios de seguridad de la información.
4. Son funciones del responsable de seguridad:
a) Velar por que la seguridad se aplique a todos los sistemas de información durante todo el ciclo de vida.
b) Velar por el cumplimiento del cuerpo normativo definido en el artículo 14.
c) Colaborar en la elaboración de las normas de segundo y tercer nivel definidas en el artículo 14.
d) Aprobar las normas de tercer nivel de acuerdo con el artículo 14.
e) Promover la seguridad de la información gestionada y de los servicios electrónicos prestados por los sistemas de información.
f) Mantener la documentación de seguridad organizada y actualizada, y gestionar los mecanismos para acceder a la misma, junto con el responsable del sistema.
g) Proponer las actividades de concienciación y formación en materia de seguridad.
h) Coordinar y hacer el seguimiento de la adecuación al Esquema Nacional de Seguridad.
i) Supervisar el funcionamiento de las medidas de seguridad de la información, ya sean de carácter tecnológico u organizativo, y realizar controles para comprobar su efectividad.
j) Llevar a cabo auditorías periódicas para verificar que se cumplen las obligaciones en materia de seguridad de la información, analizar los informes de auditoría y elaborar sus conclusiones, que se presentarán al responsable del sistema para que adopte las medidas correctoras adecuadas.
k) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes y elevarlos al Comité Técnico de la Seguridad de la Información.
l) Determinar la categoría del sistema de información según el procedimiento descrito en el Esquema Nacional de Seguridad y las medidas de seguridad a aplicar.
m) Llevar a cabo los análisis de riesgos y hacer el seguimiento del proceso de gestión del riesgo.
n) Aprobar la declaración de aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema de información.
o) Elaborar los planes de mejora de la seguridad y los planes de continuidad, junto con el responsable del sistema.
p) Aprobar, con carácter previo a la implantación, los cambios que impliquen un riesgo de nivel alto en la seguridad del sistema.
q) Ordenar la suspensión del tratamiento de la información o de la prestación del servicio correspondiente si se aprecian deficiencias graves de seguridad, e informar a los responsables de la información, del servicio y del sistema.
r) Analizar los informes de autoevaluación y elevar sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
s) Ejercer cualquier otra función prevista por la normativa de seguridad.
Artículo 12 Responsables del sistema
1. El responsable del sistema es el encargado de desarrollar la forma concreta de implementar la seguridad en el sistema y de supervisar su operación diaria. Puede delegar esta última tarea en los administradores de la seguridad del sistema.
2. El responsable del servicio de cada sistema de información nombrará al responsable del sistema. Cuando la gestión de la seguridad de un sistema de información la asuma por razón de competencia la Dirección General de Estrategia Digital y Desarrollo Tecnológico, el responsable del sistema será el jefe del Departamento de Infraestructuras Tecnológicas y Plataformas Corporativas, que podrá nombrar responsables del sistema delegados, que llevarán a cabo, dentro de su ámbito competencial, las funciones que les ha delegado el responsable del sistema. Los responsables del sistema delegados mantendrán una dependencia funcional directa del jefe del Departamento de Infraestructuras Tecnológicas y Plataformas Corporativas.
3. Son funciones propias del responsable del sistema:
a) Operar y mantener el sistema durante todo el ciclo de vida y responsabilizarse de sus especificaciones, instalación y verificación de que funciona correctamente.
b) Definir la tipología y la política de gestión del sistema, y establecer los criterios de uso y los servicios de que dispone.
c) Comprobar que las medidas específicas de seguridad se integran adecuadamente dentro del marco general de seguridad.
d) Suspender el uso de la información o de la prestación de un determinado servicio si le informan de deficiencias graves de seguridad que puedan afectar a la satisfacción de los requisitos que se hayan establecido, e informar inmediatamente a los responsables de seguridad, del servicio y de la información.
e) Proponer las normas de tercer nivel de acuerdo con el artículo 14.
f) Elaborar los planes de mejora de la seguridad y los planes de continuidad, junto con el responsable de seguridad.
g) Mantener la documentación de seguridad organizada y actualizada, y gestionar los mecanismos para acceder a la misma, junto con el responsable de seguridad.
h) Cualquier otra función en el ámbito de la seguridad de los sistemas de información que le sea encomendada a través de la normativa de seguridad.
Artículo 13 Administradores de la seguridad del sistema
1. Los administradores de la seguridad del sistema son las personas encargadas de la instalación y el mantenimiento de un sistema de información y deben implantar los procedimientos y la configuración de seguridad que se haya establecido en el marco de la política de seguridad.
