VALÈNCIA. La Sindicatura de Comptes ha alertado de que la mayoría de los organismos autónomos de la Generalitat presentan un nivel de madurez “bajo” en materia de gobernanza de la ciberseguridad, según el informe publicado sobre la situación a 31 de diciembre de 2024. La advertencia coincide con la adjudicación por parte de la Generalitat de un contrato de 38 millones de euros a S2 Grupo para la gestión integral de la ciberseguridad y la creación de un Centro de Innovación y Competencia y que fue licitada a principios de 2025.
De los doce organismos analizados, únicamente la Agencia Tributaria Valenciana (ATV) y la Agencia Valenciana de Fomento y Garantía Agraria (AVFGA) cuentan con políticas de seguridad actualizadas, estructuras definidas de roles y procedimientos consolidados de análisis de riesgos. Ambas entidades disponen además de certificación en el Esquema Nacional de Seguridad (ENS), lo que se traduce en un modelo de gestión más alineado con los estándares normativos. Pese a ello, la Sindicatura considera necesario mejorar la periodicidad de los comités de seguridad y reforzar los análisis de impacto en protección de datos.
El resto de organismos. según señala, muestra un grado claramente insuficiente de cumplimiento. El informe señala la inactividad o inexistencia de comités de seguridad, la ausencia de roles formalmente designados o en funcionamiento, la falta de procedimientos propios, la escasa formación en ciberseguridad y la inexistencia de análisis de riesgos actualizados. También se detecta una planificación deficiente en materia de continuidad de servicios críticos y una aplicación parcial de las obligaciones en protección de datos. La Sindicatura subraya que estas carencias adquieren especial relevancia en organismos de gran tamaño o con servicios esenciales, como Labora, la Autoridad del Transporte Metropolitano de Valencia o la Agencia Valenciana de Seguridad y Respuesta a las Emergencias.
Una normativa obsoleta hasta 2024 y baja coordinación institucional
La auditoría atribuye parte de esta situación al retraso en la actualización del marco normativo, que hasta abril de 2025 seguía sustentándose en dos decretos de 2012 desalineados del ENS y ya obsoletos. El informe destaca también la escasa actividad del Comité de Seguridad de la Información —sin reuniones desde 2013— y la limitada actuación de la Comisión Interdepartamental para la Transformación Digital y Simplificación Administrativa (CITSA), órganos clave para la coordinación corporativa de la seguridad de la información.
En este contexto, la Generalitat ha adjudicado a S2 Grupo un contrato de cuatro años que prevé no solo la gestión integral de la ciberseguridad, sino también la creación de un ecosistema de innovación orientado a anticipar y mitigar amenazas. El proyecto, dotado con un equipo de 64 profesionales operativos 24/7, contempla el fortalecimiento del CSIRT-CV, la puesta en marcha de laboratorios sectoriales, programas de formación y nuevas capacidades tecnológicas en ámbitos como la inteligencia artificial, el blockchain, el Internet de las Cosas o la Industria 4.0. La Administración ha incorporado además criterios que impulsan la cooperación público-privada y la unificación operativa frente a amenazas en constante evolución.
La Sindicatura reclama más recursos y planificación
El organismo fiscalizador considera necesario que la Generalitat refuerce los recursos humanos y materiales de la DGTIC y de los propios organismos autónomos para garantizar la implantación efectiva del nuevo marco regulatorio y el alineamiento con el ENS. También pide mejorar los mecanismos de coordinación, acelerar la adopción de políticas propias de seguridad en las entidades que todavía no las han aprobado y ampliar las acciones de formación y concienciación dirigidas al personal público. La Sindicatura concluye que la ciberseguridad debe consolidarse como un elemento estratégico para garantizar la continuidad de los servicios públicos y la protección de la información de la ciudadanía en un entorno de riesgos crecientes.
