I. COMUNIDAD DE MADRID

C) Otras Disposiciones

CONSEJERÍA DE DIGITALIZACIÓN

El Plan de Recuperación, Transformación y Resiliencia, aprobado por el Consejo de Ministros en su reunión de 27 de abril de 2021, definió la estrategia española para llevar a cabo, durante el período 2021-2026, un ambicioso conjunto de reformas estructurales e inversiones públicas y privadas, financiadas mediante transferencias no reembolsables procedentes de Mecanismo de Recuperación y Resiliencia (fondos Next Generation-UE del presupuesto de la Unión Europea), con las que trataban de paliarse los efectos adversos provocados por la crisis de la COVID-19 y se sentaban las bases hacia un futuro más sostenible.

La evaluación del PRTR fue aprobada mediante Decisión de Ejecución del Consejo de 13 de julio de 2021, de conformidad con el Reglamento (UE) 2021/241, del Parlamento Europeo y del Consejo, de 12 de febrero, por el que se establece el Mecanismo de Recuperación y Resiliencia.

Con posterioridad, el 17 de octubre de 2023, se aprobó, a iniciativa del Gobierno de España, la Decisión de Ejecución del Consejo por la que se modifica la Decisión de Ejecución del 13 de julio de 2021 relativa a la aprobación de la evaluación del PRTR de España, dando lugar a la conocida como “Adenda al PRTR”.

El PRTR se vertebra sobre cuatro ejes transversales: (i) transición ecológica, (ii) transformación digital, (iii) cohesión social y territorial e (iv) igualdad de género, los cuales engloban todas las inversiones y reformas estructuradas en torno a 10 políticas Palanca, desarrolladas a través de 31 Componentes, que articulan los proyectos coherentes de inversiones y reformas para modernizar el país.

Dentro de la Palanca V: “Modernización y digitalización del tejido industrial y de la PYME, recuperación del turismo e impulso a una España Nación Emprendedora” se integra el Componente 15: “Conectividad Digital, impulso de la ciberseguridad y despliegue del 5G”, cuya finalidad es garantizar la conectividad en todo el territorio nacional, liderar el despliegue de las redes y servicios basado en tecnologías 5G en Europa, y posicionar a España como un hub internacional de infraestructuras y talento en materia de ciberseguridad; finalmente, dentro de dicho Componente, se crea la Inversión 7: “Ciberseguridad” (C15.I7).

Las Redes Territoriales de Especialización Tecnológica (RETECH) son una herramienta para hacer realidad la transformación digital en todo el territorio, aprovechando al máximo las potencialidades de cada región.

El 3 de agosto de 2022 la Secretaría de Estado de Digitalización e Inteligencia Artificial publicó en su sede electrónica la “Invitación publica en el impulso de redes territoriales de especialización tecnológica” dirigida a las Comunidades y Ciudades Autonómicas divididas en dos ejes RETECH Ciber y RETECH Inteligencia Artificial.

Los Proyectos RETECH Ciber, son gestionados directamente por el Instituto Nacional de Ciberseguridad de España (INCIBE), cuya misión es reformar la ciberseguridad, la privacidad y la confianza en los servicios de la Sociedad de la Información, aportando valor a ciudadanos, empresas, Administración y al sector de las tecnologías de la comunicación y sectores estratégicos en general. Dichos proyectos, cofinanciados íntegramente con presupuesto del PRTR de INCIBE se instrumentalizan a través de la firma de convenios de colaboración y no por una territorialización del crédito.

Por ello se firmó el Convenio de colaboración entre la Comunidad Autónoma de Madrid y la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. (INCIBE) en el ámbito del Programa RETECH (Redes Territoriales de Especialización Tecnológica), y en el marco del Plan de Recuperación, Transformación y Resiliencia- Financiado por la Unión Europea-Next Generation EU, para el desarrollo del Proyecto Reseda en el Sector de la Salud (en adelante, “Proyecto Reseda”) y contribuyendo a la consecución del Componente 15, I7 del Plan de Recuperación, Transformación y Resiliencia.

La gobernanza del convenio se articula a través de su Comisión Bilateral, que elabora un Plan Anual Operativo conforme a lo establecido en las cláusulas tercera y séptima, a aprobar por la Comisión de Seguimiento.

Las actuaciones que se pretende ejecutar en la Comunidad de Madrid y su encuadre en las líneas estratégicas del Componente 15 Inversión 7 son las definidas en el Plan Anual Operativo tal y como se especifica en la cláusula Tercera del mencionado convenio.

El presupuesto para la ejecución de dicho convenio y las aportaciones de las partes se encuentran recogidos en la cláusula cuarta de dicho convenio, desglosándose de la siguiente forma: presupuesto total 21.014.875,46 euros, aportación de INCIBE 15.000.000 euros (71,38 %) y aportación de la Comunidad de Madrid 6.014.875,46 euros (28,62 %).

