Agencia Estatal Boletín Oficial del Estado
La Secretaria de Estado de Justicia y el Secretario de Estado Director del Centro Nacional de Inteligencia y Director del Centro Criptológico Nacional, han suscrito, con fecha 5 de junio de 2018, un Convenio en materia de ciberseguridad.
Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido Convenio como anexo a la presente Resolución.
Madrid, 26 de julio de 2018.–El Subsecretario de la Presidencia, Relaciones con las Cortes e Igualdad, Antonio J. Hidalgo López.
En Madrid, a 5 de junio de 2018.
De una parte, doña Carmen Sánchez-Cortés Martín, Secretaria de Estado de Justicia del Ministerio de Justicia, en virtud del nombramiento efectuado por el Real Decreto 880/2014 de 10 de octubre, y en el ejercicio de las competencias que tiene atribuidas por el art. 62.2.g) de la Ley 40/2015 de 1 de octubre de régimen jurídico del sector público.
De otra parte, don Félix Sanz Roldán, Secretario de Estado Director del Centro Nacional de Inteligencia y Director del Centro Criptológico Nacional, en virtud del nombramiento efectuado por Real Decreto 583/2014, de 4 de julio, por el que se nombra a don Félix Sanz Roldán como Secretario de Estado Director del Centro Nacional de Inteligencia; y en el ejercicio de las competencias que tiene atribuidas por el artículo 9.2.c) de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir y
EXPONEN
El Ministerio de Justicia, de acuerdo con el art. 1.1 del Real Decreto 725/2017 de 21 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio de Justicia, ostenta las competencias de «la política de organización y apoyo de la Administración de Justicia».
El Centro Nacional de Inteligencia (en adelante C.N.I.) de acuerdo con el art. 4.e) de la Ley 11/2002 de 6 de mayo, reguladora del Centro Nacional de Inteligencia, ostenta competencias relativas a la seguridad de las tecnologías de la información consistentes en «Coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada de material criptológico y formar al personal, propio o de otros servicios de la Administración, especialista en este campo para asegurar el adecuado cumplimiento de las misiones del Centro».
El Centro Criptológico Nacional (en adelante C.C.N.), según el Real Decreto 421/2004 de 12 de marzo por el que se regula el Centro Criptológico Nacional, se encuentra adscrito al C.N.I. y su actuación comprende la seguridad de los sistemas de las tecnologías de la información y la comunicación (en adelante T.I.C.) de las administraciones públicas que procesan, almacenan o transmiten información en formato electrónico, que normativamente requieren protección, y que incluyen medios de cifra.
Por otra parte, el C.C.N. cuenta con el Equipo de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (en adelante C.C.N.-C.E.R.T.), que tiene responsabilidad en los ataques procedentes del ciberespacio sobre sistemas del sector público.
La Subdirección General de Nuevas Tecnologías de la Justicia del Ministerio de Justicia (en adelante S.G.N.T.J.), dependiente de la Secretaría General de la Administración de Justicia (en adelante S.G.A.J.), que se incardina en la Secretaría de Estado de Justicia (en adelante S.E.J.), tiene atribuidas las funciones relativas a «La planificación estratégica, la dirección y la ejecución de la modernización tecnológica de los juzgados y tribunales, del Ministerio Fiscal y de los registros administrativos de apoyo a la actividad judicial, así como la coordinación en esta materia con otras administraciones, órganos del Estado, corporaciones profesionales e instituciones públicas» –art. 3.2.i) y 3.6.b)– y «La provisión de servicios de Tecnologías de la Información y Comunicación de las gerencias territoriales así como el mantenimiento operativo y creación de soluciones tecnológicas y de las infraestructuras tecnológicas y equipos de soporte» –art. 5.1)– del Real Decreto 725/2017 de 21 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio de Justicia; y participa funcionalmente en aspectos de gestión de la modernización tecnológica de aplicaciones e infraestructuras integradas en la Administración de Justicia.
La Ley 18/2011 de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, cuenta entre sus objetivos, como así declara su Preámbulo, «… definir en una norma con rango de ley el conjunto de requisitos mínimos de interconexión, interoperabilidad y seguridad necesarios en el desarrollo de los diferentes aplicativos utilizados por los actores del mundo judicial, a fin de garantizar la seguridad en la transmisión de los datos y cuantas otras exigencias se contengan en las leyes procesales».
