Agencia Estatal Boletín Oficial del Estado
Habiéndose suscrito el 31 de mayo de 2017 el Convenio de Colaboración entre el Ministerio del Interior (Secretaría de Estado de Seguridad) y Leet Security para el desarrollo de actuaciones en materia de protección de infraestructuras críticas, procede la publicación en el «Boletín Oficial del Estado» de dicho Convenio que figura como anexo a esta Resolución.
Madrid, 13 de junio de 2017.–El Secretario General Técnico del Ministerio del Interior, Juan Antonio Puigserver Martínez.
Madrid, a 31 de mayo de 2017.
REUNIDOS
De una parte, la Secretaría de Estado de Seguridad del Ministerio del Interior, actuando en nombre y representación don José Antonio Nieto Ballesteros, en su calidad de Secretario de Estado de Seguridad (en adelante Secretaría de Estado de Seguridad), nombrado por Real Decreto 497/2016, de 18 de noviembre, con competencia para la firma de convenios de colaboración según lo establecido en el artículo 62.2.g de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.
Y otra parte, don Antonio Ramos García, Administrador único de Leet Security, S.L., sociedad española con domicilio social en Móstoles (Madrid), paseo Arroyo, 34, puerta 102 (28935) y C.l.F. B.86104262 (en adelante LEET), en nombre y representación de dicha sociedad, en su condición de Administrador único en virtud de escritura otorgada ante el Notario del Ilustre Colegio de Notarios de Madrid, don Vicente de Prada Guaita, el 22 de diciembre de 2010, con el número 226T de su protocolo.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir y
EXPONEN
En los Estados modernos y avanzados, el complejo sistema de infraestructuras desempeña funciones imprescindibles para el normal desenvolvimiento de la vida ciudadana, para la seguridad colectiva, así como para el desarrollo y el progreso de nuestras sociedades. Hasta tal punto es así, que cualquier interrupción no deseada, -incluso de corta duración y debida a causas naturales, técnicas o bien a ataques deliberados-, puede tener graves consecuencias en los flujos de suministros vitales o en el funcionamiento de servicios esenciales, además de perturbaciones y disfunciones graves en materia de seguridad.
Los servicios esenciales que se prestan a la ciudadanía descansan sobre una serie de infraestructuras de gestión tanto pública como privada, cuyo funcionamiento es indispensable y no permite soluciones alternativas: Las denominadas infraestructuras críticas. Por ello, se hace necesario el diseño de una política de seguridad homogénea e integral en el seno de las organizaciones que esté específicamente dirigida al ámbito de las infraestructuras críticas, en la cual se definan los subsistemas de seguridad que se van a implantar para la protección de las mismas con el objetivo de impedir su destrucción, interrupción o perturbación.
La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas (en adelante normativa PIC), determinan que la Secretaría de Estado de Seguridad es el órgano superior del Ministerio del Interior, teniendo la responsabilidad de dirigir el Sistema Nacional de Protección de Infraestructuras Críticas.
Entre sus principales funciones están la de aprobar los Planes de Seguridad de los Operadores para garantizar la seguridad integral (física y cibernética) del conjunto de sus instalaciones o sistemas de su propiedad o gestión y sus actualizaciones, así como los diferentes Planes de Protección Específicos o las eventuales propuestas presentados por los operadores críticos por cada una de la infraestructuras que han sido designadas como infraestructuras críticas.
La Secretaría de Estado de Seguridad participa igualmente en forma directa en las acciones derivadas de la Estrategia de Ciberseguridad Nacional, formando parte del Consejo Nacional de Ciberseguridad.
Según la normativa PIC, el Centro Nacional para la Protección de las Infraestructuras Críticas (en adelante CNPIC) es el órgano ministerial, orgánicamente dependiente de la Secretaría de Estado de Seguridad, encargado del impulso, la coordinación y la supervisión de todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad en relación con la protección de las infraestructuras críticas en el territorio nacional. Las tareas realizadas por este órgano han supuesto un cambio muy significativo en lo relativo a la consideración de la seguridad como un todo inseparable, buscando una integridad ineludible entre la Seguridad Física y la Seguridad Cibernética.