2. Los administradores de la seguridad del sistema, designados por el responsable de seguridad o por el responsable del sistema, tienen las funciones siguientes dentro de su ámbito de responsabilidad:
a) Implementar, gestionar y mantener las medidas de seguridad aplicables al sistema de información.
b) Gestionar, configurar y actualizar los equipos y las aplicaciones en los que se basan los mecanismos y los servicios de seguridad del sistema de información.
c) Gestionar las autorizaciones concedidas a los usuarios del sistema y monitorizar la actividad desarrollada en el sistema para comprobar que se ajusta a lo autorizado.
d) Aplicar los procedimientos de seguridad de la información.
e) Asegurar que se cumplen estrictamente los controles de seguridad establecidos.
f) Asegurar que se aplican los procedimientos aprobados para gestionar el sistema de información.
g) Supervisar las instalaciones de los equipos y las aplicaciones, así como sus modificaciones y mejoras, para asegurar que la seguridad no se encuentra comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
h) Monitorear el estado de la seguridad de los sistemas obtenido a través de las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
i) Informar a los responsables de seguridad y a los responsables del sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
j) Colaborar en la investigación y la resolución de incidentes de seguridad, desde que se detectan hasta que se resuelven.
k) Mantener la documentación de seguridad organizada y actualizada, y gestionar los mecanismos para acceder a la misma, junto con el responsable de seguridad.
l) Cualquier otra función que dentro de su ámbito de actuación le encomiende el responsable de seguridad o el del sistema.
Capítulo III Cuerpo normativo de seguridad de la información
Artículo 14 Estructura del cuerpo normativo
1. El cuerpo normativo de seguridad de la información es de obligado cumplimiento y debe basarse en los principios fundamentales del artículo 4.
2. El cuerpo normativo de seguridad de la información estará a disposición de todas las personas que necesiten conocerlo, en particular de las que empleen, operen o administren los sistemas de información y de comunicaciones.
3. El cuerpo normativo de seguridad de la información se estructura en los cuatro niveles siguientes, relacionados jerárquicamente, de manera que cada norma esté fundamentada en las normas de nivel superior:
a) Primer nivel normativo: está constituido por la PSICAIB y la normativa de carácter general sobre la seguridad de la información.
b) Segundo nivel normativo: está constituido principalmente por las normas y las directrices de seguridad generales que, de acuerdo con la PSICAIB, determinan qué se puede hacer y qué no desde el punto de vista de la seguridad, sin entrar en detalles de implementación ni tecnológicos. En todo caso, los documentos describirán, como mínimo, las medidas técnicas y organizativas necesarias para asegurar el control de acceso a los sistemas de información, y controlar y limitar las autorizaciones y el acceso a sus funciones.
La documentación de este segundo nivel la aprobará el director general de Estrategia Digital y Desarrollo Tecnológico, a propuesta del Comité Técnico de la Seguridad de la Información.
c) Tercer nivel normativo: está constituido por los documentos en los que se formalizan los procedimientos técnicos, los cuales deberán incluir detalles de implementación y tecnológicos, que expliquen cómo deben llevarse a cabo determinadas tareas con respeto a los principios de seguridad, así como a los procesos internos que se establezcan. En concreto, los documentos determinarán cómo llevar a cabo las tareas habituales, quién debe realizar cada tarea, cómo identificar y reportar comportamientos anómalos y la forma en que se debe tratar la información en función del nivel de seguridad que requiere.
La documentación de este nivel la aprobarán, según el ámbito de competencia, los responsables de seguridad o los responsables de la información o del servicio. Se podrán aplicar a un ámbito organizativo específico o a un sistema de información determinado.
d) Cuarto nivel normativo: está constituido por documentación de carácter formativo, como guías o recomendaciones, con la finalidad de orientar a los usuarios en la aplicación correcta de las medidas de seguridad, en especial proporcionando razonamientos donde no hay procedimientos precisos.
La documentación de este nivel la aprobarán, según el ámbito de competencia, los responsables de seguridad o los responsables de la información o del servicio. Se podrán aplicar a un ámbito organizativo específico o a un sistema de información determinado.
Capítulo IV Protección de datos de carácter personal
Artículo 15 Medidas de protección de datos de carácter personal
1. La seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, constituye uno de los principios que deben regir el tratamiento de estos datos.
2. Cuando un sistema de información trate datos de carácter personal, también será de aplicación la normativa en materia de protección de datos personales.
