INFORMACION CLASIFICADA
Orden ICT/1078/2019, de 21 de octubre, por la que se regula la protección de la información clasificada en el Ministerio de Industria, Comercio y Turismo.
[sc name=»secretario» ]
BOE de 1 de noviembre de 2019
TEXTO ORIGINAL
De acuerdo con la Ley 9/1968, de 5 de abril, sobre Secretos Oficiales (en adelante, Ley 9/1968, de 5 de abril), modificada por la Ley 48/1978, de 7 de octubre, la información clasificada se define como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas puedan dañar o poner en riesgo la seguridad y defensa del Estado.
La Constitución Española no es ajena a la protección específica que requiere la información clasificada. El artículo 105, en su apartado b), establece que una ley regulará el acceso de los ciudadanos a los archivos y registros administrativos, «salvo en lo que afecte a la seguridad y defensa del Estado…». Asimismo la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, responde al mandato constitucional y señala en el apartado 1 de su artículo 14, «Límites al derecho de acceso», que el derecho de acceso podrá ser limitado cuando acceder a la información suponga un perjuicio para la seguridad nacional, la defensa, las relaciones exteriores o la seguridad pública.
La información clasificada requiere, por tanto, la protección contra su divulgación no autorizada con las formalidades y requisitos previstos en la legislación anteriormente mencionada, motivo por el cual se le asigna, una clasificación de seguridad en función de la gravedad de la amenaza o del perjuicio que pudiera ocasionar su revelación no autorizada.
El régimen de protección de la información clasificada se ha vertebrado en función del ámbito de su procedencia en dos tipos: a) la información clasificada de ámbito nacional; b) la información clasificada de ámbito internacional.
En virtud de este doble origen, este Ministerio se ha provisto de dos estructuras de protección de la información clasificada: a) el Servicio Central de Protección de la Información Clasificada (Información de ámbito nacional) y b) el Subregistro Principal OTAN/UE (Información de ámbito internacional).
Por lo que respecta a la protección jurídica de información clasificada de ámbito nacional, se encuentra recogida en la Ley 9/1968, de 5 de abril, y el Decreto 242/1969, de 20 de febrero, por el que se desarrollan las disposiciones de la Ley 9/1968, de 5 de abril. El Decreto 242/1969, de 20 de febrero, en su artículo 9, prevé la existencia de los Servicios de Protección de Materias Clasificadas de los Departamentos ministeriales, que tendrán la consideración de Unidades Centrales en aquellos casos en que así se precise, estableciendo las funciones que los mismos deben cumplir.
Atendiendo a lo anterior, se crea el Servicio Central de Protección de la Información Clasificada en el extinto Ministerio de Industria, Energía y Turismo, por medio de la Orden IET/2377/2015, de 5 de noviembre, por la que se regula la protección de la Información clasificada en el Ministerio de Industria, Energía y Turismo.
Este Servicio Central de Protección de la Información Clasificada adscrito al Gabinete Técnico de la Subsecretaría, tiene como objetivo principal la custodia y protección de la información clasificada nacional que se encuentra en el Departamento.
Por lo que respecta a la información clasificada de ámbito internacional, este Departamento cuenta desde 1991 con el Subregistro Principal OTAN/UE para garantizar que la información clasificada proveniente de las organizaciones internacionales sea gestionada y manejada de forma segura en el Departamento.
Este Subregistro Principal OTAN/UE fue autorizado en noviembre de 2015, por la Oficina Nacional de Seguridad del Centro Nacional de Inteligencia, para el manejo y custodia de documentación clasificada internacional hasta grado EU SECRET.
De esta doble estructura de Protección de la Información Clasificada dependen funcionalmente el Servicio Local de protección y el Punto de Control de la Oficina Española de Patentes y Marcas, creados por Resolución del Subsecretario, de 28 de septiembre de 2017, para asegurar el control y la protección de la información clasificada en materia de patentes.
Cabe señalar que, con independencia de su origen nacional o internacional, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, en su artículo 4, encomienda a este organismo la función de «Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada».
Esa labor de tutela se manifiesta, en particular, a través de las Normas de la Autoridad Nacional para la protección de la información clasificada (última revisión de 4 de octubre de 2018), aprobadas por el Secretario de Estado Director del Centro Nacional de Inteligencia, Autoridad Nacional para la Protección de la Información Clasificada en España, que «constituyen la normativa básica para la protección de la información clasificada, con independencia de su origen y clasificación…». Estas normas deberán observarse por parte de las Administraciones públicas y de las entidades de derecho público vinculados o dependientes de las anteriores.
Las citadas normas de la Autoridad Nacional regulan los grados de clasificación de la información secreto y reservado, e incorporan dos grados de clasificación de la información que no contemplaba la Ley 9/1968, de 5 de abril, o su Decreto de desarrollo: El grado confidencial y el grado difusión limitada, para asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda afectar a la seguridad del Estado, amenazar sus intereses o dificultar el cumplimiento de su misión.
Por otro lado, mediante el Real Decreto 355/2018, de 6 de junio, se ha determinado una nueva estructura de los departamentos ministeriales, estableciéndose, en su artículo 10, que corresponde al Ministerio de Industria, Comercio y Turismo la propuesta y ejecución de la política del Gobierno en materia de industria, comercio y turismo. Posteriormente, mediante el Real Decreto 595/2018, de 22 de junio, se ha establecido la estructura orgánica básica de los nuevos Departamentos ministeriales, hasta el nivel orgánico de dirección general, desarrollándose la estructura del Ministerio de Industria, Comercio y Turismo en los órganos superiores y directivos que se indican en su artículo 9.