Consecuentemente, a lo largo de su articulado, establece requisitos en materia de seguridad, exigiendo que ésta constituya una cualidad integral en la concepción de servicios, sistemas y aplicaciones (art. 48.1), un proceso integral que atienda en todo caso a la especial sensibilidad de la información contenida en los procedimientos judiciales electrónicos (art. 48.2), y un proceso de mejora continua (art. 50).
Asimismo, también describe los elementos básicos que deben tenerse en cuenta en las decisiones en materia de seguridad, niveles de seguridad, y función diferenciada (art. 53.1), y establece las dimensiones de la seguridad judicial electrónica en términos de autenticidad, confidencialidad, integridad, disponibilidad, trazabilidad y conservación (art. 53.2).
En el marco de las competencias que el Ministerio de Justicia ostenta en el ámbito de la Administración de Justicia –que a efectos del presente convenio se entiende que abarca juzgados y tribunales, fiscalías, registros administrativos de apoyo a la actividad judicial, Instituto de Medicina Legal, Instituto Nacional de Toxicología y Ciencias Forenses, gerencias territoriales, así como aplicaciones e infraestructuras integradas en aquélla–; se emplean sistemas, servicios y redes de tecnologías de la información y la comunicación, que procesan, almacenan o transmiten información en formato electrónico, que incluyen medios de cifra, y que deben contar con las adecuadas garantías de seguridad derivadas de los artículos antes citados, para así lograr una más eficaz prevención, detección y respuesta de las ciberamenazas, y cuantos incidentes en dicha materia pudieran surgir.
El Ministerio de Justicia, en línea con la mejora continua en materia de seguridad en la Administración de Justicia, quiere dotar de más y mejores medios para la protección y control del acceso a la información que procesan, almacenan o transmiten sus sistemas, servicios y redes T.I.C., garantizando de manera óptima su seguridad, con especial atención a las ciberamenazas.
Por su parte, el C.C.N.:
– Dispone de los elementos técnicos, humanos, materiales y organizativos idóneos para la consecución de los niveles de seguridad óptimos de los sistemas, servicios y redes de la Administración de Justicia.
– Su ámbito de actuación abarca los sistemas T.I.C. de las Administraciones Públicas (art. 1.a) del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional), que como los de la Administración de Justicia, procesan, almacenan o transmiten información en formato electrónico, y que en aplicación de la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, requieren protección, medios de cifra y seguridad.
– Tiene atribuidas funciones relativas la seguridad T.I.C. que materialmente responden a las necesidades de colaboración del Ministerio de Justicia, consistentes en la elaboración y difusión de normas, instrucciones y guías; formación al personal de la Administración, coordinación de la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación de la tecnología de seguridad y protección de ataques del ciberespacio sobre sistemas del sector público [art. 2 a) y b) del Real Decreto 421/2004 de 12 de marzo, por el que se regula el Centro Criptológico Nacional].
Habida cuenta de que los medios personales y materiales; y el ámbito y funciones del C.C.N. bajo la dependencia del C.N.I. están en consonancia con la línea del Ministerio de Justicia de mejora de seguridad tecnológica establecida en el art. 50 de la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, y pueden instrumentalmente contribuir a su buen fin, las partes desean formalizar el presente Convenio de colaboración, que se regirá por las siguientes
CLÁUSULAS
El objeto del presente convenio consiste en establecer las actuaciones de colaboración a las que se compromete el Ministerio de Justicia y el CNI, a través de la SGNTJ y del CCN respectivamente, en materia de seguridad de los sistemas, servicios, y redes TIC de la Administración de Justicia, que procesan, almacenan o transmiten información en formato electrónico, y que incluyen medios de cifra.
Las actuaciones de colaboración entre ambas partes son las siguientes:
a) Actuaciones de intercambio de información técnica en materia de seguridad de los sistemas, servicios y redes en los siguientes campos:
– Sensores desplegados en los diferentes organismos, capacidades de monitorización de los mismos, información técnica en materia de seguridad.
– Documentación técnica relativa a seguridad.
