Accés al contingut Accés al menú de la secció
DOGC  > Resultats i fitxa
 
Afegeix-lo a la meva selecció i subscriu-m'hi
Afegeix-lo a la meva selecció
Dades del document
  • Tipus de document Llei

  • Data del document 25/07/2017

  • Número del document 015/2017

  • Número de control 17207139

  • Organisme emissor Departament de la Presidència

    CVE CVE-DOGC-A-17207139-2017

Dades del DOGC
  • Número 7423

  • Data 31/07/2017

  • Secció DISPOSICIONS

Descriptors relacionats
Autenticitat i integritat
Lupa
Accedeix a la cerca

LLEI 15/2017, del 25 de juliol, de l'Agència de Ciberseguretat de Catalunya.


El president de la Generalitat de Catalunya

 

Sia notori a tots els ciutadans que el Parlament de Catalunya ha aprovat i jo, en nom del Rei i d'acord amb el que estableix l'article 65 de l'Estatut d'autonomia de Catalunya, promulgo la següent

 

LLEI  

 

Preàmbul

La societat de la informació es configura com una plataforma global per a la lliure circulació de la informació, les idees i el coneixement, i els poders públics aposten clarament per implantar-la, emprant cada dia més les eines que tant les administracions com els prestadors de serveis posen a llur disposició. L'ús quotidià de les tecnologies de la informació i la comunicació (TIC) i el tractament que fan de la informació les converteixen en elements essencials per a l'actual desenvolupament econòmic i la convivència social. La dependència, doncs, d'aquestes tecnologies, sistemes i informació fa que esdevinguin bàsics per a garantir la continuïtat de les activitats, per a oferir seguretat jurídica en les accions del ciutadà i el tràfic mercantil, i per a garantir el progrés i desenvolupament social dels ciutadans en aquesta societat de la informació.

No obstant això, diversos reptes i amenaces afecten el desenvolupament de la societat de la informació i posen en perill la seva seguretat. La interrelació i dependència de les infraestructures i els serveis de comunicacions fan que llur protecció davant de ciberamenaces hagi esdevingut un pilar bàsic.

Tant en l'àmbit nacional com en l'internacional, es pot detectar que l'activitat organitzada a la xarxa que té com a objectiu perjudicar accions i serveis públics de governs i d'empreses privades de rellevància notable s'ha incrementat exponencialment, i també l'impacte de les accions, que en molts casos ha arribat a afectar els serveis bàsics per al bon funcionament de les administracions i per a la ciutadania.

En els darrers temps, la bel·ligerància de les actuacions a la xarxa dirigides cap a Catalunya, en general, i, concretament, cap a l'Administració de la Generalitat i els seus serveis públics, fa necessari emprendre una actuació decidida per a la protecció de la informació, les infraestructures i els interessos de la Generalitat i de les persones i institucions públiques i privades de Catalunya.

L'evolució en la motivació i la complexitat dels ciberatacs situen les infraestructures essencials de Catalunya com a objectiu. Aquestes infraestructures són necessàries per a garantir el correcte funcionament del Govern i de les administracions públiques, i per a la protecció i el bon funcionament dels serveis bàsics per a la ciutadania, o sia, els serveis que garanteixen la seguretat i continuïtat social bàsica, com, per exemple, els principals subministraments o el suport a la mobilitat i la xarxa viària. Per aquesta raó, cal garantir la protecció d'aquests serveis i esdevé una prioritat vetllar per llur ciberseguretat.

Un dels principals objectius del servei públic de ciberseguretat és la necessitat d'investigar ciberatacs en l'àmbit de les seves competències. Actualment Catalunya no té aquesta capacitat, que és imprescindible per a garantir la protecció correcta de les persones públiques i privades en el territori de Catalunya i la coordinació eficient amb els cossos de seguretat quan d'aquests incidents se'n puguin derivar conductes il·lícites. Aquesta capacitat permetrà, a més, donar suport a les autoritats competents perquè puguin exercir millor llurs funcions públiques en la xarxa. Aquest suport és imprescindible per a garantir que les autoritats puguin complir llurs funcions amb la màxima seguretat tècnica i jurídica en l'àmbit de la societat de la informació.