3. En estos supuestos, el responsable o el encargado del tratamiento, con el asesoramiento del delegado de Protección de Datos, llevará a cabo el análisis de riesgos o, en su caso, la evaluación del impacto relativo a la protección de datos, tal y como establecen los artículos 24 y 35 del Reglamento 2016/679 del Parlamento Europeo y del Consejo y la Ley Orgánica 3/2018.
4. En el caso de que el análisis de riesgos o la evaluación del impacto a que se refiere el apartado anterior determine medidas de seguridad agravadas respecto de las previstas en el Esquema Nacional de Seguridad, son aquellas las que deben implementarse con carácter prevalente en la protección de datos de carácter personal.
Capítulo V Gestión de la seguridad
Artículo 16 Gestión de riesgos
1. La gestión de riesgos debe hacerse de manera continua sobre los sistemas de información, de acuerdo con los principios de gestión de la seguridad basada en los riesgos y de vigilancia continua y reevaluación periódica definidos en el artículo 4.
2. El proceso de gestión de riesgos comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que serán proporcionales a los riesgos y deberán estar justificadas.
3. Las fases de la gestión de riesgos mencionadas en el apartado anterior se llevarán a cabo de acuerdo con los anexos I y II del Esquema Nacional de Seguridad.
4. Los responsables del servicio o los responsables de la información son los encargados de solicitar el análisis de riesgos preceptivo.
5. Los responsables de seguridad, una vez que los responsables de la información y del servicio hayan calificado la información y hayan determinado el nivel de seguridad del sistema, realizarán los análisis de riesgos con la colaboración de estos responsables, y elaborarán la declaración de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad de la información y del servicio respectivo. El análisis de riesgos deberá identificar los riesgos residuales, sobre cuya base determinarán el tratamiento adecuado y lo comunicarán a los responsables de la información y del servicio.
6. Los análisis de riesgos, así como la manera de tratarlos, deben realizarse también cuando se detecten incidentes de seguridad o se identifiquen cambios organizativos, metodológicos, legales o tecnológicos que puedan suponer un incremento del riesgo al que se encuentran expuestos los sistemas de información.
7. Cuando del análisis de riesgos llevado a cabo resulte probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas, conforme al artículo 35 del Reglamento (UE) 2016/679, los responsables del tratamiento, con el asesoramiento del delegado de Protección de Datos, deberán realizar previamente una evaluación de impacto de las operaciones de tratamiento en la protección de los datos personales.
Artículo 17 Gestión de incidentes
1. La Dirección General de Estrategia Digital y Desarrollo Tecnológico implantará los mecanismos apropiados para identificar correctamente, registrar y resolver los incidentes de seguridad de los sistemas de información de la Administración de la Comunidad Autónoma.
2. Esta Dirección General notificar´á los incidentes de seguridad al Centro Criptológico Nacional (CCN) a través de la herramienta desarrollada para esta finalidad, así como a los responsables del tratamiento de datos personales, de la información y del servicio afectados.
3. Todos los responsables de seguridad de los sistemas de información incluidos en el ámbito de aplicación de la PSICAIB notificarán de manera inmediata los incidentes de seguridad a la Dirección General de Estrategia Digital y Desarrollo Tecnológico con una propuesta de categorización del incidente según las guías CCN-CERT de gestión de incidentes de la seguridad. La citada Dirección General, con carácter urgente, convocará al comité de crisis pertinente de acuerdo con el artículo 18.
Artículo 18 Comités de crisis
1. El Comité Operativo de Crisis y el Comité Superior de Crisis son los órganos encargados de gestionar, tomar decisiones y coordinar las acciones necesarias para hacer frente a los incidentes de seguridad en los sistemas de información que se puedan calificar como crisis.
2. Debe entenderse por situación de crisis en un sistema de información el evento en el ámbito de la seguridad de la información con gran impacto sobre la actividad de la organización y que requiere tomar decisiones rápidas con información limitada.
3. El Comité Operativo de Crisis y el Comité Superior de Crisis determinarán si se está ante una crisis o no, qué nivel tiene, las medidas que se deben adoptar y el reparto de responsabilidades. Asimismo, llevarán a cabo la gestión adecuada de los grupos de interés y la gestión de la comunicación tanto durante las crisis como posteriormente, durante la recuperación.
4. El Comité Operativo de Crisis está formado por los miembros del Comité Técnico de la Seguridad de la Información. El Comité Superior de Crisis está formado por los miembros del Comité Director de la Seguridad de la Información.
