VALÈNCIA. La Sindicatura de Comptes vuelve a la carga con la evaluación del estado de la ciberseguridad en el sector público instrumental de la Generalitat Valenciana. Y, un año más, redunda en la crítica sobre las escasas medidas tomadas por la mayoría de entes públicos para protegerse ante los problemas derivados de la hiperconexión y los trámites digitales. El órgano fiscalizador concluye que la situación general de la gobernanza de la ciberseguridad en entidades públicas y sociedades mercantiles dependientes del Consell es "inaceptable" y refleja una "dejadez de responsabilidades" por parte de numerosos órganos de dirección y gobierno. Solo dos entes se salvan del rapapolvo.
El análisis, publicado sobre la situación a 31 de diciembre de 2025, abarca a 30 entidades del sector público instrumental valenciano, entre ellas organismos y empresas públicas de gran peso presupuestario y operativo como Ferrocarrils de la Generalitat Valenciana (FGV), la Entidad Pública de Saneamiento de Aguas Residuales (EPSAR), Turisme Comunitat Valenciana, Vaersa, SGISE, SITVAL o el Institut Valencià de Finances (IVF). De éstas, solo la Ciudad de las Artes y de las Ciencias (Cacsa) e Infraestructures i Serveis de Telecomunicacions i Certificació (Istec) tienen nivel de madurez considerado adecuado, frente a un panorama general marcado por la ausencia de planificación, la falta de liderazgo y las carencias estructurales en materia de protección digital.
Istec lidera el ranking con un 98,5% de madurez en gobernanza de ciberseguridad, mientras que Cacsa obtiene un 86,5%. Frente a estos dos casos, cinco entidades presentan niveles intermedios, situados entre el 50% y el 80%, una situación que el órgano fiscalizador sigue considerando "deficiente". Sin embargo, el grueso del problema se concentra en otras 23 entidades que no alcanzan siquiera el 50%. En algunos casos, según la Sindicatura, esa gobernanza resulta "prácticamente inexistente", lo que evidencia importantes carencias tanto organizativas como de supervisión y planificación.
Según la Sindicatura, la mayoría de estas entidades carece de una estructura sólida de gobernanza en materia de seguridad digital, no dispone de una dirección estratégica clara y tampoco gestiona adecuadamente los riesgos derivados de las crecientes amenazas cibernéticas. El órgano fiscalizador considera especialmente grave que estas deficiencias afecten a entidades que prestan servicios esenciales para la ciudadanía o gestionan presupuestos elevados y grandes volúmenes de información sensible.
La Sindicatura insiste en que la ciberseguridad no puede seguir tratándose como una cuestión exclusivamente técnica o limitada a los departamentos informáticos. El documento recalca que se trata de un elemento estratégico directamente relacionado con la continuidad de los servicios públicos, la protección de datos personales y la capacidad de respuesta de las administraciones ante amenazas digitales cada vez más sofisticadas. En este sentido, el órgano fiscalizador considera que buena parte de las entidades auditadas no ha asumido todavía la dimensión real del problema ni ha integrado la ciberseguridad dentro de sus estructuras de dirección y toma de decisiones.
Graves carencias ante un ciberataque
Uno de los aspectos que más preocupa a la Sindicatura es la escasa capacidad de respuesta de las entidades ante un incidente grave de seguridad. El informe señala que 28 de las 30 entidades auditadas presentan niveles muy deficientes en continuidad del servicio y ciberresiliencia, lo que implica que la mayoría no dispone de planes adecuados para reaccionar ante un ciberataque, recuperar información crítica o restablecer servicios esenciales en un plazo razonable. El órgano fiscalizador advierte de que esta falta de preparación puede derivar en interrupciones operativas importantes, pérdida de datos sensibles, afectación a servicios públicos esenciales y daños reputacionales y económicos de gran alcance.
Además de las carencias organizativas, la Sindicatura detecta incumplimientos generalizados de la normativa de seguridad de la información y protección de datos. Muchas entidades no cuentan con políticas de seguridad formalmente aprobadas, carecen de procedimientos internos definidos o no han implantado sistemas periódicos de análisis y gestión de riesgos. También se observan deficiencias en la implantación del Esquema Nacional de Seguridad (ENS), así como en la existencia de estructuras específicas para supervisar y coordinar las políticas de protección digital dentro de las organizaciones públicas.
Refuerzo de la estrategia autonómica
A principios de 2025, el Consell licitó un contrato de 38 millones de euros adjudicado posteriormente a S2 Grupo para la gestión integral de la ciberseguridad y la creación de un Centro de Innovación y Competencia especializado en esta materia. Aunque la Sindicatura no entra a valorar directamente esta adjudicación, sí insiste en la necesidad de aumentar recursos, profesionalizar estructuras y reforzar la coordinación en materia de protección digital dentro del conjunto del sector público valenciano.
Entre las principales recomendaciones planteadas por el órgano fiscalizador figura la necesidad de que las consellerias ejerzan un liderazgo "activo y comprometido" en materia de seguridad de la información y supervisen adecuadamente a las entidades dependientes. También reclama aprobar políticas de seguridad actualizadas, desarrollar normativa interna específica, formalizar roles y responsabilidades en materia de ciberseguridad, implantar procesos periódicos de análisis de riesgos y reforzar la formación y concienciación del personal.
