El Decreto no 79/2025, de 5 de junio (LA LEY 19972/2025), define y regula la política de seguridad de la información que se ha de aplicar en el tratamiento de la información situada bajo la responsabilidad de los distintos órganos de la Administración General de la Comunidad Autónoma de la Región de Murcia y sus organismos públicos y entidades de derecho público y privado vinculadas y dependientes de ella, cuya misión conjunta es la realización de los intereses públicos regionales. Asimismo, establece el reparto de funciones y responsabilidades en materia de seguridad de la información.
Se entiende por seguridad de la información la capacidad de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que los sistemas de información ofrecen o hacen accesibles. Por ello, deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la autenticidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. La defensa de estas amenazas requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios, motivo por el cual los departamentos deben aplicar las medidas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Por todo ello, los órganos de la Administración Regional, sus organismos y entes públicos, en su caso, deben cerciorarse de que la seguridad de los sistemas de información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación, de tal manera que los requisitos de seguridad y las necesidades de financiación deben identificarse e incluirse en la planificación, en la solicitud de ofertas y en pliegos de licitación para proyectos relacionados con los sistemas de información.
Política de seguridad
Dispone la norma que la política de seguridad y la organización de la seguridad de la información es aplicable a toda la información bajo la responsabilidad de la Administración General de la Comunidad Autónoma de la Región de Murcia y sus organismos públicos y entidades de derecho público y privado vinculadas y dependientes de ella a los que les sea de aplicación.
No se limita a los datos de carácter personal y es independiente de que el tratamiento sea manual o automatizado y su soporte electrónico o en papel, siendo de aplicación a todos los sistemas de información y de obligado cumplimiento por todos los órganos de la Administración de la Comunidad.
Además, el texto recoge los principios generales de protección en materia de seguridad de la información y determina el marco normativo que ha de servir de referencia en materia de seguridad de la información.
Organización de la política de seguridad de la información
La seguridad de los sistemas de información y de la información que contienen corresponde a los siguientes órganos y responsables:
- — Comité de Seguridad de la Información: se crea como órgano colegiado dependiente de la Consejería competente en materia informática con el objetivo de garantizar la coordinación de la seguridad de la información en la Administración regional, asegurar la eficacia en la aplicación de las medidas en esta materia y promover la adecuada inserción de la cultura de la seguridad de la información en todos los ámbitos competenciales de la Administración Regional, así como entre los empleados públicos y cualesquiera otras personas que desempeñen funciones o asuman responsabilidades públicas en el ámbito de las Administración regional. La norma detallas sus funciones y regula su composición
- — Responsable de la Información: determinará los requisitos de la información tratada, de conformidad con el artículo 13.2 del Real Decreto 311/2022, de 3 de mayo (LA LEY 9076/2022), y será, para cada sistema de información, la persona titular del órgano administrativo, con rango inferior a Consejería, con competencia suficiente para decidir sobre la finalidad, el contenido, el uso y el tratamiento de la información contenida en aquél. Asimismo, se concretan sus funciones.
- — Responsable del Servicio: determinará los requisitos de los servicios prestados, de conformidad con el artículo 13.2 del Real Decreto 311/2022, de 3 de mayo (LA LEY 9076/2022), y será, para cada sistema de información, la persona titular del órgano administrativo, con rango inferior a Consejería, con competencia suficiente para decidir sobre la finalidad y prestación del servicio que sustenta, pudiendo ejercer las concretas funciones que se le atribuyen.
- — Responsable de la Seguridad: será designada por quien sea titular de la Dirección General de la Agencia de Transformación Digital de la Región de Murcia entre personal adscrito a dicho organismo y. conforme al principio de segregación de funciones, no abarcará funciones de administración o explotación de sistemas de información, o plataformas tecnológicas que los sustenten, concernidos por esta norma, limitándose a la gestión de los sistemas de información que requiera el desarrollo de las funciones que desarrollará. Cuando lo justifique la complejidad, la separación física de sus elementos o el número de usuarios de la información en soporte electrónico o de los sistemas que la manejen, la persona titular de la Dirección General de la Agencia de Transformación Digital de la Región de Murcia podrá designar Responsables de la Seguridad Delegados que, bajo la dirección del Responsable de la Seguridad, ejercerán en su ámbito de actuación las funciones que aquel les delegue.
- — Responsable del Sistema: designada para cada sistema de información por quien sea titular de la Dirección General de la Agencia de Transformación Digital de la Región de Murcia, entre personal adscrito a dicho organismo, desarrollará las funciones que específicamente la norma le asigna.
- — Coordinador Operativo de la Seguridad: será, para cada área de conocimiento o funcional, la persona designada entre su personal por quien sea titular de la Dirección General de la Agencia de Transformación Digital de la Región de Murcia, y asumirá las funciones que se le atribuyen.
- — Comités de Seguridad de la Información Delegados y Responsables de la Seguridad Delegados, en su caso.
En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la política de seguridad de la información, éste será resuelto por la persona titular de la Dirección General de la Agencia de Transformación Digital de la Región de Murcia.
Desarrollo, revisión y control del cumplimiento de la política de seguridad de la información
La norma se ocupa del desarrollo de la política de seguridad de la información, que tendrá lugar en niveles con diferente ámbito de aplicación y nivel de detalle técnico, de manera que cada documento de un determinado nivel de desarrollo se fundamente en los documentos de nivel superior.
Dichos niveles de desarrollo, de mayor a menor nivel, son las normas de seguridad (definen qué hay que proteger y los requisitos de seguridad deseados), los procedimientos de seguridad (describen de forma concreta cómo proteger lo definido en las normas a las personas o grupos responsables de la implantación, mantenimiento y seguimiento de su nivel de cumplimiento), las instrucciones técnicas de seguridad (describen de forma detallada cómo abordar la implantación técnica por los distintos actores de lo definido en una parte de los procedimientos de seguridad) y las guías y manuales de seguridad (documentan aspectos de seguridad no contemplados en la normativa anterior).
Por lo que respecta a la revisión, el texto establece que las propuestas de modificación de la política de seguridad de la información, en su caso, serán aprobadas por la Consejería con competencia en materia informática. Además, la política de seguridad de la información deberá mantenerse actualizada permanentemente para adecuarla al progreso de los servicios de la administración electrónica, a la evolución tecnológica y a los estándares internacionales de seguridad.
Igualmente, la norma contempla el establecimiento de programas de concienciación y formación e impone la obligación de conocer y cumplir esta política de seguridad de la información y la normativa de seguridad que la desarrolle a todos los empleados públicos y cualesquiera otras personas que desempeñen funciones o asuman responsabilidades públicas en el ámbito de la Administración Pública de la Región de Murcia.
El incumplimiento de la política de seguridad o de su normativa de desarrollo dará lugar al establecimiento por la Agencia de Transformación Digital de la Región de Murcia de las medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia, por el organismo competente, de responsabilidades disciplinarias.
Por último, el texto regula la participación en la política de seguridad de la información de terceras partes.
Modificaciones legislativas
Se deroga la Orden de 28 de marzo de 2017 (LA LEY 5158/2017), del Consejero de Hacienda y Administración Pública por la que se establece la política de seguridad de la información en la Administración Regional.
Entrada en vigor y disposiciones transitorias
El Decreto no 79/2025, de 5 de junio (LA LEY 19972/2025), entra en vigor el 8 de julio de 2025, a los veinte días de su publicación en el Boletín Oficial de la Región de Murcia.
Hasta la puesta en funcionamiento efectivo de la Agencia de Transformación Digital de la Región de Murcia, las funciones atribuidas a esta serán desempeñadas por la Dirección General competente en materia informática.