5. El Comité Operativo de Crisis actuará ante los incidentes de seguridad calificados con un impacto bajo, medio y alto. En estos casos no es necesaria la declaración de crisis.
6. El Comité Superior de Crisis actuará ante los incidentes de seguridad calificados con un impacto crítico y muy alto, en coordinación permanente con el Comité Operativo de Crisis, y debe declarar la crisis. El presidente del Comité Superior de Crisis informará permanentemente a la Presidencia del Gobierno de las Illes Balears sobre el estado del incidente y cómo evoluciona.
7. La coordinación entre los dos comités se realiza a través del jefe del Departamento de Ciberseguridad y Telecomunicaciones y el jefe del Servicio de Ciberseguridad.
8. Ambos comités de crisis podrán convocar a los responsables de la información y del servicio del sistema de información afectado.
Artículo 19 Resolución de conflictos
1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa definida para gestionar la seguridad de la información, deberán atenderse las siguientes reglas:
a) Si los responsables en conflicto tienen un superior jerárquico común de nivel directivo, este debe resolver el conflicto. En el caso de que no haya un superior jerárquico común o que este sea el director general de Estrategia Digital y Desarrollo Tecnológico, lo resolverá el Comité Técnico de la Seguridad de la Información.
b) En los casos en que el Comité Técnico de la Seguridad de la Información resuelva el conflicto, cualquiera de las partes en conflicto, a través de su órgano directivo, podrá apelar al Comité Director de la Seguridad de la Información para que resuelva el conflicto en última instancia.
2. En cualquier caso, mientras no se pueda aplicar el mecanismo de resolución de conflictos descrito prevalecerá la decisión del responsable de seguridad que garantice un nivel de protección de la información y de los servicios más alto.
Artículo 20 Obligaciones de cumplimiento de la política de seguridad
1. La PSICAIB y el cuerpo normativo de desarrollo es de obligado cumplimiento para todos los órganos superiores, los órganos directivos y el personal de la Administración de la Comunidad Autónoma de las Illes Balears; así como para el personal de otros organismos o entidades que hayan sido autorizados para acceder a los sistemas de información de la Administración autonómica, con independencia del destino, adscripción o relación.
2. Todas las personas a quienes les sea de aplicación la PSICAIB tienen el deber de informar al responsable de seguridad correspondiente de cualquier riesgo significativo para la seguridad de los sistemas de información protegidos y de las violaciones de seguridad de las que tengan conocimiento, de acuerdo con los procedimientos establecidos.
3. El incumplimiento de la normativa de seguridad puede conllevar la exigencia de las responsabilidades administrativas y legales correspondientes.
Artículo 21 Terceras partes
1. Cuando la Administración de la Comunidad Autónoma de las Illes Balears utilice servicios o trate información de otras entidades, se las hará partícipes de la PSICAIB y se establecerán mecanismos de información y coordinación con los respectivos responsables de seguridad.
2. Cuando la Administración de la Comunidad Autónoma preste servicios o ceda información a terceros, se les hará partícipes de la PSICAIB y de la normativa de seguridad que afecta a estos servicios e información. En este caso, los terceros quedarán sujetos a las obligaciones establecidas en esta normativa, sin perjuicio de que puedan desarrollar sus propios procedimientos operativos para satisfacerla.
Artículo 22 Revisión de la Política de Seguridad de la Información
El Comité Técnico de la Seguridad de la Información revisará la PSICAIB en intervalos planificados o siempre que se produzcan cambios significativos, a fin de asegurar que mantenga la idoneidad, la adecuación y la eficacia.
Disposición adicional primera Dotación presupuestaria
La aplicación de las previsiones contenidas en este Decreto no supone ningún incremento del gasto público, dado que deben atenderse con los medios materiales y humanos personales de que dispone la Administración autonómica, por lo que no requiere ninguna dotación presupuestaria.
Disposición adicional segunda Adaptación de políticas de seguridad existentes
Los entes del sector público instrumental de la Administración de la Comunidad Autónoma de las Illes Balears que dispongan de una política de seguridad de la información propia a la entrada en vigor de este Decreto, deben revisarla y adaptarla, si procede, para mantener la coherencia con la Política de Seguridad de la Información de la Administración autonómica y el respeto a los principios que en ella se recogen.
Disposición adicional tercera Referencias a los cargos
1. En este Decreto se emplea la forma no marcada en cuanto al género, que coincide formalmente con la masculina, en todas las referencias a órganos, cargos y funciones, de manera que deben entenderse referidas al masculino o al femenino según la identidad de género de la persona titular de quien se trate.