No obstante, para que la presente estructura orgánica de este Departamento pueda desplegar plenamente sus efectos, procede aprobar una nueva orden de protección de la Información clasificada, dejando sin efectos la Orden IET/2377/2015, de 5 de noviembre, por la que se regula la protección de la información clasificada en el Ministerio de Industria, Energía y Turismo.
El artículo 21.3 de la Ley 50/1997, de 27 de noviembre, del Gobierno, dispone que el Gobierno en funciones «limitará su gestión al despacho ordinario de los asuntos públicos, absteniéndose de adoptar, salvo casos de urgencia debidamente acreditados o por razones de interés general cuya acreditación expresa así lo justifique, cualesquiera otras medidas».
El Consejo de Estado, en su Dictamen 12/2016, de 4 de febrero, señala que «cuando el Gobierno se encuentra en funciones, si decide adoptar alguna medida que pudiera exceder del despacho ordinario de los asuntos públicos –y, en particular, en el caso de adopción de disposiciones generales–, debe justificar adecuadamente […] las razones de interés general que amparan su adopción».
En cuanto a las razones de interés general, entiende el Consejo de Estado que «el interés general ha de referirse no solo a la iniciativa normativa de que se trate en sí misma considerada, sino también a la necesidad o conveniencia de que se apruebe aun encontrándose en funciones el Gobierno» (Dictamen n.º 12/2016).
Como ya se ha señalado, la Ley 9/1968, de 5 de abril, define la información clasificada como los «asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas puedan dañar o poner en riesgo la seguridad y defensa del Estado».
A esta cuestión tampoco es ajena la Constitución española en cuyo artículo 105.b) protege específicamente la información clasificada y limita el acceso de los ciudadanos a los archivos y registros administrativos, salvo en lo que afecte a la seguridad y defensa del Estado.
Este mandato constitucional ha sido desarrollado por la Ley 19/2013, de 9 de diciembre, y responde al mandato constitucional, en cuyo artículo 14.1 se limita el derecho de acceso cuando acceder a la información suponga un perjuicio para la seguridad nacional, la defensa, las relaciones exteriores o la seguridad pública.
Ahora bien, resulta insuficiente la cobertura constitucional y legislativa que ampara la especial protección de la seguridad y defensa del Estado frente al acceso no autorizado de determinada información. Es decir, las anteriores previsiones normativas no bastan para satisfacer ese concreto interés general, pues precisa que las mismas sean articuladas y ejecutadas a través de las necesarias estructuras administrativas. Es pues necesario que en el ámbito de la organización administrativa se establezcan las estructuras y procesos adecuados que garanticen la protección de la información clasificada.
De acuerdo con ello, la presente orden ministerial se deriva de la necesidad de proteger la información relativa a los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas puedan dañar o poner en riesgo la seguridad y defensa del Estado y, por ende, de sus ciudadanos.
Asimismo, es importante destacar que, a la vista la evolución de la sociedad y las tecnologías de la información, la Autoridad Nacional ha revisado el pasado 4 de octubre de 2018 sus normas para la protección de la información clasificada, lo que requiere la necesaria actualización, modernización y adaptación al nuevo entorno en materia de seguridad de la información, estableciendo nuevas y necesarias estructuras organizativas y procesos que tienen, por fin último, evitar accesos no autorizados que puedan dañar o poner en riesgo la seguridad y defensa del Estado. En este sentido la presente norma con la necesaria adaptación a las nuevas estructuras administrativas, pretende evitar cualquier indeseable perjuicio al que pudiera comprometer la difusión no autorizada de la información clasificada.
A tenor de lo expuesto, cabe concluir que la adecuación de la estructura y procesos en materia de información clasificada en este Departamento mediante la presente orden ministerial, constituye una actividad de interés general, en tanto que necesaria para el correcto funcionamiento del sistema de protección de la información clasificada. Un interés general que no debe quedar soslayado o inatendido por un Gobierno en funciones, en tanto que ello podría generar notables daños a un bien constitucionalmente protegido y por ende perjuicios para los ciudadanos.
Este aspecto se justifica en que la Norma no parte de un condicionamiento político, sino que presenta un marcado carácter técnico, y persigue el interés general de los asuntos públicos en materia de este departamento, que se concreta en materia de protección de la información clasificada, en la adecuación de la vigente estructura del Departamento de la Orden precedente IET/2377/2015, de 5 de noviembre, por la que se regula la protección de la información clasificada en el Ministerio de Industria, Energía y Turismo, a la que deroga. Desde el año de publicación de la primera normativa en materia de protección de la información clasificada en el Departamento, este ha cambiado su estructura y denominación en varias ocasiones: en el año 2016, mediante el Real Decreto 415/2016, de 3 de noviembre, este Departamento pasa a denominarse Ministerio de Energía, Turismo y Agenda Digital, y en el año 2018 por medio del Real Decreto 355/2018, de 6 de junio, se convierte en el actual Ministerio de Industria, Comercio y Turismo.
