Preguntas frecuentes: Planes de continuidad en materia de ciberseguridad
NOTAS IMPORTANTES
Las autoridades competentes en ciberseguridad y las organizaciones que operan en sectores esenciales o sensibles colaboran en esta materia. Si tu actividad es una de ellas consulta en tu organización acerca del plan de continuidad y los datos específicos que deben remitirse.
Para más información consulta con la Agencia Vasca de Ciberseguridad, Cyberzaintza :
Plazo de cumplimiento de las obligaciones de la Orden: a partir del día siguiente de su publicación en el Boletín Oficial del País Vasco para todas las actividades, centros, establecimientos o infraestructuras nuevas y para las ya existentes se da un periodo de carencia igual al periodo de revisión de su Plan de Autoprotección.
Para la tramitación de la información de ciberseguridad, una vez se hayan aportado los datos de la actividad en el Registro de Autoprotección, se debe cumplimentar el formulario Ficha con datos específicos para la protección en ciberseguridad. Posteriormente se debe remitir el mismo a la Agencia Vasca de Ciberseguridad – Cyberzaintza a través del Registro Electrónico General.
Ficha con datos específicos para la protección en ciberseguridad (PDF, 142 KB)
En adelante, la referencia a la Orden se entenderá realizada a la ORDEN de 7 de junio de 2024, del Vicelehendakari Primero y Consejero de Seguridad, por la que se regula la elaboración de planes de continuidad en materia de ciberseguridad para ciertas actividades sujetas a la norma vasca de autoprotección.
- ¿Qué es la Agencia Vasca de Ciberseguridad?
- ¿Cuál es la actuación de la Agencia Vasca de Ciberseguridad en relación a esta Orden?
- ¿Cuál es la actuación de la Dirección de Atención de Emergencias y Meteorología de Gobierno Vasco en relación a esta Orden?
- ¿A qué actividades les aplica la Orden?
- Aparte de los sectores mencionados, ¿puede la administración pública competente obligarme a elaborar el plan de continuidad?
- ¿Puedo voluntariamente elaborar el plan de continuidad en materia de ciberseguridad?
- ¿Cuáles son los sectores prioritarios de la CAE?
- ¿Pueden modificarse en un futuro los sectores prioritarios de la CAE?
- Ejemplos de actividades a las que les aplica la Orden
- ¿La Orden se aplica a las actividades incluidas en el Anexo I.3, eventos temporales, del Decreto 277/2010, modificado por el Decreto 21/2019?
- ¿Qué obligaciones asigna la Orden a las personas titulares?
- ¿Qué es un plan de continuidad en materia de ciberseguridad?
- ¿Quién es el responsable del plan de continuidad en materia de ciberseguridad?
- ¿Cuál es la finalidad del plan de continuidad en materia de ciberseguridad?
- ¿Es un documento distinto del plan de autoprotección?
- ¿Podrían fusionarse en un documento único y común?
- ¿Quién determina el contenido del plan de continuidad en materia de ciberseguridad?
- ¿Dónde puedo ver el contenido mínimo que se exige al plan de continuidad?
- ¿Qué debe contener, como mínimo, el plan de continuidad?
- ¿El plan de continuidad en materia de ciberseguridad necesariamente debe estar redactado por una persona técnica competente para la elaboración de los Planes de Autoprotección?
- ¿En qué plazos debe cumplirse con lo dispuesto en esta Orden?
- Notificación de incidentes: ¿Quiénes tienen la obligación de notificar?
- Notificación de incidentes: ¿Qué incidentes deben notificarse?
- Notificación de incidentes: ¿A quién deben notificarse? ¿y por qué medio?
- Dudas, ¿cómo puedo aclararlas?
¿Qué es la Agencia Vasca de Ciberseguridad?
Agencia Vasca de Ciberseguridad, Cyberzaintza es un organismo público, con personalidad jurídica propia, creado para combatir, de una manera integral y transversal, las amenazas derivadas del uso de internet y las nuevas tecnologías en Euskadi.