• El C.C.N. dará acceso a las series de guías C.C.N.–S.T.I.C. desarrolladas para la Administración con objeto de adaptación a los entornos de la S.G.N.T.J. En caso de su difusión en otros entornos, se deberá citar el origen del documento.
– Incidentes de seguridad.
• Información técnica y procedimientos de resolución de los mismos para su aplicación en los entornos de actuación del C.C.N. (Sector Público) y la S.G.N.T.J.
– Iniciativas de seguridad desarrolladas por ambas entidades con objeto de mejorar la coordinación entre las mismas y, en la medida de lo posible, dar un mensaje común.
– Intercambio de formación y buenas prácticas en el ámbito propio de cada una de las partes.
b) Actuaciones de promoción del desarrollo de herramientas de seguridad y programas específicos.
Posibilidad de que el Ministerio de Justicia promueva el desarrollo y la utilización de herramientas de seguridad informática y productos o programas específicos a propuesta del C.C.N.
En este sentido, la S.G.N.T.J. podrá realizar pruebas a dichas herramientas y programas que le permitan, llegado el caso, completar la funcionalidad de las mismas para utilizarlos en su ámbito de actuación.
c) Actuaciones de implementación y funcionamiento de una Oficina de Seguridad.
Implementación y funcionamiento por el C.N.I. en colaboración directa con la S.G.N.T.J., de una Oficina de Seguridad encargada de la estrategia, gestión, y operación de sistemas, servicios y redes T.I.C. de la Administración de Justicia que procesan, almacenan o transmiten información en formato electrónico, y que incluyen medios de cifra, con la finalidad de incrementar sus niveles de seguridad.
Las actuaciones de implementación y funcionamiento engloban todas las actividades estratégicas, de gestión, y operativas en materia de seguridad de la Oficina de Seguridad y singularmente:
– A nivel estratégico: Elaboración por el C.C.N. del Plan Director de Seguridad para el ámbito de actuación del convenio.
– A nivel de gestión: Análisis y definición de cuadros de mando de seguridad según los criterios e información suministrados por la S.G.N.T.J.; desarrollo, publicación y difusión de la normativa de seguridad; elaboración de los planes de adecuación de sistemas, desarrollo del plan de continuidad de negocio; análisis y gestión de riesgos y el seguimiento y apoyo a la implantación de las medidas a aplicar como resultado del Plan Director de Seguridad, por parte del C.C.N. según los criterios e información suministrados por la S.G.N.T.J.
– A nivel operativo: Ejecución de auditorías de cumplimiento normativo y auditorías técnicas de seguridad, asesoría tecnológica, formación y concienciación del personal, según criterios e información suministrados por la S.G.N.T.J.
d) Actuaciones de implementación y operación de un Centro de Operaciones de Ciberseguridad (en adelante S.O.C.).
A nivel operativo: definición e implantación del SOC mediante el que se mejorarán las capacidades de vigilancia y detección de incidentes en los sistemas de la S.G.N.T.J y se optimizará la capacidad de reacción y respuesta ante cualquier ataque, de conformidad con los criterios e información suministrada por la S.G.N.T.J.
Por su naturaleza centralizada, el S.O.C. facilitará tanto la implantación de las herramientas y/o tecnologías más adecuadas en cada momento, como la adopción de las medidas oportunas para una defensa eficiente.
La dirección y gestión del S.O.C. corresponde al Ministerio de Justicia, en el que el C.C.N.-C.E.R.T., como C.E.R.T. gubernamental nacional, actúa como prestador del servicio según las competencias del Real Decreto 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad, modificado por el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y bajo la supervisión de la S.G.N.T.J, en cumplimiento además del convenio de colaboración entre ambos organismos.
En cumplimiento de lo establecido por la Secretaría General de Administración Digital de considerar los servicios de seguridad como servicios compartidos, este SOC operará como una extensión del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (S.O.C.-A.G.E.) tendiendo de manera progresiva a unificar y converger las diferentes actuaciones de seguridad que se proporcionen.
En el Anexo I del presente convenio se especifica detalladamente la relación de actividades que integran las actuaciones de colaboración.