Així, cal un equip de resposta a incidents que gestioni els incidents de ciberseguretat que afectin el territori de Catalunya i que tingui les competències que estableix la normativa de la societat de la informació.

Per a donar resposta a aquestes necessitats, cal un organisme que, en l'àmbit de les competències de la Generalitat, vetlli pel compliment de les funcions del servei públic de ciberseguretat i permeti garantir i augmentar el nivell de seguretat de les xarxes i els sistemes d'informació a Catalunya. Les seves funcions s'han de basar en la implantació de mesures de protecció sobre la infraestructura pública i els seus serveis, i també en la coordinació amb els proveïdors privats de serveis de la societat de la informació per a l'assoliment dels seus objectius.

Actualment, la Generalitat compta amb la Fundació Centre de Seguretat de la Informació de Catalunya (Cesicat), que és una entitat sense ànim de lucre que té per objecte l'establiment i seguiment dels programes i plans d'actuació necessaris per a garantir una societat de la informació segura. El Centre de Seguretat de la Informació de Catalunya és una eina per a la generació d'un teixit empresarial català d'aplicacions i serveis de seguretat de les tecnologies de la informació i la comunicació que sigui referent nacional i internacional. Les finalitats de les activitats i actuacions d'aquesta Fundació són el foment i la promoció de la seguretat de les tecnologies de la informació i la comunicació en l'àmbit nacional, d'acord amb els plans d'actuació que s'elaborin. La Fundació Centre de Seguretat de la Informació de Catalunya, però, per la seva forma jurídica, no pot exercir les funcions ni prestar el servei públic de ciberseguretat.

L'afectació dels atacs cibernètics esmentats dona fonament a la necessitat d'abordar aquesta matèria en l'àmbit de Catalunya per tal de dotar la ciutadania, les empreses i les institucions d'un servei de ciberseguretat públic encarregat de protegir-les i de dur a terme actuacions i proporcionar informació per a reduir l'impacte d'aquests atacs.

Així doncs, aquesta llei té com a finalitat la dissolució del Cesicat i la creació d'una entitat de dret públic, l'Agència de Ciberseguretat de Catalunya, amb personalitat jurídica pròpia, sotmesa al dret privat, a la qual s'atorguen les dites funcions. D'aquesta manera, es garanteix que el Govern disposi de les eines necessàries per a afrontar els riscos i les amenaces que planteja actualment la plena integració a la societat de la informació.

Aquest nou organisme pot exercir les funcions següents, entre d'altres: desenvolupar i liderar el servei públic de ciberseguretat necessari per a la protecció del territori de Catalunya davant les amenaces actuals, coordinar la ciberseguretat entre els diferents actors en l'àmbit de Catalunya com a responsable d'aquesta matèria, i garantir la ciberseguretat de l'Administració de la Generalitat i del seu sector públic, i, si escau, de les altres entitats i institucions públiques de Catalunya, dels ens locals i de les persones físiques i jurídiques situades a Catalunya.

Davant dels riscos que la ciberseguretat planteja a Catalunya i a les seves institucions, la manca d'aquesta figura impedia de gestionar correctament els incidents de caràcter global que les afecten i de coordinar els esforços dels diferents equips que en puguin tenir coneixement.

Per tal de garantir la necessària actualització i adequació de les mesures de protecció per a fer front a les amenaces, l'Agència de Ciberseguretat de Catalunya executa els plans d'actuació en matèria de ciberseguretat que el Govern elabora i aprova. L'execució d'aquests plans garanteix que es desenvolupin i apliquin les mesures necessàries per a fer front a ciberatacs i ciberamenaces, que es redueixi el risc i que es millorin els nivells de ciberseguretat de la ciutadania, les institucions i les empreses.