La Agencia está adscrita al Departamento de Seguridad del Gobierno Vasco, de modo que cuenta con las herramientas y recursos necesarios para afrontar de manera global los riesgos en el ámbito de la ciberseguridad de Euskadi, con especial atención a la protección de las infraestructuras sensibles y de la ciudadanía y empresas, a través de la sensibilización constante y de la capacitación para su autoprotección.
Sus principales funciones son:
- Investigar y analizar los ciberincidentes y ciberataques.
- Detectar y responder ante ellos, estableciendo criterios y promoviendo medidas de protección adecuadas frente a las ciberamenazas. En concreto, entre sus funciones cuenta con la de “prevenir y detectar incidentes de ciberseguridad en la Comunidad Autónoma Vasca y responder a ellos, estableciendo criterios y promoviendo el despliegue de las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan, todo ello con respeto del marco competencial aplicable” (artículo 2.2.e de la Ley 7/2023, de 29 de junio).
- Identificar y vigilar los servicios públicos críticos y esenciales para proponer medidas adecuadas para su ciberprotección.
- Ejercer las funciones de equipo de respuesta a emergencias (CERT) y de respuesta ante incidentes de ciberseguridad (CSIRT), trabajando en coordinación con los organismos nacionales o internacionales para mitigar los efectos y minimizar los daños causados por posibles ataques.
- Concienciar y promover en la sociedad la importancia de la ciberseguridad, con programas educativos y campañas de sensibilización para fomentar comportamientos seguros en Internet.
- Apoyar e impulsar la capacitación en materia de ciberseguridad y desarrollo digital seguro a empresas y sectores esenciales de Euskadi como son la sanidad, las emergencias, la seguridad, los servicios sociales, la educación, el transporte, etc.
- Promover y coordinar una estrategia de ciberseguridad común para el conjunto de las administraciones públicas vascas.
- Y cualesquiera otras funciones recogidas en la Ley 7/2023 o que en el futuro le sean conferidas por la legislación o le sean expresamente delegadas o atribuidas.
La Ley 7/2023, de 29 de junio , aprobada por el Parlamento Vasco, recoge la creación de Cyberzaintza para promover y coordinar la ciberseguridad en el sector público vasco.
¿Cuál es la actuación de la Agencia Vasca de Ciberseguridad en relación a esta Orden?
- Propone la categorización de los sectores de aquellas actividades, centros, establecimientos o infraestructuras que son prioritarias en la Comunidad Autónoma de Euskadi y que deben elaborar el plan de continuidad de ciberseguridad.
- Define el contenido mínimo del plan de continuidad en materia de ciberseguridad.
- Supervisa e inspecciona el plan de continuidad en materia de ciberseguridad.
- Define el contenido, y supervisa e inspecciona la Ficha con Datos Específicos para la protección en ciberseguridad.
- Define qué tipo de incidentes de ciberseguridad deben ser notificados a la Agencia Vasca de Ciberseguridad.
- Define el contenido, tiempos y forma de la notificación inicial y sucesivas de los incidentes de ciberseguridad.
- Gestiona los incidentes relativos a ciberseguridad notificados por el Centro de Coordinación de Emergencias de Euskadi (SOS-Deiak).
- Establece criterios, orienta y desarrolla contenidos para los planes de continuidad de ciberseguridad.
Si deseas ampliar la información sobre estos aspectos:
Más información en la web de la Agencia Vasca de Ciberseguridad
¿Cuál es la actuación de la Dirección de Atención de Emergencias y Meteorología de Gobierno Vasco en relación a esta Orden?
- Establece las obligaciones de autoprotección en relación con la ciberseguridad de las personas titulares de las actividades afectadas por la Orden (artículo 4).
- Habilita y mantiene un apartado específico de ciberseguridad en el Registro de Planes de Autoprotección de Euskadi para que las personas titulares de las actividades afectadas por la Orden registren su obligatoriedad de elaborar el plan de continuidad, los datos específicos de la ficha y la declaración responsable relativa al cumplimiento de la normativa.
