Sección 2.ª Ciberseguridad judicial

Artículo 93. Política de seguridad de la información de la Administración Judicial Electrónica

1. Corresponde al Comité técnico estatal de la Administración judicial electrónica la elaboración y actualización de la política de seguridad de la información de la Administración de Justicia, en sus aspectos organizativos, técnicos, físicos y de cumplimiento de la normativa. 2. Esta política de seguridad de la información será de aplicación a todos los sistemas de información y comunicaciones que prestan servicios a la Administración de Justicia, de manera única, y será aprobada por el Comité técnico estatal de la Administración judicial electrónica y publicada en el Punto de Acceso General de la Administración de Justicia y en las sedes judiciales electrónicas. 3. Sin perjuicio de la declaración de conformidad y la certificación con el Esquema Nacional de Seguridad, los sistemas de información de la Administración de Justicia deberán acreditar su conformidad con el Esquema Judicial de Interoperabilidad y Seguridad, de acuerdo con los términos que se establezcan en el Comité técnico estatal de la Administración judicial electrónica. 4. Las entidades del sector privado que provean de soluciones o presten servicios a las administraciones, a sus organismos y a las instituciones sometidas al presente real decreto-ley, deberán estar a lo dispuesto en esta política de seguridad, así como al cumplimiento con los esquemas nacionales de interoperabilidad y seguridad, las guías de interoperabilidad y seguridad, y las instrucciones técnicas de seguridad del Comité técnico estatal de la Administración judicial electrónica que sean aplicables.

Artículo 94. Mejora continua del proceso de seguridad

1. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica y estándares nacionales e internacionales relativos a gestión de las tecnologías de la información. 2. El Esquema Judicial de Interoperabilidad y Seguridad se deberá mantener actualizado de manera permanente. Se desarrollará y perfeccionará a lo largo del tiempo en paralelo al progreso de los servicios de administración electrónica, de la evolución tecnológica y a medida que vayan consolidándose las infraestructuras que lo apoyan. Para ello, se desarrollarán las correspondientes guías y normas técnicas de aplicación. 3. Corresponde al Comité técnico estatal de la Administración judicial electrónica aprobar las bases para la actualización del Esquema Judicial de Interoperabilidad y Seguridad.

Artículo 95. Subcomité de Seguridad

1. El Subcomité de Seguridad es el órgano especializado y permanente para la ciberseguridad judicial del Comité técnico estatal de la Administración judicial electrónica. 2. El Subcomité de Seguridad estará integrado por aquellas personas con responsabilidad en materia de seguridad de cada una de las administraciones e instituciones integrantes del Comité técnico estatal de la Administración judicial electrónica, así como por las personas que designe el Consejo General del Poder Judicial y la Fiscalía General del Estado. Se arbitrarán los mecanismos de colaboración necesarios entre el Subcomité de Seguridad y el Centro Criptológico Nacional. 3. Por vía reglamentaria se establecerán las funciones del Subcomité de Seguridad, que tendrán por objeto principal el establecimiento de un marco común de cooperación que permita la adopción de decisiones comunes y coordinadas en materia de ciberseguridad judicial. 4. El Comité técnico estatal de la Administración judicial electrónica se apoyará en el Subcomité de Seguridad para la elaboración de las instrucciones técnicas y guías de interoperabilidad y seguridad necesarias, en cumplimiento del Esquema Nacional de Seguridad, así como de la normativa en materia de protección de datos de carácter personal.

Artículo 96. Centro de Operaciones de Ciberseguridad de la Administración de Justicia

El Centro de Operaciones de Ciberseguridad de la Administración de Justicia reforzará las capacidades de vigilancia, prevención, protección, detección, respuesta ante incidentes de ciberseguridad, asesoramiento y apoyo a la gestión de la ciberseguridad de un modo centralizado, que permita una mejor eficacia y eficiencia. Para conseguirlo, el Centro de Operaciones de Ciberseguridad de la Administración de Justicia prestará un conjunto de servicios horizontales de ciberseguridad a las administraciones públicas prestatarias del servicio público de Justicia. La gestión de estos servicios incluirá, fundamentalmente, la implantación de la infraestructura técnica y herramientas, los procedimientos, la operación y otras cuestiones asociadas. En el caso de las Administraciones con competencias en ciberseguridad y servicios horizontales para los sistemas de la Administración de Justicia, y dentro de la actividad del Comité Técnico Estatal de la Administración Judicial Electrónica, se crearán grupos de trabajo en los que se concretarán los datos a intercambiar y los medios de colaboración que se consideren necesarios. El Centro de Operaciones de Ciberseguridad de la Administración de Justicia articulará la respuesta a los incidentes de seguridad, y actuará sin perjuicio de las capacidades de respuesta a incidentes de seguridad que pueda tener cada Administración con competencias en materia de Justicia e instituciones judiciales sometidas al presente real decreto-ley, y de la función de coordinación a nivel nacional e internacional del Equipo de Respuesta para Emergencias Informáticas del Centro Criptológico Nacional (CCN-CERT).