Es modifica la Llei 29/2010, del 3 d'agost, de l'ús dels mitjans electrònics al sector públic de Catalunya, per tal d'adequar-la al que estableix aquesta llei.

La competència de la Generalitat per a la creació de l'Agència de Ciberseguretat de Catalunya ve donada per l'article 150 de l'Estatut d'autonomia de Catalunya, d'acord amb el qual correspon a la Generalitat, en matèria d'organització de la seva Administració, la competència exclusiva sobre l'estructura, la regulació dels òrgans i directius públics, el funcionament i l'articulació territorial, i les diverses modalitats organitzatives i instrumentals per a l'actuació administrativa.

L'article 140.7 del mateix Estatut disposa que correspon a la Generalitat, d'acord amb la normativa de l'Estat, la competència executiva en matèria de comunicacions electròniques, que inclou, en tot cas, promoure l'existència d'un conjunt mínim de serveis d'accés universal.

D'acord amb l'article 121.1.a de l'Estatut, correspon a la Generalitat la competència exclusiva en matèria de comerç, que inclou, en tot cas, l'ordenació administrativa del comerç electrònic.

De conformitat amb l'article 53 del mateix Estatut, els poders públics han de facilitar el coneixement de la societat de la informació i han d'impulsar l'accés a la comunicació i a les tecnologies de la informació, en condicions d'igualtat, en tots els àmbits de la vida social, inclòs el laboral; han de fomentar que aquestes tecnologies es posin al servei de les persones i no afectin negativament llurs drets, i han de garantir la prestació de serveis per mitjà de les dites tecnologies, d'acord amb els principis d'universalitat, continuïtat i actualització.

D'altra banda, d'acord amb l'article 49 de l'Estatut, els poders públics han de garantir la protecció de la seguretat i la defensa dels drets i dels interessos legítims dels consumidors i usuaris.

Aquesta llei respon també a la necessitat de complir la Moció 75/X, del 13 de febrer de 2014, sobre les polítiques d'impuls de les tecnologies de la informació i de la comunicació, en què el Parlament insta el Govern a adoptar la forma jurídica més adequada per a dur a terme les funcions assignades al Centre de Seguretat de la Informació de Catalunya i a garantir l'escrutini públic i el control parlamentari de l'activitat d'aquest organisme. També respon a la necessitat de complir la Resolució 535/X, del 19 de febrer de 2014, sobre la modificació dels estatuts del Centre de Seguretat de la Informació de Catalunya, en què el Parlament insta el Govern a reconvertir el Centre de Seguretat de la Informació de Catalunya en una agència governamental.

 

Capítol I. Disposicions generals

 

Article 1. Creació, naturalesa jurídica i règim jurídic

1. Es crea l'Agència de Ciberseguretat de Catalunya, com a entitat de dret públic de l'Administració de la Generalitat, amb personalitat jurídica pròpia, que ajusta la seva activitat a l'ordenament jurídic privat, amb plena capacitat d'obrar per al compliment dels seus fins i amb plena autonomia orgànica i funcional, adscrita al departament competent en matèria de ciberseguretat i societat digital.

2. L'Agència de Ciberseguretat de Catalunya es regeix per aquest llei i pels seus estatuts, per l'Estatut de l'empresa pública catalana i per les altres lleis i disposicions que hi són aplicables.

3. L'activitat de l'Agència de Ciberseguretat de Catalunya s'ajusta, amb caràcter general, en les seves relacions externes, a les normes de dret civil, mercantil i laboral que hi són aplicables, llevat dels actes que impliquen l'exercici de potestats públiques, que se sotmeten al dret administratiu. L'Agència, en les relacions amb el departament al qual s'adscriu, se sotmet al dret administratiu.