- Comprueba la obligatoriedad de realizar el plan de continuidad en materia de ciberseguridad para las actividades sujetas a la Orden en el proceso de inscripción de los datos relativos al Plan de Autoprotección, y requiere si procede, la subsanación de tal cuestión a la persona titular de la actividad.
- Remite a la Agencia Vasca de ciberseguridad de Euskadi las notificaciones de los incidentes relativos a ciberseguridad notificados al Centro de Coordinación de Emergencias de Euskadi (SOS-Deiak).
¿A qué actividades les aplica la Orden?
A aquellas actividades, centros o establecimientos incluidos en el anexo I.1 y I.2 del Decreto 277/2010, modificado por el Decreto 21/2019 y que a su vez ejercen su actividad en alguno de los siguientes sectores prioritarios de la CAE:
- Tecnologías de la información comunicaciones.
- Gobierno y Administración Pública.
- Energía.
- Cadena alimentaria.
- Infraestructuras y medios de transporte y logística.
- Finanzas.
- Agua.
- Agentes económicos relevantes.
- Sanidad.
- Residuos urbanos e industriales.
- Sectores industriales de riesgo.
- Investigación.
Aparte de los sectores mencionados, ¿puede la administración pública competente obligarme a elaborar el plan de continuidad?
Sí. Se puede exigir su cumplimiento a aquellas actividades que, no estando incluidas en el ámbito de aplicación de la Orden, presenten un especial riesgo o vulnerabilidad.
¿Puedo voluntariamente elaborar el plan de continuidad en materia de ciberseguridad?
Sí. Aquellas que decidan voluntariamente elaborar un plan de continuidad en materia de ciberseguridad conforme a lo previsto en la Orden, asumen de ese modo las mismas responsabilidades con respecto a la ciberseguridad que los titulares para los que su realización es obligatoria, si bien, en cualquier momento y de un modo voluntario, podrán solicitar la no realización y control del plan, aunque continúen con su actividad.
¿Cuáles son los sectores prioritarios de la CAE?
- Tecnologías de la información comunicaciones.
- Gobierno y Administración Pública.
- Energía.
- Cadena alimentaria.
- Infraestructuras y medios de transporte y logística.
- Finanzas.
- Agua.
- Agentes económicos relevantes.
- Sanidad.
- Residuos urbanos e industriales.
- Sectores industriales de riesgo.
- Investigación.
Recogidos en el Anexo I de la Orden, sin perjuicio de los mismos puedan ser modificados posteriormente.
¿Pueden modificarse en un futuro los sectores prioritarios de la CAE?
Sí.
Mediante una Orden de la persona titular del Departamento competente en materia de Seguridad, en virtud de la transposición que se efectúe de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Así como en virtud de cualquier otra normativa relacionada con estos sectores en materia de ciberseguridad.
Ejemplos de actividades a las que les aplica la Orden
Si tu actividad sí se encuentra incluida en los anexos I.1 o I.2 de la Norma Vasca de Autoprotección y tienes dudas sobre si debe elaborar el plan de continuidad en ciberseguridad por estar adscrita a los sectores prioritarios de la CAE, te ofrecemos a continuación la siguiente orientación y unos ejemplos que, como tal, no logran cubrir todas las casuísticas posibles:
1. Las autoridades competentes en ciberseguridad y muchas de las organizaciones que operan en sectores prioritarios o infraestructuras sensibles vienen colaborando en materia de ciberseguridad. Puede que tu actividad sea una de ellas. Consulta en tu organización acerca del plan de continuidad y los datos específicos que deben remitirse a través de la Ficha.
2. A modo orientativo, y en la siguiente lista no exhaustiva, a las siguientes actividades que se encuadran en los anexos I.1 o I.2 de la Norma Vasca de Autoprotección SÍ les aplica la Orden que regula la elaboración de planes de continuidad en materia de ciberseguridad:
- Establecimientos SEVESO de nivel Inferior y Superior (Real Decreto 840/2015, de 21 de septiembre), así como los establecimientos con cantidades iguales o superiores al 60% de las especificadas en la columna 2 de las partes 1 y 2 del Anexo I del Real Decreto 840/2015.