La presente Orden ministerial se adecua a los principios de buena regulación conforme a los cuales deben actuar las Administraciones públicas en el ejercicio de la iniciativa legislativa y la potestad reglamentaria, como son los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, previstos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
A estos efectos, se pone de manifiesto el cumplimiento del principio de necesidad y que la norma es acorde a los principios de proporcionalidad y eficacia, al contener la regulación imprescindible para la consecución de los objetivos previamente mencionados sin afectar en forma alguna a los derechos y deberes de la ciudadanía.
En cuanto al principio de transparencia, esta Orden ministerial es una norma organizativa por lo que está exenta de los distintos trámites propios de la participación pública, esto es, consulta pública y trámites de audiencia e información públicas. Por ese mismo motivo de ser una norma organizativa, con respecto al principio de eficiencia, el principal objetivo de la norma es racionalizar la organización de la Administración y no cabe hablar de cargas administrativas.
En conclusión, se persigue la satisfacción del interés general puesto que, de esta forma, se actualiza y desarrolla la estructura de protección de la información clasificada en el Departamento, creada mediante la Orden IET/2377/2015, de 5 de noviembre, por la que se regula la protección de la información clasificada en el Ministerio de Industria, Energía y Turismo.
En virtud de lo expuesto, se dicta esta Orden ministerial que tiene por objeto regular la protección de la información clasificada en el Ministerio de Industria, Comercio y Turismo, en particular, su infraestructura de protección, las condiciones de seguridad privativas de la información clasificada, y las autoridades y procedimientos de clasificación de información nacional en los grados confidencial y difusión limitada en el marco de las competencias de este Ministerio.
La presente Orden ministerial se estructura en dos partes claramente diferenciadas. Una primera parte que contiene disposiciones generales sobre la información clasificada (artículos 1 a 14) y una segunda parte que regula las autoridades y procedimientos de clasificación de la información en el ámbito nacional (artículos 15 a 18).
En su virtud, con la aprobación previa del Ministro de Política Territorial y Función Pública, dispongo:
CAPÍTULO I
Disposiciones generales sobre la información clasificada
Artículo 1. Objeto y ámbito de aplicación.
El objeto de esta orden ministerial es regular la protección de la información clasificada en el marco de las competencias del Ministerio de Industria, Comercio y Turismo, en particular, la infraestructura de protección, las condiciones de seguridad, y las autoridades y procedimientos de clasificación de la información en los grados de confidencial y difusión limitada.
Esta orden ministerial se aplicará en el Ministerio de Industria, Comercio y Turismo y en los organismos públicos adscritos al mismo.
Artículo 2. Definiciones.
A efectos de lo dispuesto en esta orden ministerial y de acuerdo con las Normas de la Autoridad Nacional para la Protección de la Información Clasificada aprobadas por el Secretario de Estado Director del Centro Nacional de Inteligencia (en adelante, Normas de la Autoridad Nacional para la Protección de la Información Clasificada), se recogen a continuación las definiciones de los conceptos utilizados en esta orden de acuerdo con las citadas normas:
a) Seguridad de la información (Norma de Seguridad en la Información NS/04): La Seguridad de la información es la condición que se alcanza cuando se aplica un conjunto de medidas y procedimientos establecidos para el correcto manejo y control de la información, en todo su ciclo de vida, así como para prevenir y detectar los posibles comprometimientos de la misma, que puedan afectar a su confidencialidad, integridad o disponibilidad.
b) Información (Norma de Seguridad de la Información NS/04): Información es todo conocimiento que puede ser comunicado, presentado o almacenado en cualquier forma.
c) Material (Norma de Seguridad de la Información NS/04): El concepto material engloba cualquier documentación, pieza, equipo, sustancia, programa, desarrollo, armamento, sistema o similar, fabricado o en proceso de fabricación, que puede ser portador de una información o constituir una información en sí mismo.
d) Información clasificada (Norma de Seguridad de la Información NS/04): Información clasificada es cualquier información o material respecto del cual se decida que requiere protección contra su divulgación o acceso no autorizados, por el daño o riesgo que esto supondría a los intereses del Estado, y al que se ha asignado, con las formalidades y requisitos previstos en la legislación, una clasificación de seguridad.
e) Materias clasificadas (Norma de Seguridad de la Información NS/04): Definidas en la Ley 9/1968, de 5 de abril, como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda dañar o poner en riesgo la seguridad y defensa del Estado, y que se califican en los grados de secreto y reservado, en atención al grado de protección que requieren.
f) Materias objeto de reserva interna (Norma de Seguridad de la Información NS/04): Se definen como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda afectar a la seguridad del Estado, amenazar sus intereses o dificultar el cumplimiento de su misión. Se clasifican en los grados de confidencial y difusión limitada, en atención al grado de protección que requieren.
g) Manejo de la información clasificada (Norma de Seguridad en la Información NS/04): Por manejo de la información se entenderá el almacenamiento, custodia, elaboración, proceso, utilización, presentación, reproducción, acceso, transporte, destrucción o transmisión de la misma, sea cual fuere el método empleado.
h) Autoridad Nacional para la Protección de la Información Clasificada (Norma de Infraestructura Nacional de Protección de la Información Clasificada NS/01): Se trata de la estructura responsable de garantizar la adecuada protección de la información clasificada que las organizaciones internacionales de las que España forma parte confían a nuestro país. Esta función se encuentra atribuida al Secretario de Estado Director del Centro Nacional de Inteligencia.