LEET Security es una compañía especializada en ciberseguridad, constituida con el fin de desarrollar y gestionar un sistema de etiquetado para calificar con fiabilidad los niveles de seguridad de la información ofrecidos por los proveedores de servicios TlC, y en particular -pero no únicamente- en entornos cloud. La empresa nace motivada por el hecho de que los sistemas existentes hasta el momento no procuran un modelo que permita valorar, de forma homogénea y transparente, el nivel de seguridad proporcionado por un determinado sistema o servicio.
Desde finales de 2010, LEET Security, compila los controles definidos en las principales normativas, estándares y mejores prácticas internacionales, los clasifica y los agrupa en diferentes niveles, para proporcionar una «puntuación» a la seguridad implementada en cada servicio calificado, que se pone de manifiesto con el sello LEET.
LEET Security, S.L. nace con la vocación de constituirse en una agencia de calificación de riesgo de servicios informáticos.
El objetivo de la calificación o etiquetado de seguridad es el proporcionar confianza a los usuarios de servicios TlC, aportando transparencia a las medidas de seguridad que los proveedores implantan en los servicios prestados.
La calificación se lleva a cabo mediante la evaluación del cumplimiento de un extenso conjunto de controles, que han sido obtenidos a partir de los más rigurosos estándares, normativa y mejores prácticas internacionales. Estos controles están clasificados en cinco diferentes niveles, en función del rigor y madurez de las medidas de seguridad correspondientes, y se agrupan en las tres dimensiones de la seguridad según su aplicabilidad a la confidencialidad, integridad o disponibilidad de la información gestionada.
El sistema tiene también dos etiquetas especiales que se utilizan para mostrar que un servicio, además de tener una determinada calificación en una dimensión, también cumple con la regulación vigente. Estas calificaciones son útiles para mostrar que se cumple con un estándar o legislación específica, ya que las características incluidas en las calificaciones especiales son las requeridas por esa legislación o estándar.
Por lo expuesto, las partes acuerdan suscribir el presente Convenio, que se regirá por las siguientes
CLÁUSULAS
El objeto del presente Convenio es fijar las bases de la colaboración entre la Secretaría de Estado de Seguridad, a través del CNPIC, y LEET Security, con el objetivo final de la mejora de la eficiencia de la gestión pública en la protección de las infraestructuras críticas.
LEET Security, como empresa especializada en modelos de construcción de capacidades en ciberseguridad, estará encargada de desarrollar, en los tres meses posteriores a la firma del convenio, un modelo que contenga los contenidos mínimos de los Planes de Seguridad del Operador, así como los contenidos mínimos de los Planes de Protección Específicos y que permita estructurar niveles de capacidad adicionales.
La constante evolución de la amenaza, la implantación de nuevas regulaciones, estrategias y herramientas de planificación, así como la experiencia adquirida en los últimos años, en buena parte, merced a las aportaciones efectuadas por los propios operadores críticos, hacen aconsejable desarrollar y clarificar los requisitos exigibles en los diferentes planes requeridos desde el punto de vista de la ciberseguridad, con el fin de adecuar el nivel de prevención y respuesta de las infraestructuras críticas nacionales y de los operadores que las gestionan.
LEET Security pondrá a disposición de la Secretaría de Estado de Seguridad las herramientas y trabajos previos realizados en este ámbito, así como personal técnico especializado, que trabajará conjuntamente con funcionarios del CNPIC. La Secretaría de Estado de Seguridad, a través del CNPIC, aportará su experiencia y conocimientos en el ámbito de la seguridad para el desarrollo del objeto del presente Convenio.