- Establecimientos en los que intervienen explosivos, regulados por la ITC 10 sobre prevención de accidentes graves del Reglamento de Explosivos.
- Actividades de Gestión de Residuos Peligrosos, recogida, almacenamiento, valorización o eliminación, de acuerdo con lo establecido en la Ley 7/2022, de 8 de abril.
- Instalaciones para la obtención, transformación, tratamiento, almacenamiento y distribución de sustancias o materias biológicas peligrosas (agentes biológicos del grupo 4 o del grupo 3). Instalaciones de utilización confinada de organismos modificados genéticamente: actividades de riesgo alto o riesgo moderado.
- Actividades de infraestructuras de transporte: túneles de la red de carreteras de la CAE, puertos de interés general y puertos comerciales, aeropuertos, aeródromos e instalaciones aeroportuarias, líneas ferroviarias, metro y tranvía, autopistas de peaje, áreas de estacionamiento para transporte de mercancías peligrosas por carretera y ferrocarril, estaciones de transporte terrestre e intercambiadores modales de transporte de todo tipo de viajeros y mercancías.
- Instalaciones nucleares y radiactivas, presas y embalses, centros de producción de energía eléctrica, instalaciones de generación y transformación de energía eléctrica en alta tensión.
- Establecimientos sanitarios en régimen de hospitalización o tratamiento intensivo o quirúrgico, y otros establecimientos sanitarios que, en función de su altura de evacuación, ocupación o superficie, estén bajo la Norma Vasca de Autoprotección.
3. Para las otras actividades industriales, de almacenamiento y de investigación que se encuadren en los anexos I.1 o I.2 de la Norma Vasca de Autoprotección, dependerá del sector prioritario en el que desempeñen su actividad.
4. En principio, la Orden no afecta a las actividades docentes, actividades residenciales públicas, y a las otras actividades en centros, establecimientos, espacios, instalaciones recogidas en el anexo I.2 de la Norma Vasca de Autoprotección, sin perjuicio de que, dependiendo del sector prioritario en el que desempeñen su actividad finalmente les sea de aplicación.
Si deseas ampliar la información sobre estos aspectos:
Más información en la web de la Agencia Vasca de Ciberseguridad
¿La Orden se aplica a las actividades incluidas en el Anexo I.3, eventos temporales, del Decreto 277/2010, modificado por el Decreto 21/2019?
No.
No aplica a los eventos temporales regulados en el Capítulo III Bis de dicha norma.
¿Qué obligaciones asigna la Orden a las personas titulares?
Obliga a adoptar unas medidas para la continuidad informática de su actividad ante incidentes de ciberseguridad:
- Elaborar un plan de continuidad de ciberseguridad.
- Remitir a través del Registro de Autoprotección de Euskadi la obligatoriedad de realizar el plan de continuidad en materia de ciberseguridad, la ficha con datos específicos y la declaración responsable del titular.
- Implantar el plan de continuidad y mantener la eficacia del mismo.
- Nombrar a las personas físicas responsables de la ciberseguridad.
- Informar y formar al personal a su servicio.
- Mantener los medios materiales y personales necesarios.
- Aplicar las medidas previstas en el plan de continuidad.
- Realizar ejercicios o simulacros periódicos.
- Notificar inicialmente a la Agencia Vasca de Ciberseguridad cualquier incidente relativo a ciberseguridad a través del Centro de Coordinación de Emergencias de Euskadi (SOS DEIAK-112).
¿Qué es un plan de continuidad en materia de ciberseguridad?
Es el documento que, de acuerdo a las directrices de la autoridad competente en materia de ciberseguridad, recoge las medidas de prevención y protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que éstos tratan.
¿Quién es el responsable del plan de continuidad en materia de ciberseguridad?
La elaboración, implantación, mantenimiento y revisión del plan de continuidad en materia de ciberseguridad es responsabilidad de la persona titular de la actividad.
¿Cuál es la finalidad del plan de continuidad en materia de ciberseguridad?