i) Oficina Nacional de Seguridad para la Protección de la Información Clasificada (Norma de Infraestructura Nacional de Protección de la Información Clasificada NS/01): La Oficina Nacional de Seguridad para la Protección de la Información Clasificada (en adelante, la Oficina Nacional de Seguridad) es el órgano de trabajo de la Autoridad Nacional para la Protección de la Información Clasificada y está encargado del cumplimiento de sus cometidos y de la ejecución de sus decisiones.
j) Servicio de Protección de la Información Clasificada (Norma de Infraestructura Nacional de Protección de la Información Clasificada NS/01): Un servicio de protección es una estructura constituida por decisión del jefe de un determinado organismo o entidad del más alto nivel, para poder garantizar una adecuada protección de la información clasificada que tiene a cargo en toda su organización y de la que es responsable.
k) Subregistro principal (Norma de Infraestructura Nacional de Protección de la Información Clasificada NS/01): Dentro del correspondiente servicio de protección de información clasificada de un organismo o entidad, los subregistros principales son los encargados de ejecutar y garantizar la protección de la información clasificada proveniente de las organizaciones internacionales de las que España forma parte, en las Administraciones Públicas, Fuerzas Armadas, organismos públicos vinculados o dependientes, y en todas aquellas otras entidades, públicas o privadas, en que se establezcan.
l) Zona de acceso restringido (Norma de Seguridad Física, NS/03): Son instalaciones donde se almacena o maneja información clasificada, normalmente de grado confidencial o equivalente o superior, por lo que deberán contar con las medidas y procedimientos de seguridad adecuados y suficientes, para asegurar la protección de la información clasificada en todo momento.
m) Clasificación (Norma de Seguridad de la Información NS/04): Por clasificación se entiende el acto formal por el cual la autoridad competente asigna a una información un grado de clasificación en atención al riesgo que supone su revelación no autorizada para la seguridad y defensa del Estado o sus intereses, con la finalidad de protegerla.
n) Reclasificación (Norma de Seguridad de la Información NS/04): Reclasificación es el acto formal por el cual la autoridad de clasificación modifica el grado de clasificación de una información clasificada.
o) Desclasificación (Norma de Seguridad de la Información NS/04): Desclasificación es el acto formal por el cual la autoridad de clasificación retira todo grado de clasificación asignado a una información.
p) Propuesta de clasificación (Norma de Seguridad de la Información NS/04): La propuesta de clasificación es el documento por el que se somete a aprobación por la autoridad de clasificación correspondiente, la asignación de un grado de clasificación a informaciones individuales o agrupadas en un conjunto, así como su vigencia.
q) Diligencia de clasificación (Norma de Seguridad de la Información NS/04): La diligencia de clasificación es el documento por el que se certifica la aprobación, por la autoridad de clasificación, de una propuesta de clasificación y se definen las condiciones de aplicación de la misma.
r) Guía de clasificación (Norma de Seguridad de la Información NS/04): La guía de clasificación es el documento que enumera y describe los elementos clasificados de un asunto, contrato o programa clasificado, con especificación de los grados de clasificación asignados a cada uno de ellos. Recoge los datos relevantes de la información clasificada (los grados de clasificación asignados a la misma, las vigencias de las clasificaciones, las autoridades facultadas que la han clasificado, etc.), y sirve de referencia para el marcado de los documentos.
s) Directiva de clasificación (Norma de Seguridad de la Información NS/04): La directiva de clasificación es el documento mediante el cual la autoridad de clasificación asigna un grado de clasificación a la información que, por su naturaleza, y a juicio de la citada autoridad, no requiera la elaboración de la propuesta de clasificación, constituyéndose formalmente en diligencia de clasificación de la misma.
t) Necesidad de conocer (Norma de seguridad en el personal, NS/02): La «necesidad de conocer» se define como la determinación positiva por la que se confirma que un posible destinatario requiere el acceso a, el conocimiento de, o la posesión de información para desempeñar servicios, tareas o cometidos oficiales. De este modo, ninguna persona podrá tener acceso a información clasificada exclusivamente por razón de su cargo o posición, o por estar en posesión de una Habilitación Personal de Seguridad, sin la preceptiva necesidad de conocer.
u) Habilitación Personal de Seguridad (en adelante, HPS) (Norma de seguridad en el personal, NS/02): Es la determinación positiva por la que la Autoridad Nacional, en nombre del Gobierno del Reino de España, reconoce formalmente la capacidad e idoneidad de una persona para tener acceso a información clasificada en el ámbito, o ámbitos, y grado máximo autorizado, que se indiquen expresamente, al haber superado el oportuno proceso de acreditación de seguridad y haber sido adecuadamente concienciado en el compromiso de reserva que adquiere y en las responsabilidades que se derivan de su incumplimiento.
v) Órgano de control: (Glosario de Definiciones de las Normas de la Autoridad Nacional para la protección de la información clasificada. Definición n. 40): Es una unidad funcional en la que se recibe, almacena y distribuye información clasificada. Cada órgano de control cuenta con un jefe de seguridad, máximo responsable del cumplimiento de las normas de seguridad.
w) Jefe de seguridad del órgano de control: (Norma de Estructura Nacional de Protección de la información Clasificada. NS/1, punto 4): Es la persona que, propuesta por el jefe o responsable del organismo o entidad al que da servicio y una vez aprobado su nombramiento, responde de la correcta aplicación de las normas para la protección de la información clasificada en el organismo o entidad.
x) Material de cifra (Glosario de Definiciones de las Normas de la Autoridad Nacional para la protección de la información clasificada. Definición n. 36): Es cualquier dispositivo, claves o documento relacionado con el cifrado de la documentación.