 

Article 2. Objecte i funcions

1. L'Agència de Ciberseguretat de Catalunya té per objecte garantir la ciberseguretat en el territori de Catalunya, entesa com la seguretat de les xarxes de comunicacions electròniques i dels sistemes d'informació.

2. L'Agència de Ciberseguretat de Catalunya té per objectiu l'execució de les polítiques públiques en matèria de ciberseguretat, i en particular:

a) Assessorar el Govern i donar-li suport en l'elaboració dels plans de ciberseguretat que ha d'aprovar i en la consecució dels objectius establerts en aquests plans.

b) Executar els plans de ciberseguretat que a cada moment estiguin vigents.

c) Coordinar-se amb altres organismes en tot allò que es consideri necessari per a la consecució dels objectius especificats en els plans de ciberseguretat.

d) Organitzar les activitats de difusió, formació i conscienciació en matèria de ciberseguretat adequades als diferents col·lectius destinataris, posant un èmfasi especial en els que presenten situacions de vulnerabilitat i facilitant les eines i els programes escaients.

e) Impulsar un clima de confiança i seguretat que contribueixi al desenvolupament de l'economia i la societat digital a Catalunya.

3. L'Agència de Ciberseguretat de Catalunya, en l'execució dels objectius a què fa referència l'apartat 2, pot exercir les seves funcions amb relació a les persones físiques o jurídiques situades a Catalunya i establir la col·laboració necessària amb els prestadors de serveis de la societat de la informació i de comunicacions electròniques que actuïn a Catalunya o hi tinguin infraestructura.

4. Les funcions de l'Agència de Ciberseguretat de Catalunya són les següents:

a) Prevenir i detectar incidents de ciberseguretat a Catalunya i respondre-hi, desplegant les mesures de protecció pertinents davant les ciberamenaces i els riscos inherents sobre les infraestructures tecnològiques, els sistemes d'informació, els serveis de les tecnologies de la informació i la comunicació, i la informació que aquests tracten.

b) Planificar, gestionar, coordinar i supervisar la ciberseguretat a Catalunya, establint la capacitat preventiva i reactiva necessària per a pal·liar els efectes dels incidents de ciberseguretat que afectin el territori de Catalunya, i també les proves que es puguin organitzar en matèria de ciberseguretat i continuïtat. En l'àmbit de l'Administració de la Generalitat i el seu sector públic, l'Agència ha d'exercir aquestes funcions per mitjà de la prestació dels seus serveis, coordinant les actuacions que requereixin el seu suport amb el Centre de Telecomunicacions i Tecnologies de la Informació.

c) Exercir les funcions d'equip de resposta a emergències (CERT) competent a Catalunya que estableix la legislació vigent, en particular la normativa de serveis de la societat de la informació, incloent-hi la relació amb altres organismes de ciberseguretat nacionals i internacionals, i la coordinació dels equips de resposta a incidents de ciberseguretat (CSIRT) i equips de resposta a emergències o entitats equivalents que actuïn en llur àmbit territorial. Així mateix, ha d'exercir aquestes funcions com a equip de resposta a emergències del Govern.

d) Minimitzar els danys i el temps de recuperació en cas de ciberatac.

e) Actuar com a suport, en matèria de ciberseguretat, de qualsevol autoritat competent per a l'exercici de les seves funcions públiques i, en particular, en les tasques de lluita contra les conductes il·lícites, incloent-hi la intervenció directa i l'obtenció de proves electròniques. En la investigació i repressió d'il·lícits penals, l'Agència ha de col·laborar amb els cossos policials i les autoritats judicials d'acord amb el que estableix la normativa vigent, amb requeriment previ, actuant d'una manera coordinada, i preservant i posant a llur disposició els elements rellevants per a la investigació i els que puguin constituir una prova.

f) Investigar i analitzar tecnològicament els ciberincidents i ciberatacs sobre infraestructures tecnològiques, sistemes d'informació, serveis de tecnologies de la informació i la comunicació o la mateixa informació en els quals l'Agència intervingui per raó de la seva competència.

g) Recollir les dades pertinents de les entitats que gestionen serveis públics o essencials a Catalunya per a conèixer l'estat de la seguretat de la informació, informar-ne el Govern i proposar les mesures adequades duent a terme la gestió de riscos en matèria de ciberseguretat.

h) Donar suport als responsables de la continuïtat dels serveis i les infraestructures de les tecnologies de la informació i la comunicació de la Generalitat i de les altres administracions públiques que ho requereixin.