Los costes que se deriven de la ejecución del presente convenio serán financiados por el Ministerio de Justicia, los cuales tendrán carácter de costes de compensación para resarcir los gastos al CNI que genera la actuación de colaboración de la Oficina de Seguridad a que se refieren las letras c) y d) de la cláusula anterior, y para asumir la sostenibilidad funcional y técnica de la misma. Las actuaciones aludidas en las letras a) y b) de la cláusula anterior, no generan gastos para las respetivas partes.
El Ministerio de Justicia realizará la correspondiente transferencia de crédito al Ministerio de la Presidencia y para las Administraciones Territoriales y repercusión en el presupuesto del Centro Nacional de Inteligencia desde la aplicación presupuestaria 13.02.96.112A.620.06 del Ministerio de Justicia. El Centro Nacional de Inteligencia determinará las aplicaciones presupuestarias en las que repercutirá esta modificación presupuestaria.
La transferencia inicial se realizará con la publicación del convenio en el «BOE», y las sucesivas, con el inicio del ejercicio presupuestario.
El coste de sostenibilidad técnica y funcional se determina en función del número de usuarios de los sistemas, servicios y redes T.I.C. de la Administración de Justicia. El número de usuarios asciende a un total de dieciocho mil (18.000) y se atribuye un coste anual por usuario de ochenta y tres euros y treinta y tres céntimos de euro (83,33 €).
De acuerdo con lo manifestado anteriormente, el importe de la transferencia de crédito de cada anualidad para la actuación relativa a la Oficina de Seguridad es el siguiente:
– 2018: 1.000.000 €.
– 2019:1.500.000 €.
– 2020: 500.000 €.
Estas cantidades anuales incluyen todo tipo de impuestos, costes, gastos, tasas o tributos que puedan corresponder.
Al objeto de impulsar las actuaciones previstas en este convenio y garantizar su desarrollo integral, se crea una comisión de seguimiento, vigilancia y control que tendrá las siguientes funciones:
– Diseño, definición, delimitación, planificación y ejecución de las concretas actividades técnicas derivadas del objeto de las actuaciones de colaboración objeto del presente convenio.
– Evaluación del estado de las infraestructuras TIC gestionadas por el Ministerio de Justicia en el ámbito de la Administración de Justicia con el objetivo de consensuar la evolución de las mismas y adecuar las actuaciones objeto del convenio a las infraestructuras tecnológicas existentes en cada momento.
– Comunicación y seguimiento de la ejecución de las actuaciones de colaboración.
– Acuerdos específicos que considere oportunos, que no impliquen modificación del convenio, para la mejor realización del objeto de éste.
– Elaboración conjunta de un informe de conclusiones dentro del primer año de vigencia del presente convenio.
– Propuesta para modificación del convenio.
– Emisión de un informe técnico sobre controversias que puedan surgir entre las partes en relación con la ejecución, interpretación, modificación, efectos o resolución del presente convenio.
El régimen de funcionamiento de la comisión de seguimiento será el siguiente:
– Estará compuesta por cinco miembros: cuatro con voz y voto, designados por ambas partes en número de dos por cada una de ellas, con un nivel mínimo de Subdirector General Adjunto o equivalente, y un quinto miembro que ostentará las funciones de secretario de la comisión, con voz pero sin voto, que será un Jefe de Área de la S.G.N.T.J.
– La presidencia la ostentará uno de los miembros designados por el Ministerio de Justicia, con voto de calidad. Será la Secretaría de Estado de Justicia la encargada realizar las designaciones que correspondan al Ministerio de Justicia.
– Se reunirá de forma ordinaria, al menos, cada dos meses, sin perjuicio de las reuniones extraordinarias que se convoquen.
– Para la adopción de acuerdos se exigirá que asistan a la reunión la mayoría de los miembros. Los acuerdos se tomarán por mayoría y quedarán debidamente reflejados en acta que será firmada por todos los asistentes.
– En lo no previsto expresamente en esta cláusula, se estará a lo dispuesto en la Ley 40/2015 para el funcionamiento de órganos colegiados.
El presente convenio podrá ser objeto de modificación por mutuo acuerdo de las partes, cuando resulte necesario para la mejor realización de su objeto, mediante la formalización de la correspondiente adenda.