2. Las referencias contenidas en este Decreto a los cargos que se mencionan a continuación se interpretarán de la siguiente manera:
a) Las referencias al director general de Estrategia Digital y Desarrollo Tecnológico se hacen como órgano competente sobre los sistemas de información, recursos tecnológicos y servicios informáticos y telemáticos de la Administración de la Comunidad Autónoma; con funciones de encargo del tratamiento de los datos personales en relación con estos sistemas, recursos y servicios, y competente sobre la seguridad de la información de los recursos tecnológicos.
En el momento que la Agencia Balear de Digitalización, Ciberseguridad y Telecomunicaciones asuma las competencias mencionadas en el párrafo anterior, las referencias al director general de Estrategia Digital y Desarrollo Tecnológico deben entenderse hechas al órgano de dirección de la Agencia que asuma estas funciones.
b) Las referencias al director general de Función Pública se hacen como órgano competente en materia de ordenación y gestión del personal al servicio de la Administración de la Comunidad Autónoma de las Illes Balears.
c) Las referencias al director general de Emergencias e Interior se hacen como órgano competente en materia de emergencias, seguridad de las sedes de la Administración autonómica y coordinación de policías locales.
d) Las referencias al director general de Innovación y Transformación Digital se entienden como órgano competente en la promoción de la cultura de la ciberseguridad en la sociedad de las Illes Balears, incluyendo ciudadanos, administraciones y empresas.
e) Las referencias al secretario general de la Consejería de Presidencia, Coordinación de la Acción de Gobierno y Cooperación Local se entienden como consejería competente en materia de coordinación interdepartamental entre los órganos de consejerías diversas y de coordinación de las materias de carácter transversal.
f) Las referencias al consejero de Economía, Hacienda e Innovación se entienden como titular de la consejería de adscripción de la Dirección General de Estrategia Digital y Desarrollo Tecnológico.
g) Las referencias al jefe del Departamento de Ciberseguridad y Telecomunicaciones se entienden como la persona que ejerce las funciones en materia de ciberseguridad.
Disposición adicional cuarta Constitución del Comité Director de la Seguridad de la Información y del Comité Técnico de la Seguridad de la Información
La sesión constitutiva del Comité Director de la Seguridad de la Información y del Comité Técnico de la Seguridad de la Información debe llevarse a cabo en el plazo de cuatro meses desde la entrada en vigor de este Decreto.
Disposición adicional quinta Definiciones
Los términos o expresiones utilizadas en el Decreto tienen el significado indicado en el Real Decreto 311/2022.
Disposición derogatoria única Normas que se derogan
Quedan derogadas todas las disposiciones de rango igual o inferior que se opongan a este Decreto, lo contradigan o sean incompatibles con lo dispuesto y, en particular, el Decreto 97/2006, de 24 de noviembre, por el que se crean y regulan las comisiones para la mejora continua de la seguridad de la información en la Administración de la Comunidad Autónoma de las Illes Balears.
Disposición final primera Modificación del Decreto 24/2022, de 11 de julio, de la Comisión Superior de Sistemas de Información en Tecnología y Comunicaciones
El apartado 2 del artículo 6 del Decreto 24/2022, de 11 de julio, de la Comisión Superior de Sistemas de Información en Tecnología y Comunicaciones, queda modificado de la siguiente manera:
2. Corresponde a la Comisión Superior de Sistemas de Información en Tecnología y Comunicaciones emitir el informe previo y preceptivo sobre los pliegos de prescripciones técnicas para los contratos en materia de sistemas de información de cuantía superior a quinientos mil euros, y al director general de Estrategia Digital y Desarrollo Tecnológico cuando no se supere este importe, en ambos casos con la consulta previa a los jefes de departamento adscritos a esta Dirección General.
Disposición final segunda Desarrollo
Se faculta al consejero de Economía, Hacienda e Innovación para dictar las disposiciones necesarias para desarrollar este Decreto.
Disposición final tercera Entrada en vigor
El presente Decreto entrará en vigor al día siguiente de su publicación en el Boletín Oficial de las Illes Balears.
Palma, en la fecha de la firma electrónica (12 de diciembre de 2025)
| La presidenta | |
| El consejero de Economía, Hacienda e Innovación | Margarita Prohens Rigo |
| Antoni Costa Costa |
- Esta versión HTML se muestra sólo a efectos de consulta y carece de validez legal para una versión oficial y auténtica, consulte la versión PDF