Artículo 3. Grados de clasificación.
1. De conformidad con lo establecido en la Ley 9/1968, de 5 de abril, y en la Norma NS/04 de las Normas de la Autoridad Nacional para la Protección de la Información Clasificada, así como en función de la gravedad de la amenaza o del perjuicio que pudiera ocasionar su revelación no autorizada, la información podrá clasificarse conforme a los siguientes grados:
a) Secreto.
b) Reservado.
c) Confidencial.
d) Difusión limitada.
2. La clasificación de secreto se aplicará a la información que precise del más alto grado de protección, toda vez que su revelación no autorizada o utilización indebida afecte a la defensa o seguridad nacional, y pueda causar un peligro, amenaza, agresión o perjuicio extremadamente grave a la defensa de Estado.
3. La clasificación de reservado se aplicará a la información que precise de un alto grado de protección, toda vez que su revelación no autorizada o utilización indebida pueda causar serios daños a la defensa nacional.
4. La clasificación de confidencial se aplicará a la información que precise de protección y cuya revelación no autorizada o utilización indebida pueda causar una amenaza o perjuicio para los intereses de Estado o de su Administración General, o bien que pueda conducir a la revelación de informaciones clasificadas de secreto o reservado.
5. La clasificación de difusión limitada se aplicará a la información cuya revelación no autorizada o utilización indebida pueda afectar negativamente a los intereses del Estado o de su Administración General.
Artículo 4. Director de la Seguridad de la Información Clasificada del Ministerio de Industria, Comercio y Turismo.
Se designa como Director de la Seguridad de la Información Clasificada en el Ministerio de Industria, Comercio y Turismo al titular de la Subsecretaria y se le encomiendan las funciones de velar por el cumplimiento de esta orden ministerial, y definir y preservar la Infraestructura de Protección de la Información Clasificada en el Ministerio de Industria, Comercio y Turismo.
Artículo 5. Jefe titular y Jefe suplente de Seguridad de la Información Clasificada del Ministerio de Industria, Comercio y Turismo.
1. En el Servicio de Protección de la Información Clasificada del Departamento existirá siempre la figura del Jefe de Seguridad del Servicio de Protección, que será el responsable principal del cumplimiento de todos los cometidos y funciones descritas en el artículo 9 ante el Director de la Seguridad de la Información Clasificada del Ministerio de Industria, Comercio y Turismo. Para ello, será necesaria su dependencia en línea jerárquica con el titular de la Subsecretaría. El Jefe de Seguridad del Servicio de Protección será un vocal asesor/a del Gabinete Técnico con un nivel 30.
2. El Jefe de Seguridad deberá contar con un suplente, con un nivel mínimo 26, que asuma sus funciones en los supuestos previstos en el artículo 13.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
3. Es responsabilidad del Jefe de Seguridad titular la formación en sus labores específicas de seguridad del suplente.
4. El titular de la Subsecretaría nombrará al Jefe de Seguridad del Servicio Central de Protección y a su suplente una vez que la Autoridad Nacional para la Protección de la Información Clasificada haya aprobado el candidato propuesto por aquel.
Artículo 6. Principios de seguridad en el personal autorizado con acceso a la información clasificada.
1. El manejo de información clasificada deberá basarse en el principio de «necesidad de conocer», por lo que el acceso a dicha información se limitará exclusivamente a personas cuyo trabajo, cometidos o destino así lo requiera, que hayan sido expresamente autorizadas e instruidas, y que estén en posesión de la correspondiente HPS, si fuera precisa.
2. Ninguna persona tendrá acceso a la información clasificada si no está en posesión de la correspondiente HPS, con excepción de las Autoridades de clasificación establecidas en el artículo 15 de la presente orden.
3. Para tener acceso a información clasificada de grado confidencial o superior se debe estar en posesión de una HPS del mismo grado o superior.
4. Para tener acceso a información clasificada de grado difusión limitada no será necesaria HPS. No obstante, las personas con necesidad de conocer dicha información podrán acceder a la misma siempre y cuando estén expresamente autorizadas, tras haber sido instruidas acerca de sus responsabilidades en la protección de la misma.
5. Para el procedimiento de habilitación de seguridad del personal, se estará a lo dispuesto en las Normas de la Autoridad Nacional para la Protección de la Información Clasificada. (Norma de seguridad en el personal, NS/02).
Artículo 7. Infraestructura de protección de la información clasificada del Ministerio de Industria, Comercio y Turismo.
La Infraestructura de Protección de la Información Clasificada del Ministerio de Industria, Comercio y Turismo está constituida por el personal, recursos y procedimientos empleados en la protección de la información clasificada en el Departamento.