Por otra parte, mediante Orden HFP/1030/2021, de 29 de septiembre, se ha configurado el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia. Asimismo, mediante Resolución 1/2022, de 12 de abril, de la Secretaría General de Fondos Europeos, se han aprobado instrucciones aclaratorias sobre la delimitación de la entidad ejecutora y sobre la designación de órganos responsables de medidas y órganos gestores de proyectos y subproyectos en el marco del sistema del PRTR.

Según el apartado tercero de dichas instrucciones, en el ámbito de las comunidades autónomas, son entidades ejecutoras del PRTR las consejerías autonómicas.

En el apartado cuarto se señala que las entidades ejecutoras del PRTR podrán valerse de otras entidades del sector público para llevar a cabo acciones previstas en el mismo, bajo la responsabilidad y dirección de la entidad ejecutora. Dichas entidades del sector público no tendrán la consideración de entidades ejecutoras del PRTR, sino que su participación en este tendrá, a los efectos del sistema de gestión establecido en la Orden HFP/1030/2021, un carácter meramente instrumental.

Por su parte, la Agencia de Ciberseguridad de la Comunidad de Madrid (en adelante, Agencia) es un Ente de Derecho Público actualmente adscrito a la Consejería de Digitalización, creado por Ley 14/2023, de 20 de diciembre, por la que se crea la Agencia de Ciberseguridad de la Comunidad de Madrid, que tiene atribuidas a título exclusivo y entre otras competencias, dirigir y coordinar la ciberseguridad y apoyar e impulsar la capacitación en ciberseguridad y el desarrollo digital seguro de la Región, en el ámbito de actuación fijado, así como definir y velar por la ejecución de las políticas públicas en materia de ciberseguridad.

Bajo estas premisas, queda motivada la designación de la Agencia, como Entidad Instrumental para la ejecución de diversos subproyectos del PRTR de la Consejería de Digitalización, en el marco del Componente 15, Inversión 7, procediéndose mediante la presente Orden a la aprobación del instrumento que da cobertura jurídica a la gestión por parte de la Agencia de actuaciones financiadas con fondos PRTR, dándose de esta forma cumplimiento a la Resolución 1/2022, de la Secretaría General de Fondos Europeos, se ordena la transferencia de fondos MRR vinculados a los mismos y se establecen las obligaciones que resultan aplicables a esta Agencia.

La primera versión del Plan Anual Operativo, de diciembre de 2024, contemplaba cinco líneas de actuación, que fueron ampliadas a ocho en la siguiente versión del Plan, de julio de 2025.

Mediante la Orden 73/2025, de 20 de marzo, se designó a la Agencia de Ciberseguridad de la Comunidad de Madrid entidad instrumental para la realización de diversas actuaciones (C15.I7) en el marco del Plan de Recuperación, Transformación y Resiliencia, financiado por la Unión Europea-NextGenerationEU, sobre las líneas de actuación estratégica 4 (Ayuda para facilitar la implantación de casos de uso y certificaciones de cumplimiento de la normativa) y 5 (Impulso a la ciberseguridad en entidades locales de menos de 20.000 habitantes de la Comunidad de Madrid).

Tras la adjudicación de los contratos previstos para la ejecución de las actuaciones de las líneas 1, 2 y 3, debido a las bajadas producidas, se considera necesario hacer una nueva redistribución de los fondos presupuestados en la Consejería de Digitalización para esas actuaciones, acordándose una nueva versión del PAO.

Como consecuencia de la tercera modificación del Plan Anual Operativo, de noviembre de 2025, procede realizar una nueva designación de la Agencia de Ciberseguridad de Madrid como entidad instrumental de las líneas de actuación estratégica 7-Oficina de Gestión Tecnológica (OGT) y 8-Bastionado y refuerzo de seguridad de aplicaciones del SERMAS.

De conformidad con lo expuesto y en ejercicio de las competencias atribuidas en virtud del Decreto 261/2023, de 29 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Digitalización,

DISPONGO

Primero

Designar a la Agencia de Ciberseguridad de la Comunidad de Madrid, adscrita a la Consejería de Digitalización, Entidad Instrumental para la ejecución de diversos subproyectos del PRTR de la Consejería de Digitalización, integrados en el Componente 15. Inversión 7 (“Ciberseguridad: Fortalecimiento de las capacidades de ciudadanos, PYMES y profesionales, e impulso del ecosistema del sector), del Plan de Recuperación, Transformación y Resiliencia financiado por la Unión Europea-NextGenerationEU, encuadrados en las siguientes líneas estratégicas del PAO vigente:

— 7. Oficina de Gestión Tecnológica (OGT).

— 8. Bastionado y refuerzo de seguridad de aplicaciones del SERMAS.