En el marco de este Convenio los representantes de las partes podrán desarrollar diferentes actividades e iniciativas dentro del objeto recogido en la cláusula primera.
Las partes colaborarán, sin contraprestación económica alguna, en las actividades conjuntas recogidas en el presente Convenio, a los efectos de facilitar el buen desarrollo de las mismas.
La financiación del presente Convenio se llevará a cabo por cada parte con sus propios presupuestos ordinarios de funcionamiento, no pudiendo exceder las capacidades operativas de cada organismo. Las actividades que resulten necesarias para el desarrollo del Convenio no generarán gasto alguno para la Secretaría de Estado de Seguridad, de conformidad con lo establecido en el artículo 7.3 de la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera.
Se establece la creación de una Comisión de Seguimiento, que determinará los mecanismos que lleven a la resolución de los problemas de interpretación y cumplimiento que puedan plantearse. Dicha Comisión se constituirá en el plazo de un mes desde la efectividad de este Convenio, y tendrá como objetivos:
– Diseñar, planificar, ejecutar y efectuar el seguimiento y vigilancia de las actuaciones concretas derivadas del objeto del presente Convenio, definiendo y delimitando el alcance de cada actividad o grupo de actividades correspondientes a las áreas de colaboración mencionadas.
– Proponer para su firma, como anexos a este Convenio, los acuerdos o protocolos específicos que considere oportunos, así como la elaboración de las adendas específicas necesarias. Servir de canal de comunicación ordinario para el seguimiento de las actividades y del intercambio de información derivados del presente Convenio.
– Elaborar un informe, con carácter anual, donde se recojan todas las actuaciones que han llevado a cabo para el cumplimiento de este Convenio.
La Comisión de Seguimiento tendrá las siguientes pautas de funcionamiento:
– Estará formada por aquellos miembros designados por ambas partes, de forma paritaria, a razón de dos por cada una de ellas, como máximo.
– Se reunirá con carácter ordinario, al menos, una vez al año, sin perjuicio de las reuniones extraordinarias que se convoquen adicionalmente. Dichas sesiones podrán ser presenciales o a distancia.
– Para la adopción de acuerdos se exigirá que asistan a la reunión la mayoría de los miembros, y siempre el mismo número de miembros por cada parte. Los acuerdos se tomarán por unanimidad y quedarán reflejados en un acta que tendrá carácter obligatorio para las partes. El acta será firmada, presencial o mediante sistemas de firma digital, por todos los asistentes.
– Las personas que participen en la ejecución del presente Convenio, seguirán bajo la dirección y dependencia de la parte a la que pertenece, sin que exista modificación alguna de su relación laboral o de servicios.
– De todas las sesiones que lleve a cabo la Comisión de Seguimiento se levantará un acta, donde se recoja el orden del día de la reunión, el lugar y hora en que se han celebrado, los puntos principales de las deliberaciones, así como el contenido de los acuerdos adoptados.
En lo no recogido en esta cláusula, la Comisión de Seguimiento se regirá por lo dispuesto en el Capítulo II, del Título Preliminar, sección 3.ª, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico de las Administraciones Públicas.
Ambas partes se comprometen a realizar, en el seno de la Comisión de Seguimiento, un informe de conclusiones dentro del primer año de vigencia del presente Convenio.
Este Convenio surtirá eficacia desde el momento de su perfeccionamiento derivado del consentimiento de las partes, y tendrá una vigencia de cuatro años a partir de dicho acto. Antes de la finalización del plazo previsto, previo permiso del Ministerio de Hacienda y de la Función Pública, las partes podrán acordar unánimemente su prórroga por un periodo máximo de cuatro años adicionales.
El presente Convenio podrá resolverse por alguna de las siguientes causas:
– Por acuerdo unánime de todos los firmantes.
– Por transcurso del plazo de vigencia del convenio incluida las prórrogas correspondientes.