Esta infraestructura comprende:
a) El Servicio Central de Protección de Información Clasificada.
b) El Subregistro Principal OTAN/UE.
c) El Servicio Local de Protección de la Información Clasificada en la Oficina Española de Patentes y Marcas.
d) El Punto de Control de la Oficina Española de Patentes y Marcas.
e) Aquellos servicios locales de protección de la información clasificada y demás órganos de control que se constituyan, de acuerdo con las Normas de la Autoridad Nacional para la Protección de la Información Clasificada.
Artículo 8. Servicios de protección de la información clasificada en el Ministerio de Industria, Comercio y Turismo.
1. Sobre la existente estructura del Subregistro Principal OTAN/UE se establece el Servicio Central de Protección de la Información Clasificada del Departamento, adscrito al Gabinete Técnico de la Subsecretaría.
2. Se podrán constituir servicios locales de protección de la información clasificada dependientes funcionalmente del Servicio Central de Protección, cuando fuese necesaria una mayor subdivisión en la distribución de la información clasificada.
3. Cada servicio central o local de protección de la información clasificada estará a cargo de un Jefe de Seguridad, que será responsable directo del cumplimiento de la normativa para la protección de la información clasificada en su ámbito de actuación.
4. Los jefes de seguridad de los servicios de protección de la información clasificada tendrán dedicación preferente a ese servicio de acuerdo con las Normas de la Autoridad Nacional para la Protección de la Información Clasificada (Norma de Infraestructura Nacional de Protección de la Información Clasificada NS/01). Los servicios de protección contarán con un suplente que dirigirá aquel en ausencia del titular.
5. El Subregistro Principal OTAN/UE del Ministerio de Industria, Comercio y Turismo garantizará la protección de la información clasificada proveniente de esas dos organizaciones internacionales de las que España forma parte o de otras que sea preciso incluir con posterioridad a la aprobación de esta orden ministerial.
Artículo 9. Funciones de los Servicios de Protección de la Información Clasificada.
Los Servicios de Protección de la Información Clasificada tienen las siguientes funciones:
a) Asegurar el adecuado tratamiento de la información clasificada en su ámbito de competencia.
b) Instruir convenientemente al personal que tenga acceso a la información clasificada respecto de las normas de protección de la misma.
c) Asesorar en la redacción de las propuestas de guías de clasificación.
d) Tramitar las solicitudes de habilitación personal de seguridad del personal adscrito al Departamento y mantener el registro actualizado del personal habilitado.
e) Acreditar las zonas de acceso restringido (en adelante, ZAR) en los organismos de su ámbito de competencia.
f) Tramitar las solicitudes de visita del personal dependiente cuando estas impliquen acceso a información clasificada en otros organismos.
g) Tramitar los nombramientos de los responsables de los Servicios de Protección de la Información Clasificada en su ámbito de competencia.
h) Asegurar el registro, manejo, distribución, control y archivo de la información clasificada en el ámbito de su competencia.
i) Asegurar el mantenimiento de los medios de seguridad física establecidos para proteger la información clasificada a su cargo, en las condiciones señaladas en esta orden, incluyendo la protección del material de cifra.
j) Gestionar la investigación de los incidentes de seguridad que se produzcan en su ámbito de competencia.
k) Supervisar en el ámbito de su competencia la ejecución de las medidas y procedimientos de seguridad de los sistemas de información y comunicaciones que manejen información clasificada.
l) Desarrollar programas de formación, obligatorios para el personal con acceso a la información clasificada que cubran todos los ámbitos para la protección de la información clasificada.
m) Desarrollar Protocolos de actuación sobre protección de la Información clasificada con otros Departamentos para la adecuada custodia y protección de dicha Información en el ámbito de las competencias materiales, cuando se produzcan restructuraciones ministeriales que puedan afectar a las distintas competencias de este departamento.
n) Cuantas otras funciones sean encomendadas por la Autoridad Nacional para la Protección de la Información Clasificada, con la finalidad de proteger la Información Clasificada que circula por el Departamento.
Artículo 10. Seguridad en los sistemas de información y comunicaciones.
1. El Servicio Central de Protección de la Información Clasificada será responsable de supervisar la correcta aplicación de la normativa de protección de la información clasificada en los sistemas de información y comunicaciones, y en particular, de la normativa de protección de material de cifra.
2. En cada organismo que necesite manejar material de cifra, existirá una estructura de seguridad específica, responsable del control y gestión del material de cifra.
3. El Jefe de Seguridad del Servicio Central de Protección coordinará las actuaciones con la Subdirección General de las Tecnologías de la Información y las Comunicaciones del Ministerio en el proceso de tramitación de la acreditación de los sistemas de información y comunicaciones para manejar información clasificada de acuerdo con las Normas de la Autoridad Nacional para la Protección de la Información Clasificada.
Artículo 11. Manejo de la información clasificada.
1. La información clasificada se manejará con las medidas de protección correspondientes a su grado de clasificación y por el personal con HPS equivalente al grado de la información que se trate. En determinados ámbitos o circunstancias se podrán establecer medidas adicionales o más restrictivas.