Segundo

Ordenar la transferencia de los créditos presupuestados por la Consejería de Digitalización sobrantes de la ejecución de las líneas de actuación 1, 2 y 3, una vez que los contratos han sido adjudicados y exceden de las cantidades necesarias para la ejecución de los mismos y los necesarios para la ejecución de la línea 6, para la ejecución de la Agencia de Ciberseguridad en las líneas 4, 5, 7 y 8 de acuerdo con los términos del Plan Anual Operativo, con la siguiente distribución:

Tercero

Ordenar la transferencia del crédito procedente de fondos MRR pendiente de recibir asignado a las líneas de actuación 4, 5, 7 y 8 a la Agencia de Ciberseguridad en el momento en que dichos fondos sean ingresados en la Consejería de Digitalización y de fondos propios correspondientes al presupuesto de 2026 una vez aprobado, para la financiación de las actuaciones expresadas en el Plan Anual Operativo con la siguiente distribución:

Cuarto

La Agencia deberá aceptar dichas transferencias mediante el oportuno reconocimiento de ingresos en sus estados financieros y asumir el compromiso expreso de destinar el crédito asignado a las actuaciones descritas en la presente Orden y al cumplimiento de las obligaciones expresadas en el apartado quinto de forma que posibiliten el cumplimiento de los hitos y objetivos establecidos para las medidas de inversión C15.I7, así como proceder, en su caso, al reintegro total o parcial de las cantidades percibidas que con arreglo a derecho le fueran exigibles, en caso de no realizarse el gasto o en caso de incumplimiento total o parcial de los hitos y objetivos previstos.

Quinto

La Agencia estará sujeta al cumplimiento de las siguientes obligaciones:

— Comprometerse, con cargo a la financiación recibida a tal fin, a realizar las actuaciones que le sean asignadas por la Entidad Ejecutora Consejería de Digitalización y, en particular, al cumplimiento de los Hitos y Objetivos de la Decisión de Ejecución del Consejo, de acuerdo con sus indicadores de seguimiento, en la forma y los plazos previstos, y bajo las directrices de la Entidad Ejecutora.

— Facilitar a la Entidad Ejecutora cuanta información de seguimiento le sea requerida y cumplir con las obligaciones que como Entidad Instrumental del PRTR le incumben en relación con las tareas de edición, carga de documentación y reporte del progreso de indicadores en el sistema de información de gestión y seguimiento del PRTR (CoFFEE), conforme a lo dispuesto en la Orden HFP/1031/2021, de 29 de septiembre, y según se establezca en el manual de uso y funcionamiento del sistema de información CoFFEE-MRR.

— Cumplir con todos los principios transversales del Mecanismo de Recuperación y Resiliencia de acuerdo con los Reglamentos (UE) 2021/241 y 2023/435, del Parlamento Europeo y del Consejo, y con los principios de gestión específicos del PRTR previstos en el artículo 2 de la Orden HFP/1030/2021, con el mismo nivel de exigencia que el requerido en dicha Orden a las entidades ejecutoras, incluidas las obligaciones de disponer de un Plan de Medidas Antifraude.

— Garantizar que el gasto en el que se incurra en la gestión de los programas de incentivos está libre de fraude, corrupción, conflicto de interés y doble financiación.

— Garantizar una adecuada pista de auditoría conservando los documentos durante 5 años a partir del pago del saldo o, en su defecto, de la operación, de conformidad con el artículo 132 del Reglamento (UE, Euratom) 2018/1046, del Parlamento Europeo y del Consejo de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión.

Sexto

En su condición de Entidad Instrumental, la Agencia estará sujeta a lo dispuesto en la normativa reguladora del PRTR y del Mecanismo de Recuperación y Resiliencia, en particular al:

— Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia.

— Decisión de Ejecución del Consejo (UE), de 13 de julio de 2021, relativa a la aprobación de la evaluación del plan de recuperación y resiliencia de España, modificada por Decisión de Ejecución del Consejo (UE) de 17 de octubre de 2023.

— Reglamento (UE, Euratom) 2018/1046 del Parlamento Europeo y del Consejo, de 18 de julio de 2018, sobre las normas financieras aplicables al presupuesto general de la Unión.

— Real Decreto-Ley 36/2020, de 30 de diciembre, por la que se aprueban medidas urgentes para la modernización de la Administración Pública y para la ejecución del Plan de Recuperación, Transformación y Resiliencia.

— Acuerdo del Consejo de Ministros, de 27 de abril de 2021, por el que se aprueba el Plan de Recuperación, Transformación y Resiliencia.

— Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia.

— Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia.

— Orden HFP/55/2023, de 24 de enero, relativa al análisis sistemático del riesgo de conflicto de interés en los procedimientos que ejecutan el Plan de Recuperación, Transformación y Resiliencia.

En Madrid, a 26 de noviembre de 2025.

El Consejero de Digitalización, MIGUEL LÓPEZ-VALVERDE ARGÜESO

(03/19.682/25)