Prever medidas y procedimientos que permitan la continuidad, pronta recuperación o restauración de servicios básicos para la comunidad en situaciones de emergencia, asegurando la supervivencia de las funciones esenciales de la actividad durante y después de la emergencia.
¿Es un documento distinto del plan de autoprotección?
Sí.
¿Podrían fusionarse en un documento único y común?
Sí, cuando dicha unión permita evitar duplicaciones innecesarias de la información y la repetición de los trabajos realizados por el titular o la autoridad competente, siempre que se cumplan todos los requisitos esenciales de la Orden.
¿Quién determina el contenido del plan de continuidad en materia de ciberseguridad?
Lo determina la Agencia Vasca de Ciberseguridad, en aplicación de lo dispuesto en el artículo 2.2.e de la Ley 7/2023, de 29 de junio, de creación de la Agencia Vasca de Ciberseguridad, por el cual es función de la Agencia prevenir y detectar incidentes de ciberseguridad en la Comunidad Autónoma Vasca y responder a ellos, estableciendo criterios y promoviendo el despliegue de las medidas de protección pertinentes ante las ciberamenazas y los riesgos inherentes sobre las infraestructuras tecnológicas, los sistemas de información, los servicios de las tecnologías de la información y la comunicación, y la información que estos tratan, todo ello con respeto del marco competencial aplicable.
¿Dónde puedo ver el contenido mínimo que se exige al plan de continuidad?
En el Anexo II de la Orden. Sin perjuicio de que pueda ser modificado mediante Resolución de la persona titular de la Agencia Vasca de Ciberseguridad, que se publicará en el Boletín Oficial del País Vasco.
¿Qué debe contener, como mínimo, el plan de continuidad?
- Una planificación y un control operacional.
- Un análisis de impacto del negocio y evaluación de riesgos.
- Estrategias y soluciones de continuidad del negocio.
- Planes y procedimientos de continuidad del negocio.
- Programa de ejercicios.
La Agencia Vasca de Ciberseguridad desarrollará una guía con la estructura del documento del plan de continuidad en materia de ciberseguridad.
¿El plan de continuidad en materia de ciberseguridad necesariamente debe estar redactado por una persona técnica competente para la elaboración de los Planes de Autoprotección?
No.
¿En qué plazos debe cumplirse con lo dispuesto en esta Orden?
- Para las actividades, centros, establecimientos o infraestructuras nuevas las obligaciones recogidas en la Orden son exigibles a partir del día siguiente de su publicación en el Boletín Oficial del País Vasco.
- Para las actividades, centros, establecimientos o infraestructuras existentes se da un periodo de carencia igual al periodo de revisión de su Plan de Autoprotección.
Notificación de incidentes: ¿Quiénes tienen la obligación de notificar?
Las personas titulares de las actividades, centros, establecimientos o infraestructuras a las que les aplica la Orden.
Notificación de incidentes: ¿Qué incidentes deben notificarse?
Deben notificarse inicialmente los incidentes que responden a lo especificado en el Anexo IV de la Orden: se notificarán los incidentes que puedan tener efectos perturbadores significativos en los servicios, considerándose a tales efectos los clasificados dentro de la siguiente taxonomía:
- Contenido dañino: infección de algún sistema con malware.
- Intrusión: compromiso de un sistema en el que el atacante ha conseguido acceso.
- Disponibilidad: incidente en el que la prestación del servicio se vea afectada.
- Compromiso de la información: incidente en el que se haya tenido acceso no autorizado a la información de la organización.
- Fraude: incidente que mediante el uso de medios electrónicos desemboque en un daño económico, material o de cualquier otra naturaleza.
Sin perjuicio de que pueda ser modificado mediante Resolución de la persona titular de la Agencia Vasca de Ciberseguridad, que se publicará en el Boletín Oficial del País Vasco.
Notificación de incidentes: ¿A quién deben notificarse? ¿y por qué medio?
Deben notificarse a la Agencia Vasca de Ciberseguridad.
- Notificación inicial: inmediata. Llamando al Centro de Coordinación de Emergencias de Euskadi (SOS DEIAK - 112), sin perjuicio de cualquier otra notificación que deban hacerse por requerimiento legal.
