La sociedad española demanda unos servicios de inteligencia eficaces, especializados y modernos, capaces de afrontar los nuevos retos del actual escenario nacional e internacional.
Entre los elementos más característicos de esta nueva situación figuran el desarrollo alcanzado por las tecnologías de la información, la facilidad y flexibilidad de su transmisión en diversos soportes, la generalización casi universal de su uso y la accesibilidad global a las diversas herramientas y redes. Todos estos rasgos facilitan el intercambio ágil y flexible de información en las sociedades modernas.
Al mismo tiempo, la elaboración, conservación y utilización de determinada información por parte de la Administración es necesaria para garantizar su funcionamiento eficaz al servicio de los intereses nacionales.
En consecuencia, la Administración debe dotarse de los medios adecuados para la protección y control del acceso a dicha información, y ha de regular unos procedimientos eficaces para su almacenamiento, procesamiento y transmisión seguros por medio de sistemas propios.
Razones de eficacia, economía y coherencia administrativa recomiendan el establecimiento de medidas para regular y coordinar la adquisición del sofisticado material que se precisa, la homologación de su capacidad y compatibilidad, sus procedimientos de empleo y la formación técnica del personal de la Administración especialista en este campo. Asimismo, ha de elaborarse y mantenerse actualizada la normativa relativa a la protección de la información clasificada y velar por su cumplimiento, para evitar el acceso a esta de individuos, grupos y Estados no autorizados.
El concepto de seguridad de los sistemas de información no sólo abarca la protección de la confidencialidad de ésta; en la mayoría de los casos es necesario también que los sistemas permitan el acceso de los usuarios autorizados, funcionen de manera íntegra y garanticen que la información que manejan mantiene su integridad. En consecuencia, la seguridad de los sistemas de información debe garantizar la confidencialidad, la disponibilidad y la integridad de la información que manejan y la disponibilidad y la integridad de los propios sistemas.
Se hace necesaria la participación de un organismo que, partiendo de un conocimiento de las tecnologías de la información y de las amenazas y vulnerabilidades que existen, proporcione una garantía razonable sobre la seguridad de productos y sistemas. A partir de esa garantía, los responsables de los sistemas de información podrán implementar los productos y sistemas que satisfagan los requisitos de seguridad de la información.
La Ley 11/2002, de 6 de mayo, Reguladora del Centro Nacional de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f).
Este Real Decreto se dicta en virtud de lo dispuesto en la disposición final primera de la Ley 11/2002, de 6 de mayo, Reguladora del Centro Nacional de Inteligencia.
En su virtud, a propuesta del Ministro de Defensa, con la aprobación previa de la Ministra de Administraciones Públicas, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día de 12 de marzo de 2004, dispongo:
Artículo 1. Del Director del Centro Criptológico Nacional.
El Secretario de Estado Director del Centro Nacional de Inteligencia, como Director del Centro Criptológico Nacional (CCN), es la autoridad responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo. En este sentido, el Director del CCN es la autoridad de certificación de la seguridad de las tecnologías de la información y autoridad de certificación criptológica. Asimismo es responsable de velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en los aspectos de los sistemas de información y telecomunicaciones, de acuerdo a lo señalado en el artículo 4.e) y f) de la Ley 11/2002, de 6 de mayo.
Artículo 2. Del ámbito de actuación y funciones del Centro Criptológico Nacional.
1. El ámbito de actuación del Centro Criptológico Nacional comprende:
a) La seguridad de los sistemas de las tecnologías de la información de la Administración que procesan, almacenan o transmiten información en formato electrónico, que normativamente requieren protección, y que incluyen medios de cifra.
b) La seguridad de los sistemas de las tecnologías de la información que procesan, almacenan o transmiten información clasificada.
2. Dentro de dicho ámbito de actuación, el Centro Criptológico Nacional realizará las siguientes funciones:
a) Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. Las acciones derivadas del desarrollo de esta función serán proporcionales a los riesgos a los que esté sometida la información procesada, almacenada o transmitida por los sistemas.
b) Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y las comunicaciones.
c) Constituir el organismo de certificación del Esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas en su ámbito.
d) Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las tecnologías de la información, que incluyan medios de cifra, para procesar, almacenar o transmitir información de forma segura.
e) Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los sistemas antes mencionados.
f) Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia.
g) Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países, para el desarrollo de las funciones mencionadas.
Para el desarrollo de estas funciones, el CCN podrá establecer la coordinación oportuna con las comisiones nacionales a las que las Leyes atribuyan responsabilidades en el ámbito de los sistemas de las tecnologías de la información y de las comunicaciones.
3. El Centro Criptológico Nacional queda adscrito al Centro Nacional de Inteligencia y comparte con este medios, procedimientos, normativa y recursos, y se regirá por la Ley 11/2002, de 6 de mayo, Reguladora del Centro Nacional de Inteligencia. El personal del CCN estará integrado orgánica y funcionalmente en el Centro Nacional de Inteligencia, por lo que le serán de aplicación todas las disposiciones relativas al personal de este, contempladas en la Ley 11/2002, de 6 de mayo, y en la normativa de desarrollo, particularmente su régimen estatutario.
Disposición derogatoria única. Derogación normativa
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este Real Decreto.
DISPOSICIONES FINALES
Disposición final primera. Facultades de desarrollo
Se faculta al Ministro de Defensa para dictar cuantas disposiciones sean necesarias para la aplicación y el desarrollo de lo establecido en este Real Decreto.
Disposición final segunda. Entrada en vigor
El presente Real Decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».