– Por cumplimiento, resolución o concurrencia de causa de extinción. Las partes podrán resolver el Convenio en caso de incumplimiento de las obligaciones establecidas en el mismo. En este caso, en el acuerdo de resolución se establecerá el modo de liquidar las actuaciones que estuviesen pendientes de ejecución en el momento de dicha resolución.
– Por resolución judicial declaratoria de la nulidad del Convenio.
Procederá la extinción cuando mediare mutuo acuerdo, imposibilidad sobrevenida de cumplimiento o fuerza mayor.
El presente Convenio no supone, en ningún caso, la cesión de competencias de una de las partes a la otra, ni tampoco la concesión, expresa o implícita, de derecho alguno respecto a patentes, derechos de autor o cualquier otro derecho de propiedad intelectual o industrial. Toda la información y documentación intercambiada en el marco del Convenio, será propiedad exclusiva de la parte que la haya generado.
En caso de llevarse a cabo el desarrollo de algún proyecto relacionado con los objetivos del presente Convenio, la atribución y gestión de la propiedad intelectual de los mismos se articulará mediante los procedentes instrumentos jurídicos.
Las partes, en cuanto a lo referente a datos de carácter personal, se comprometen a observar lo dispuesto al respecto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la DIRECTIVA 95/46/CE (reglamento general de protección de datos), en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada Ley Orgánica, así como la demás normativa aplicable a la materia.
Las partes se comprometen al intercambio de la información necesaria para el cumplimiento efectivo de todos los términos del presente Convenio, con las garantías de confidencialidad que en cada caso sean requeridas. Ambas partes se reconocen interés legítimo en el intercambio de datos dentro de las actuaciones del presente Convenio.
La información, datos, soportes, programas, aplicaciones y, en general, cualquier intercambio y utilización de medios y técnicas aportados por ambas partes al Convenio, permanecerán exclusivamente en el ámbito de relación de las mismas y del personal técnico que colabore en las actividades del Convenio, obligándose a mantener en régimen de confidencialidad estos medios y técnicas por plazo indefinido y con independencia de la duración de este Convenio.
Dentro del marco de este instrumento, se excluye de la categoría de información confidencial toda aquella que haya de ser revelada a terceros o interesados de acuerdo con las leyes o con una resolución judicial o acto de autoridad competente.
Este Convenio no ampara, en ningún caso, el intercambio de información clasificada conforme a la legislación reguladora de aplicación.
El presente Convenio podrá modificarse por mutuo acuerdo entre los representantes de las partes cuando resulte necesario para la mejor realización de su objeto, y requerirá permiso previo del Ministerio de Hacienda y de la Función Pública.
Las partes podrán dar publicidad a las actividades derivadas del presente Convenio en la forma en que ambas determinen, de mutuo acuerdo, y conforme a lo previsto en el presente Convenio, en particular, en las referencias que se realicen al modelo desarrollado se mencionará que es el resultado de la colaboración entre ambas partes.
El presente Convenio tiene naturaleza administrativa, quedando excluido del ámbito de aplicación del texto refundido de la Ley de Contratos el Sector Público, aprobado por Real Decreto Legislativo 3/2011, de 14 de noviembre, de conformidad con lo dispuesto en su artículo 4.1.d).
Las cuestiones litigiosas que pudieran surgir entre las partes como consecuencia de la ejecución del Convenio deberán solventarse a través del mecanismo de seguimiento, vigilancia y control establecido. Si no pudiera alcanzarse dicho acuerdo, las posibles cuestiones litigiosas serán de conocimiento y competencia del orden jurisdiccional contencioso-administrativo.
Y en prueba de conformidad, los representantes de las partes firman el presente Convenio, en duplicado ejemplar y a un sólo efecto, en el lugar y fecha indicados en el encabezamiento.–El Secretario de Estado de Seguridad, José Antonio Nieto Ballesteros.–Leet Security, Antonio Ramos García.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