El presente convenio tendrá una vigencia de dos (2) años desde su inscripción en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del sector público estatal, y publicados en el Boletín Oficial del Estado, pudiendo prorrogarse de forma expresa, por un máximo de dos (2) años conforme a lo dispuesto en el artículo 49, letra h) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, mediante comunicación previa y por escrito de las partes dentro de los tres (3) meses anteriores a la finalización de su vigencia o de cualquiera de sus prórrogas. Dentro del referido plazo de tres (3) meses las partes podrán comunicar su renuncia a la prórroga del convenio.
La tramitación, suscripción y efectos de la prórroga que en su caso se acuerde se efectuará de acuerdo con lo previsto por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y resto de normativa aplicable.
El presente convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.
Serán causas de resolución las siguientes:
– El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.
– El acuerdo unánime de todos los firmantes.
– El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes. En este caso cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a las demás partes firmantes. Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. La resolución del Convenio por esta causa podrá conllevar la indemnización de los perjuicios causados.
– Por decisión judicial declaratoria de la nulidad del convenio.
– Por declaración de situación de interés para la seguridad nacional del artículo 24 de la Ley 36/2015 de 28 de septiembre de seguridad nacional, si su alcance afectase al objeto del presente convenio.
– Por cualquier otra causa distinta de las anteriores prevista en otras leyes.
Las partes se comprometen al intercambio de la información técnica en materia de seguridad necesaria para el cumplimiento efectivo de todos los términos del presente convenio con las garantías de confidencialidad que en cada caso sean requeridas. La información técnica intercambiada se ciñe a cuestiones de seguridad de los sistemas, servicios, y redes TIC de la Administración de Justicia y territoriales.
La información técnica, datos de seguridad, soportes, programas, aplicaciones y en general, cualquier intercambio y utilización de medios y técnicas aportados por ambas partes al convenio, permanecerán exclusivamente en el ámbito de relación de las mismas y del personal técnico que colabore en las actividades, obligándose a mantener en régimen de confidencialidad estos medios y técnicas por plazo indefinido y con independencia de la duración de este convenio. Se excluye de la categoría de información confidencial toda aquella que haya de ser revelada de acuerdo con las leyes o con una resolución judicial.
Toda la información y documentación intercambiada, en el marco del convenio, será propiedad de las respectivas partes. En todo caso, la documentación generada por la oficina de seguridad (C.C.N.) en el ámbito del presente convenio, será propiedad del Ministerio de Justicia.
Las actuaciones objeto del presente convenio que impliquen el tratamiento de datos de carácter personal deberán respetar en su integridad la normativa reguladora de la protección de datos de carácter personal.
Las partes podrán dar publicidad a la existencia del presente convenio en la forma en que ambas lo determinen de mutuo acuerdo.
El presente convenio no supone, en ningún caso, la cesión de competencias de una de las partes a la otra, ni tampoco la concesión, expresa o implícita, de derecho alguno respecto a patentes, derechos de autor o cualquier otro derecho de propiedad intelectual o industrial.
El presente convenio, de naturaleza jurídico-administrativa, se celebra al amparo de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Las cuestiones litigiosas o controversias que puedan surgir entre las partes en relación con la ejecución, interpretación, modificación, resolución y efectos del presente convenio, deberán solventarse por mutuo acuerdo de las partes en la Comisión de seguimiento, vigilancia y control. Si no resultara posible alcanzar dicho acuerdo, las cuestiones litigiosas serán de conocimiento y competencia del orden jurisdiccional de lo Contencioso-Administrativo, de conformidad con la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
De conformidad con lo dispuesto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, el presente convenio será publicado en los términos previstos en su artículo 8.1.b), sin perjuicio de la publicación e inscripción a las que se refiere el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, así como de las obligaciones correspondientes por ambas partes en materia de fiscalización y control por el Tribunal de Cuentas u organismo autonómico equivalente.
Y, de conformidad con cuanto antecede, en el ejercicio de las facultades que legalmente corresponden a cada uno de los firmantes, obligando con ello a las Instituciones que representan, suscriben el presente convenio por duplicado ejemplar en lugar y fecha señalados al principio.–La Secretaria de Estado de Justicia, Carmen Sánchez-Cortés Martín.–El Secretario de Estado Director del Centro Nacional de Inteligencia y Director del Centro Criptológico Nacional, Félix Sanz Roldán.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