5. Són funcions de l'Agència de Ciberseguretat de Catalunya, en l'àmbit del Govern i de l'Administració de la Generalitat i el seu sector públic dependent, les següents:

a) Impulsar i aprovar un marc de directrius i normes tècniques de seguretat de compliment obligatori per a l'Administració de la Generalitat i per als organismes i entitats vinculats o dependents, per tal de garantir una protecció eficaç, en particular davant el cibercrim i els ciberatacs. En el marc de les directrius i les normes tècniques per a la protecció dels sistemes d'informació policials, l'Agència s'ha de coordinar amb el departament competent en matèria de policia i seguretat pública.

b) Informar preceptivament en els procediments d'elaboració de disposicions normatives tramitades per l'Administració de la Generalitat en matèria de ciberseguretat i governança de les tecnologies de la informació i la comunicació.

c) Prestar els serveis materials i tècnics de ciberseguretat necessaris al Govern i a l'Administració de la Generalitat i als organismes i entitats vinculats o dependents.

d) Garantir la ciberseguretat en la prestació dels serveis d'identificació electrònica i d'identitat i confiança digitals per part dels prestadors establerts a Catalunya o que, altrament, ofereixin serveis a l'Administració de la Generalitat i als organismes i entitats vinculats o dependents.

6. L'Agència de Ciberseguretat de Catalunya ha de col·laborar amb els organismes judicials i policials d'acord amb el que estableix la normativa vigent. En l'exercici de les seves funcions, l'Agència s'ha de coordinar amb els cossos policials i de seguretat pública, sens perjudici de les funcions pròpies del departament competent en aquesta matèria. En especial, l'Agència s'ha de coordinar amb els cossos policials per a la ciberseguretat i protecció dels sistemes d'informació policials, d'acord amb les competències que els dits cossos tenen reconegudes en aquesta matèria.

7. L'Agència de Ciberseguretat de Catalunya ha d'establir línies de col·laboració en l'àmbit de la ciberseguretat amb els ens locals de Catalunya.

 

Capítol II. Estructura orgànica

 

Article 3. Òrgans de govern

Els òrgans de govern de l'Agència de Ciberseguretat de Catalunya són el Consell d'Administració i la Direcció.

 

Article 4. El Consell d'Administració

1. El Consell d'Administració de l'Agència de Ciberseguretat de Catalunya, que ha de tenir composició paritària, és integrat pels vuit membres següents:

a) El president, càrrec que correspon al conseller del departament competent en matèria de ciberseguretat i societat digital.

b) Dos vicepresidents, un dels quals és el secretari general del departament competent en matèria de ciberseguretat i societat digital, i l'altre, el secretari general del departament competent en matèria de seguretat pública.

c) El secretari del Govern.

d) Un vocal del departament competent en matèria d'administracions locals.

e) Un vocal del departament competent en matèria de seguretat pública.

f) Un vocal del departament competent en matèria de tecnologies de la informació i la comunicació.

g) El director de l'Agència de Ciberseguretat de Catalunya.

2. Els vocals a què fan referència les lletres d, e i f han de tenir com a mínim el rang de director general, i són nomenats pel Govern.

3. Els membres del Consell d'Administració de l'Agència de Ciberseguretat de Catalunya no tenen dret a rebre cap indemnització, dieta o compensació per assistir a les reunions d'aquest òrgan.