- Las notificaciones posteriores se harán directamente a la Agencia Vasca de Ciberseguridad.
Para más información consultar el Anexo IV a la Orden: Incidente relativo a la ciberseguridad que ha de ser notificado.
Dudas, ¿cómo puedo aclararlas?
Si tienes dudas respecto a los planes de continuidad en materia de ciberseguridad, el contenido de la ficha de datos específicos, la supervisión y control de los mismos y los incidentes de ciberseguridad, puedes dirigirte a la Agencia Vasca de Ciberseguridad a través del correo electrónico:
Más información en la web de la Agencia Vasca de Ciberseguridad, Cyberzaintza
Si tienes dudas con el apartado de ciberseguridad del Registro General de Planes de Autoprotección de Euskadi puedes dirigirte a esta Dirección de Atención de Emergencias y Meteorología a través de los siguientes medios:
registroautoproteccion@euskadi.eus
945 064 451
NOTA IMPORTANTE
Para la tramitación de la información de ciberseguridad, una vez se hayan aportado los datos de la actividad en el Registro de Autoprotección, se debe cumplimentar el formulario Ficha con datos específicos para la protección en ciberseguridad. Posteriormente se debe remitir el mismo a la Agencia Vasca de Ciberseguridad – Cyberzaintza a través del Registro Electrónico General.
Ficha con datos específicos para la protección en ciberseguridad (PDF, 142 KB)
- ¿Cómo acceder al Registro para remitir los datos de ciberseguridad?
- ¿Quién debe solicitar la inscripción de los datos de ciberseguridad en el Registro?
- ¿Qué datos relativos a ciberseguridad deben inscribirse en el Registro General de Planes de Autoprotección de Euskadi?
- ¿Dónde y cómo se inscriben los datos relativos a ciberseguridad en el Registro de Planes de Autoprotección de Euskadi?
- ¿Qué datos contiene la “Ficha con datos específicos para la protección en ciberseguridad”?
- ¿Las autoridades competentes en materia de protección civil y emergencias van a supervisar, validar o inspeccionar el contenido del plan de continuidad?
- ¿La Agencia Vasca de Ciberseguridad va a supervisar, validar o inspeccionar el contenido del plan de continuidad?
- ¿Cómo afecta el apartado de ciberseguridad a la resolución relativa a la inscripción del Plan de Autoprotección en el Registro?
- ¿Quién tiene acceso al apartado de ciberseguridad del Registro de Planes de Autoprotección de Euskadi?
- ¿Tienen acceso al apartado de ciberseguridad los integrantes del Sistema Vasco de Atención de Emergencias?
- Dudas, ¿cómo puedo aclararlas?
¿Cómo acceder al Registro para remitir los datos de ciberseguridad?
Se accede de la misma forma que para inscribir los datos relativos al Plan de Autoprotección, por vía electrónica a través de la Sede Electrónica del Gobierno Vasco.
Acceso para TITULARES de planes ya registrados
Acceso al Registro de Planes de Autoprotección
¿Quién debe solicitar la inscripción de los datos de ciberseguridad en el Registro?
De la misma forma que para inscribir los datos relativos al Plan de Autoprotección, debe solicitarlo la persona titular o la persona que le represente a estos efectos.
¿Qué datos relativos a ciberseguridad deben inscribirse en el Registro General de Planes de Autoprotección de Euskadi?
Deberá inscribirse:
- La obligatoriedad de realizar el plan de continuidad en materia de ciberseguridad.
- Los campos de datos específicos para la protección en ciberseguridad: ficha con datos específicos.
- La declaración responsable de la persona titular relativa al cumplimiento de toda la normativa de ciberseguridad.
¿Dónde y cómo se inscriben los datos relativos a ciberseguridad en el Registro de Planes de Autoprotección de Euskadi?
En el apartado CIBERSEGURIDAD se le pedirá que indique si su actividad está afectada por la Orden y por tanto debe elaborar el plan de continuidad.