2. Para evitar el acceso por personas no autorizadas se establecen los siguientes criterios, con carácter general:
a) La información clasificada de secreto solo podrá ser manejada en el ZAR debidamente acreditadas para dicho grado.
b) La información clasificada de reservado deberá ser manejada en las ZAR debidamente acreditadas para dicho grado o superior. En circunstancias excepcionales, y con autorización expresa del jefe de seguridad del servicio de protección correspondiente, se podrá permitir el acceso, pero no el almacenamiento, fuera de estas áreas.
c) La información clasificada de confidencial deberá ser manejada en el ZAR debidamente acreditadas para dicho grado o superior. El jefe de seguridad del Servicio de Protección de la Información Clasificada correspondiente podrá autorizar, previa solicitud expresa del interesado, que la información clasificada de grado confidencial quede en posesión de un usuario fuera de la ZAR, siempre que, habiéndose evaluado las condiciones de seguridad, concluya que el riesgo asumido es mínimo y aceptable, informándose al usuario de las obligaciones de custodia que asume.
d) La información clasificada de difusión limitada, deberá ser manejada, al menos, en zonas administrativas de protección, o dentro de las dependencias administrativas del Departamento.
3. La organización de actividades en las que se maneje información clasificada de grado confidencial o superior, requiere que los participantes en las mismas estén en posesión de la correspondiente HPS.
Artículo 12. Registro de la Información Clasificada.
1. Los Servicios de Protección de la Información Clasificada mantendrán el registro de toda la información clasificada que esté a su cargo.
2. La información clasificada circulará a través de los Servicios de Protección de la Información Clasificada. La información clasificada de grado difusión limitada podrá circular entre usuarios instruidos previamente en su manejo.
Artículo 13. Zonas de acceso restringido.
1. Conforme al principio de necesidad de conocer, las zonas de acceso restringido estarán organizadas conforme a alguna de las siguientes configuraciones de trabajo:
a) Área Clase I: Zona en la que se maneja información clasificada de tal forma que la entrada en la misma supone, a todos los efectos, el acceso a dicha información, por lo que sólo puede permitirse la entrada a personal debidamente habilitado y autorizado.
b) Área Clase II: Zona en la que se maneja información clasificada de tal forma que la entrada en la misma no implica el acceso a dicha información, por lo que se podrá admitir la entrada a personal visitante debidamente controlado.
2. Conforme al grado de clasificación de la información máximo autorizado a ser manejado en la zona de acceso restringido, estas se acreditarán al grado de:
a) Secreto.
b) Reservado.
c) Confidencial.
3. Una ZAR siempre estará bajo control de un Servicio de Protección de la Información Clasificada.
Artículo 14. Contratos clasificados.
1. Cuando cualquiera de los organismos a los que les es de aplicación la presente orden precise promover un contrato clasificado, deberá asegurarse de que los contratistas que liciten al mismo tengan concedida la habilitación de seguridad de empresa y, en su caso, la habilitación de seguridad de establecimiento del grado adecuado a la clasificación del contrato. La certificación de que un contratista dispone de esas habilitaciones la efectuará siempre la Oficina Nacional de Seguridad del Centro Nacional de Inteligencia.
2. La entrega al contratista de información clasificada se realizará por los servicios de protección de información clasificada del organismo contratante una vez aprobada la guía de clasificación.
CAPÍTULO II
Autoridades y procedimientos de clasificación
Artículo 15. Autoridades de clasificación.
1. De acuerdo con el artículo 3.1.3 de la NS/04 (Seguridad de la Información) de las Normas de la Autoridad Nacional para la Protección de la Información Clasificada, el titular del Departamento, los Secretarios de Estado y el Subsecretario y otros altos cargos con ese rango en el Ministerio de Industria, Comercio y Turismo tendrán la facultad de clasificar información en los grados de confidencial y difusión limitada en el marco de sus competencias.
2. En el marco de esa facultad las autoridades de clasificación desarrollarán las siguientes funciones:
a) Aprobar o desestimar las propuestas de clasificación.
b) Emitir la diligencia de clasificación.
c) Modificar el grado de clasificación de la información o su plazo de vigencia.
d) Aprobar las directivas de clasificación.
e) Delegar la facultad de clasificación.
3. Si se necesita clasificar información en el grado de secreto y reservado la propuesta de clasificación al Consejo de Ministros se realizará a través del titular del Departamento ministerial, con el apoyo técnico del Servicio Central de Protección de la Información Clasificada.
Artículo 16. Procedimiento de clasificación.
1. Toda información que se considere deba estar clasificada, deberá someterse a un procedimiento de clasificación mediante la confección de la correspondiente propuesta de clasificación. En el anexo a esta orden ministerial se incluyen unas orientaciones para la clasificación de la información.
2. La propuesta de clasificación se acompañará de una memoria justificativa con una exposición de forma pormenorizada de las amenazas o perjuicios para los intereses de España que se pretenden conjurar con la clasificación de la información. La propuesta incluirá el grado de clasificación y, siempre que sea posible, un plazo de duración de la clasificación, con mención de si pudiera ser suprimida o rebajada de grado.
3. La propuesta de clasificación deberá ser aprobada por la autoridad de clasificación mediante la emisión de la correspondiente diligencia de clasificación.
4. La propuesta de clasificación requerirá el informe previo del jefe de seguridad del servicio de protección correspondiente.
5. Las autoridades de clasificación podrán aprobar directivas de clasificación, que son documentos mediante los que se clasifican de forma genérica determinados asuntos, materias o elementos, debido a su especial naturaleza, de manera que cualquier información que incluya o trate dichos asuntos, materias o elementos podrá clasificarse de forma individual con el grado indicado.