 

Article 5. La Direcció

1. El director de l'Agència de Ciberseguretat de Catalunya és designat lliurement pel Govern, una vegada escoltat el Consell d'Administració, que té les potestats corresponents per a contractar-lo i separar-lo, si escau.

2. El director de l'Agència de Ciberseguretat de Catalunya, entre el moment de la designació i el de la contractació efectiva, ha de comparèixer davant la comissió del Parlament de Catalunya competent en matèria de ciberseguretat.

 

Article 6. Estatuts

Correspon al Govern d'aprovar, per mitjà d'un decret, els estatuts de l'Agència de Ciberseguretat de Catalunya, els quals han de determinar i regular les funcions dels òrgans de govern, el funcionament del Consell d'Administració i l'estructura orgànica interna i el règim de funcionament de l'Agència.

 

Capítol III. Règim econòmic i financer, de contractació, de personal i de control

 

Article 7. Règim econòmic i financer

1. L'Agència de Ciberseguretat de Catalunya gaudeix de l'autonomia financera que estableix la normativa de les finances de la Generalitat.

2. Constitueixen el patrimoni de l'Agència de Ciberseguretat de Catalunya els béns i drets que li són adscrits i els béns i drets propis de qualsevol naturalesa que adquireixi per qualsevol títol.

3. Els recursos de l'Agència de Ciberseguretat de Catalunya són integrats per:

a) Els béns i valors que constitueixin el seu patrimoni i els productes i les rendes d'aquest.

b) Els ingressos obtinguts per l'acompliment d'activitats i la prestació de serveis en l'exercici de les competències i funcions que estableixen aquesta llei i el desplegament reglamentari en matèria de ciberseguretat.

c) Les transferències que, si escau, faci el departament al qual és adscrita amb càrrec als pressupostos de la Generalitat.

4. El pressupost de l'Agència de Ciberseguretat de Catalunya és anual i únic, i s'ha de subjectar al règim pressupostari que estableix el text refós de la Llei de l'Estatut de l'empresa pública catalana, aprovat pel Decret legislatiu 2/2002, del 24 de desembre.

5. L'Agència de Ciberseguretat de Catalunya ha d'ordenar la seva comptabilitat de conformitat amb el règim que estableix la normativa de les finances públiques de la Generalitat, atenent la forma jurídica de l'Agència. Així mateix, el règim comptable aplicable s'ha de sotmetre a les instruccions i la normativa de desplegament que dicti la Intervenció de la Generalitat, d'acord amb l'article 75 del text refós de la Llei de finances públiques de Catalunya, aprovat pel Decret legislatiu 3/2002, del 24 de desembre.

 

Article 8. Règim de contractació

1. La contractació de l'Agència de Ciberseguretat de Catalunya es regeix per la normativa vigent en matèria de contractes de les administracions públiques. Als efectes del que disposa l'article 24.6 del text refós de la Llei de contractes del sector públic, aprovat pel Reial decret legislatiu 3/2011, del 14 de novembre, l'Agència té la condició de mitjà propi i servei tècnic de les institucions i els departaments en què s'estructura l'Administració de la Generalitat, i dels organismes i les entitats que en depenen i que tinguin la condició de poder adjudicador. Poden encomanar a l'Agència la prestació dels serveis de ciberseguretat, si escau, d'acord amb el règim previst en els documents d'encàrrec, que com a mínim ha d'incloure l'abast de l'encàrrec, la previsió dels costos i el sistema de finançament.

2. L'òrgan de contractació de l'Agència de Ciberseguretat de Catalunya és la Direcció.

 

Article 9. Règim de personal

1. El personal de l'Agència de Ciberseguretat de Catalunya es regeix pel dret laboral, sens perjudici de l'adscripció de personal funcionari per a l'exercici de potestats administratives. En l'exercici de les potestats administratives que corresponguin a les funcions d'inspecció i control que compleixi l'Agència, el personal funcionari té la consideració d'autoritat pública, en particular respecte a les funcions que estableixen les lletres e i f de l'article 2.4.