En el caso de haya respondido afirmativamente:
1. La aplicación le recordará que debe abrir y cumplimentar la Ficha con datos específicos para la protección en ciberseguridad:
Ficha con datos específicos para la protección en ciberseguridad (PDF, 142 KB)
2. La aplicación generará y le mostrará un Código de Ciberseguridad
3. Debe completar la Ficha con datos específicos para la protección en ciberseguridad, incluyendo el Código de Ciberseguridad. Una vez completada la Ficha con datos específicos, deberá dirigirse al Registro Electrónico General:
4. Una vez haya accedido al Asistente del Registro electrónico general, debe optar por presentar una solicitud, escrito o comunicación, accediendo para ello al Formulario del Registro Electrónico General.
5. Diríjase al Organismo Otros órganos, organismos y entes y seleccione la opción CyberZaintza.
6. Adjunte el archivo Ficha con datos específicos para la protección en ciberseguridad y siga los pasos indicados para concluir el procedimiento.
¿Qué datos contiene la “Ficha con datos específicos para la protección en ciberseguridad”?
Los campos contenidos en la Ficha con datos específicos para la protección en ciberseguridad están recogidos en el anexo III de la ORDEN de 7 de junio de 2024 del Vicelehendakari Primero y Consejero de Seguridad que regula la elaboración de planes de continuidad informática en materia de ciberseguridad para ciertas actividades sujetas a la Norma Vasca de Autoprotección.
Importante: en lo sucesivo el contenido de los anexos podrá ser modificado mediante Resolución de la persona titular de la Agencia Vasca de Ciberseguridad, que se publicará en el Boletín Oficial del País Vasco.
¿Las autoridades competentes en materia de protección civil y emergencias van a supervisar, validar o inspeccionar el contenido del plan de continuidad?
No. La veracidad de los datos contenidos en el Registro General de Planes de Autoprotección de Euskadi es responsabilidad exclusiva de la persona titular de la actividad y la parte de ciberseguridad no será objeto de comprobación administrativa por parte de la Dirección de Atención de Emergencias y Meteorología.
¿La Agencia Vasca de Ciberseguridad va a supervisar, validar o inspeccionar el contenido del plan de continuidad?
La Agencia Vasca de Ciberseguridad tiene acceso a los datos inscritos en el apartado de ciberseguridad del registro. En el ejercicio de sus competencias supervisará e inspeccionará la Ficha con datos específicos para la protección en ciberseguridad y el plan de continuidad.
¿Cómo afecta el apartado de ciberseguridad a la resolución relativa a la inscripción del Plan de Autoprotección en el Registro?
Si no se completa adecuadamente el campo relativo a la obligatoriedad de realizar el plan de continuidad en materia de ciberseguridad la Dirección de Atención de Emergencias y Meteorología requerirá la subsanación de tal cuestión a la persona titular de la actividad.
¿Quién tiene acceso al apartado de ciberseguridad del Registro de Planes de Autoprotección de Euskadi?
- La persona titular o la persona que le represente a estos efectos.
- El órgano de la Administración General de la Comunidad Autónoma de Euskadi competente en materia de atención de emergencias y protección civil.
- La Agencia Vasca de Ciberseguridad.
¿Tienen acceso al apartado de ciberseguridad los integrantes del Sistema Vasco de Atención de Emergencias?
No.
Dudas, ¿cómo puedo aclararlas?
Si tienes dudas respecto a los planes de continuidad en materia de ciberseguridad, el contenido de la ficha de datos específicos, la supervisión y control de los mismos y los incidentes de ciberseguridad, puedes dirigirte a la Agencia Vasca de Ciberseguridad a través del correo electrónico:
Más información en la web de la Agencia Vasca de Ciberseguridad, Cyberzaintza
Si tienes dudas con el apartado de ciberseguridad del Registro General de Planes de Autoprotección de Euskadi puedes dirigirte a esta Dirección de Atención de Emergencias y Meteorología a través de los siguientes medios:
registroautoproteccion@euskadi.eus
945 064 451
Fecha de última modificación: