martes, 6 de septiembre de 2022

La Asamblea de Madrid publicó anexos del expediente y el proyecto de ley de creación de la Agencia de Ciberseguridad de la Comunidad de Madrid, ya en trámite parlamentario : la Consejería de Sanidad propuso que no se extendieran competencias de la futura Agenciia a las específicas de Sanidad

La Asamblea de Madrid publicó semanas atrás en la página web de la iniciativa parlamentaria sobre el Proyecto de Ley 12/2022 de creación de la Agencia de Ciberseguridad de la Comunidad de Madrid, acordado por el Gobierno  de la Comunidad de Madrid en el Consejo de Gobierno de 8/6/2022, varios ANEXOS del expediente previo de tramitación del borrador del proyecto de ley, o anteproyecto, entre ellos el Anexo con las Observaciones de la Consejería de Sanidad a dicho borrador realizadas el 16/03/2022.

Con este proyecto de ley, el Gobierno regional pretende que se cree un ente público,  sometido con carácter general al derecho privado que "vele por el cumplimiento de las funciones" del servicio público de ciberseguridad en el ámbito de competencias de la Comunidad de Madrid, y  además "permita impulsar una cultura de la ciberseguridad" en empresas y ciudadanos.  Así, en especial, en cuanto a la seguridad de la Administración General e Institucional -que incluye a la Consejería de Sanidad y al SERMAS por tanto- tendrá como funciones:

  • "proponer la política global de seguridad de la información de la Comunidad de Madrid "
  • "proponer y promover el uso de soluciones " de seguridad informática 
  • y los "servicios de ciberseguridad destinados a la prevención, detección y respuesta, ante las amenazas contra la seguridad de las redes y sistemas en su ámbito de actuación"

 

La Consejería de Sanidad señala  en su escrito con las observaciones al borrador del proyecto o anteproyecto:


  • que ha "desarrollado una importante y sólida estructura en todo aquello que son competencias de la Dirección General de Sistemas de Información y Equipamientos Sanitarios (DGSIES)",  en referencia a su Oficina Seguridad de SSII, que "no sólo afecta a los Servicios Centrales del SERMAS, sino a todos y cada uno de los centros sanitarios e instituciones que dependen del mismo", añadiendo "no sólo desde el aspecto técnico y de estructuras, sino con un personal altamente cualificado en materia de protección de datos y de ciberseguridad", 
  • "no es casual la existencia de un CISO en la Consejería de Sanidad, adscrito a la Dirección General de Sistema de Información y Equipamientos Sanitarios, o que el Delegado de Protección de Datos en esta Consejería esté sustituido por un Comité Delegado de Protección de Datos, también adscrito a la misma Dirección General".
  • "la Oficina de Seguridad de Sistemas de Información de la DGSIES
    está inscrito [en el Centro Criptológico Nacional, o CCN, del estado] como instrumento que permite la prevención, detección, respuesta a amenazas y riesgos de seguridad como CERT Sectorial"
  • "El propio Centro Criptológico Nacional (CCN) en el recientemente publicado documento sobre el desarrollo de la red nacional de SOC recomienda que se utilicen servicios sectoriales para aquellos servicios esenciales como los del ámbito de salud, distribución alimentaria, aguas,etc.; dado que son propicios a ser objetivos de ciberataques"


Y la Consejería de Sanidad propuso en este escrito que se modificara el texto del proyecto que fuera a acordar el Gobierno regional  para que:

  1. el CSIRT (Equipo de Respuesta a Incidentes de Ciberseguridad) de
    referencia de la Comunidad de Madrid, que incluiría la nueva Agencia de Ciberseguridad, ejerciendo las funciones de alerta temprana y de ayuda en la respuesta ante amenazas, vulnerabilidades, ataques e incidentes de seguridad, lo hiciera "en colaboración con el resto de CSIRT/CERT sectoriales de la Comunidad de Madrid, nacionales e internacionales”  [proponiendo por tanto Sanidad mantener su CERT propio]
    ,


  2.  no se extendieran al ámbito sanitario determinadas competencias de la nueva Agencia, adoptando por tanto  una solución similar a la que se decidió cuando se creó la Agencia para la Administración Digital de la Comunidad de Madrid"

    Así solicitó que incluyera una Disposición Adicional con el siguiente texto: “Las funciones relacionadas en el artículo 3.2 no se extenderán a las competencias específicas de la Consejería de Sanidad de la Comunidad de Madrid en cuanto a los sistemas de información que puedan tener efectos en la salud de los pacientes y en la actuación de los profesionales sanitarios”.”

 

 

Y  el Boletín Oficial de la Asamblea de Madrid nº54 de 16/06/2022 publicó en sus página 13765 a 13778   el texto acordado por el Gobierno regional como proyecto de ley , texto que ya ha pasado  al trámite parlamentario, donde ya ha recibido enmiendas a la totalidad.

 El texto finalmente acordado por el gobierno regional no recoge estas  propuestas de su Consejería de Sanidad.

Recordemos que la citada Oficina de Seguridad de SSII de la Consejería de Sanidad se encuentra casi totalmente  externalizada mediante  el concurso público adjudicado a Oesía Networks, S.L. cuya última prórroga vence en Noviembre de 2022.

 

Entradas relacionadas:

Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)