2. El personal de l'Agència de Ciberseguretat de Catalunya està sotmès a la normativa del personal laboral de la Generalitat.

 

Article 10. Règim de control

1. El control financer de l'Agència de Ciberseguretat de Catalunya, que té per objecte comprovar-ne el funcionament economicofinancer, s'efectua pel procediment d'auditoria, d'acord amb el que estableix l'article 71 del text refós de la Llei de finances públiques de Catalunya.

2. L'Agència de Ciberseguretat de Catalunya aprova anualment una memòria d'activitats, que ha de lliurar al Govern i al Parlament i que el director de l'Agència ha de presentar davant la comissió del Parlament competent en matèria de ciberseguretat o, si escau, davant la Comissió de Matèries Secretes i Reservades.

3. La Sindicatura de Comptes, el Síndic de Greuges, l'Agència de Protecció de Dades de Catalunya i l'Oficina Antifrau de Catalunya, cadascuna dins l'àmbit de les seves competències, han d'elaborar anualment una memòria sobre l'activitat de l'Agència de Ciberseguretat de Catalunya, que han de lliurar al Govern i al Parlament com a màxim un mes després del lliurament de la memòria anual elaborada per la mateixa Agència.

 

Capítol IV. Relació amb el departament d'adscripció

 

Article 11. Contracte programa

L'Agència de Ciberseguretat de Catalunya i l'Administració de la Generalitat, mitjançant el departament al qual és adscrita l'Agència, han d'establir un contracte programa pluriennal que ha d'incloure, com a mínim, la definició dels objectius, la previsió dels resultats en la gestió i els instruments de seguiment, control i avaluació a què s'ha de sotmetre l'activitat de l'Agència durant la vigència del contracte, i també la política de gestió dels recursos humans de l'Agència necessaris per a l'assoliment dels objectius establerts en el contracte, sens perjudici de la competència dels òrgans de govern de l'Agència per a determinar les línies generals de gestió dels seus recursos humans.

 

 

Disposicions addicionals

 

Primera. Adscripció a l'Agència dels béns de domini públic

1. S'adscriuen a l'Agència de Ciberseguretat de Catalunya els béns de l'Administració de la Generalitat i de les entitats del seu sector públic afectats a les funcions que exerceix l'Agència. Els béns de domini públic conserven aquesta naturalesa i les exempcions fiscals i econòmiques que tinguin reconegudes. El decret d'aprovació dels estatuts de l'Agència ha de concretar els béns objecte d'adscripció i el procediment amb què s'ha de formalitzar, que necessàriament n'ha de reflectir la valoració econòmica.

2. L'Agència de Ciberseguretat de Catalunya se subroga en els drets i les obligacions de contingut econòmic de l'Administració de la Generalitat i de les entitats del seu sector públic afectats a les funcions que exerceix l'Agència, la qual cosa s'ha de concretar en el decret d'aprovació dels estatuts.

 

Segona. Cessió a l'Agència dels actius materials, del personal i del pressupost i subrogació en els contractes i convenis

1. La Fundació Centre de Seguretat de la Informació de Catalunya (Cesicat) cedeix a l'Agència de Ciberseguretat de Catalunya, per al compliment de les seves funcions, tots els actius materials, el personal i els recursos pressupostaris assignats a la Fundació. Per a executar aquesta cessió, la Fundació ha de fer els tràmits interns necessaris des de l'aprovació d'aquesta llei i la Generalitat ha de fer les modificacions administratives i pressupostàries necessàries.

2. L'Agència de Ciberseguretat de Catalunya se subroga en els contractes i convenis subscrits per la Fundació Centre de Seguretat de la Informació de Catalunya.

3. L'Agència de Ciberseguretat de Catalunya se subroga en la posició jurídica de l'Administració de la Generalitat i de les entitats del seu sector públic pel que fa als drets i obligacions que li corresponen en l'àmbit de les funcions que l'Agència assumeix, la qual cosa s'ha de concretar en el decret d'aprovació dels estatuts.