6. La adopción de una directiva de clasificación requerirá el informe previo del jefe de seguridad del servicio de protección correspondiente.
7. Todas las decisiones adoptadas respecto a la clasificación de documentos serán comunicadas en el plazo de quince días al jefe de seguridad del servicio de protección correspondiente, el cual procederá a su anotación en un registro de informaciones clasificadas.
8. Una vez asignado el grado de clasificación a una determinada información, esta se marcará con dicho grado de forma adecuada y claramente visible.
9. El jefe de seguridad del servicio de protección correspondiente es responsable de verificar que la información clasificada se corresponde con algunos de los criterios o elementos contenidos en una directiva de clasificación o en una diligencia de clasificación. Si no fuera así, deberá realizarse una propuesta de clasificación y elevarla a la autoridad de clasificación que corresponda.
Artículo 17. Desclasificación de información.
1. La autoridad de clasificación podrá señalar en la diligencia o directiva de clasificación el tiempo de vigencia del grado de clasificación que ha otorgado a la información, o las circunstancias que lo condicionen.
2. Asimismo, la autoridad de clasificación podrá mantener o, en cualquier momento, modificar, el grado de clasificación de la información, o bien desclasificar la misma.
Artículo 18. Deber de colaboración de los órganos y unidades del Departamento.
Todas las unidades y órganos del Departamento prestarán su colaboración al Servicio de Protección de la Información Clasificada del Departamento.
Disposición adicional única. Desarrollo y ejecución.
Se faculta al titular de la Subsecretaría de Industria, Comercio y Turismo, en tanto que Director de la Seguridad de la Información Clasificada en el Ministerio, para establecer las medidas y aprobar cuantas resoluciones e instrucciones resulten necesarias para la ejecución de lo dispuesto en esta orden.
Disposición derogatoria única. Normas que se derogan.
Quedarán derogadas cuantas disposiciones de igual o inferior rango se opongan a lo establecido y, en particular la Orden IET/2377/2015, de 5 de noviembre, por la que se regula la protección de la información clasificada en el Ministerio de Industria, Energía y Turismo, salvo la disposición final tercera relativa a la modificación de la Orden IET/1934/2014, de 14 de octubre, por la que se establece la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio de Industria, Comercio y Turismo.
Disposición final primera. Reglas de supletoriedad.
En todo lo no previsto en esta norma se estará a lo dispuesto en la normativa sectorial y las normas de la Autoridad Nacional para la Protección de la Información Clasificada.
Disposición final segunda. No incremento de gasto.
La aplicación de esta orden ministerial no conllevará incremento en el gasto público, y el funcionamiento de la infraestructura de protección prevista en esta orden será atendido con los medios personales, técnicos y presupuestarios ordinarios asignados al Gabinete Técnico de la Subsecretaría.
Disposición final tercera. Entrada en vigor.
Esta orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Madrid, 21 de octubre de 2019.–La Ministra de Industria, Comercio y Turismo, María Reyes Maroto Illera.
ANEXO
Orientaciones para la clasificación de información
Secreto
Podrán tener esta consideración aquellos asuntos:
a) Que puedan amenazar directamente la soberanía o integridad territorial de España.
b) Que puedan perjudicar gravemente el orden constitucional o la seguridad nacional.
c) Que puedan afectar gravemente el orden público, pudiendo ocasionarse una amplia pérdida de vidas humanas.
d) Que pueda afectar gravemente la capacidad de combate o la seguridad de las Fuerzas Armadas españolas o de sus aliados.
e) Que puedan mermar gravemente la efectividad o la seguridad de las misiones u operaciones de inteligencia del Estado o de sus aliados.
f) Que puedan perjudicar gravemente las relaciones diplomáticas del Estado o situaciones de crisis o conflicto internacional, o cualquier otro cuya salvaguarda requiera de la más alta protección.
Reservado
Podrán tener esta consideración aquellos asuntos:
a) Que puedan alterar el orden constitucional o la seguridad nacional.
b) Que pueda producir serias alteraciones del orden público o de la seguridad o libertad de los ciudadanos.
c) Que pueda alterar la capacidad de combate o la seguridad de las Fuerzas Armadas del Estado o de sus aliados.
d) Que pueda producir un detrimento de la efectividad o la seguridad de las misiones u operaciones de inteligencia o de los servicios de información del Estado o de sus aliados.
e) Que puedan alterar las relaciones diplomáticas del Estado o situaciones de crisis o conflicto internacional.
f) Que pueda perjudicar de forma grave los intereses económicos o industriales de carácter estratégico, o
g) Cualquier otro cuya salvaguarda requiera de un alto grado de protección.
Confidencial
Podrán tener esta consideración aquellos asuntos:
a) El efectivo desarrollo de las políticas del Estado o el funcionamiento del sector público.
b) Las negociaciones políticas o comerciales del Estado frente a otros terceros Estados.
c) Los intereses económicos o industriales, medioambientales o energéticos del Estado.
d) El funcionamiento de los servicios públicos.
e) La investigación de delitos, pudiendo dificultar la misma o facilitando su comisión de delitos, o
f) Cualquier otro cuya salvaguarda requiera protección.
Difusión limitada
Se aplicará a la información cuya revelación no autorizada o utilización indebida pueda afectar negativamente a los intereses del Estado en cualquiera de los ámbitos relacionados en el apartado anterior.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!