 

 

Disposició transitòria

Exercici de les funcions de la Fundació Centre de Seguretat de la Informació de Catalunya fins a la constitució de l'Agència

1. La Fundació Centre de Seguretat de la Informació de Catalunya ha de continuar exercint les seves funcions a través dels mitjans tècnics i personals i dels actius propis fins que es constitueixi efectivament l'Agència de Ciberseguretat de Catalunya i se'n completi la posada en marxa.

2. El personal laboral que, en la data de constitució de l'Agència de Ciberseguretat de Catalunya, estigui prestant serveis a la Fundació Centre de Seguretat de la Informació de Catalunya s'integra a l'Agència pel mecanisme de successió d'empresa, d'acord amb el que estableix la normativa laboral corresponent.

 

 

Disposicions finals

 

Primera. Modificació de la Llei 29/2010, de l'ús dels mitjans electrònics al sector públic de Catalunya

1. S'afegeix una lletra, la e, a l'article 6.2 de la Llei 29/2010, del 3 d'agost, de l'ús dels mitjans electrònics al sector públic de Catalunya, amb el text següent:

«e) Garantir un nivell de ciberseguretat adequat en l'ús dels mitjans electrònics.»

2. S'afegeix una lletra, la g, a l'article 6.3 de la Llei 29/2010, amb el text següent:

«g) Garantir, en l'àmbit del model català d'administració electrònica i en la prestació de serveis públics a la ciutadania per mitjans electrònics, una seguretat de la informació adequada, i determinar i aplicar el nivell adequat de ciberseguretat del model català d'administració electrònica.»

3. S'afegeix un apartat, el 5, a l'article 7 de la Llei 29/2010, amb el text següent:

«5. L'Agència de Ciberseguretat de Catalunya s'encarrega de planificar, gestionar i controlar la ciberseguretat en la prestació dels serveis d'identificació electrònica i d'identitat i confiança digitals per part dels prestadors establerts a Catalunya o que, altrament, ofereixin serveis al sector públic de la Generalitat.»

 

Segona. Constitució de l'Agència

En el termini d'un any a comptar de l'entrada en vigor d'aquesta llei, l'Agència de Ciberseguretat de Catalunya s'ha de constituir, el Govern n'ha d'aprovar els estatuts i les normes necessàries per al seu desplegament, i s'han d'adscriure a l'Agència els béns de domini públic.

 

Tercera. Dissolució de la Fundació Centre de Seguretat de la Informació de Catalunya

La Fundació Centre de Seguretat de la Informació de Catalunya ha d'iniciar el procediment de dissolució en el moment de la constitució de l'Agència de Ciberseguretat de Catalunya, i aquesta ha d'acceptar els béns, els drets i les obligacions que li cedeixi la Fundació.

 

Quarta. Autoritzacions

1. S'autoritza el Govern perquè faci les modificacions pressupostàries i patrimonials necessàries per a traspassar a l'Agència de Ciberseguretat de Catalunya els recursos a què fan referència les disposicions addicionals primera i segona.

2. S'autoritza els representants de l'Administració de la Generalitat en els òrgans de govern de la Fundació Centre de Seguretat de la Informació de Catalunya perquè facin tots els actes necessaris per a la seva dissolució i liquidació.

 

Cinquena. Entrada en vigor

Aquesta llei entra en vigor l'endemà d'haver estat publicada en el Diari Oficial de la Generalitat de Catalunya.

 

 

Per tant, ordeno que tots els ciutadans als quals sigui d'aplicació aquesta Llei cooperin al seu compliment i que els tribunals i les autoritats als quals pertoqui la facin complir.

 

Palau de la Generalitat, 25 de juliol de 2017

 

Carles Puigdemont i Casamajó

President de la Generalitat de Catalunya

 

Jordi Turull i Negre

Conseller de la Presidència

Amunt