Comunidades Autónomas - Cataluña - 5 de febrero de 2026

Bon dia a tothom, bon dia a tots i totes. Primer, disculpar la presidenta de la comissió, que està atenent una altra comissió, i m'encarregaré jo mateixa de presidir aquesta sessió. Comencem l'ordre del dia i els tinc un parell de comunicacions. La primera és que fa ja unes sessions vam aprovar aquí a comissió la ponència de la llei de l'amiant i, en aquest sentit, hi ha un canvi de relator que els passo a comunicar. El senyor Jesús Becerra Ramírez, del grup socialista, seria substituït pel senyor David González Chanca per fer aquesta tasca en la llei de la MIAN, i com és una comunicació, crec que no hem d'emetre vot. L'altra qüestió que els volia compartir per veure com procedim és que ara farem les votacions de les sol·licituds de compareixença. Com ja vostès saben, tenim la directora de l'Agència de Ciberseguretat, amb dues compareixences: una demanada per la pròpia directora i una altra demanada pel grup de Junts. Per tant, si els sembla, el torn d'intervencions en aquest cas coincideix, però faríem com sempre, començaríem per Junts, fem tota la ronda i acabaríem amb el grup que dona suport al govern, si sembla bé a tothom. Molt bé, doncs volíem consensuar això. Ara sí que passo a fer les votacions de l'ordre del dia. Disculpin, substitucions. Miri, per Junts per Catalunya, la diputada Anna Navarro substitueix el diputat Albert Batet i el diputat Francesc de Dalmases substitueix a Judit Toronjo. Sí, del Partit Popular, el diputat Cristian Escribano substitueix el diputat Alejandro Fernández. Esquerra, sí, la diputada Mar Veses substitueix el diputat Josep Maria Jové. La CUP.

No és per anunciar substitucions, sinó que em quedo ara a votar, però marxo perquè tinc la Comissió d'Interior i Territori conjunta. Moltes gràcies. Ara sí que passem a la votació de les sol·licituds. Com que n'hi ha poques, els sembla que fem d'una en una o volen fer algun paquet? Començarem pel punt número 1, que és la sol·licitud de compareixença d'una representació del col·lectiu d'alertadors davant aquesta comissió. Vots a favor? Per unanimitat. Moltes gràcies. Passem al punt número 2, que és una sol·licitud de compareixença d'una representació de la secció sindical de la Confederació General del Treball a l'Institut Cartogràfic i Geològic de Catalunya. Vots a favor? Disculpa, gràcies. Junts, PSC, Esquerra Republicana i la CUP. Vots en contra? El Partit de Vox. Abstencions? Partit Popular. Moltes gràcies. Passem al punt número 3, que és la sol·licitud de compareixença d'una representació de la III Cimera contra les Causes Estructurals de la Corrupció davant la Comissió d'Afers Institucionals. Vots a favor de la sol·licitud: PSC, Comuns, Esquerra Republicana, la CUP, PP i Junts. Vots en contra? Abstencions: Partit Popular i Vox. Moltes gràcies. Passem al punt número 4, que és la sol·licitud de sessió informativa davant la Comissió d'Afers Institucionals pel conseller de la Presidència sobre les accions previstes contra els ajuntaments que permeten els empadronaments fraudulents. Vots a favor de la proposta? Junts, PP i Vox. Vots en contra? PSC, Esquerra Republicana, la CUP i Comuns, per tant, rebutjaríem. Moltes gràcies. Ara sí, passem a demanar als compareixents si estan presents. Cristina, mirem si estan? Bé, doncs, com dèiem, donem la benvinguda a la directora de l'Agència de Ciberseguretat de Catalunya. Molt bé, gràcies presidenta, diputats i diputades, bon dia. Primer de tot, gràcies per atendre la meva compareixença davant la Comissió d'Afers Institucionals. Avui em toca presentar les memòries anuals 2023-2024. Tot i que és la primera vegada que comparec per presentar l'activitat de l'agència, no és la primera vegada que soc aquí. Recordaran que vaig tenir l'oportunitat de presentar-me davant de tots vostès fa poc més d'un any, concretament a Catalunya, la senyora Laura Caballero. En aquest sentit, avui tenim diferents compareixences que substanciarem en el mateix torn pel que fa a la presentació de les memòries tant del 2023 com del 2024. Per tant, vostè té la paraula. Sigui molt benvinguda vostè i els acompanyants.

Un torn de 20 o 25 minuts perquè pugui explicar. Després farem un torn dels grups i podrà també respondre totes les qüestions que facin falta. Per tant, endavant i benvinguda. El 16 de gener del 2025, ho vaig fer en virtut de l'article 5.2 de la llei de l'agència, que estableix l'obligació que la proposta de la persona designada per la direcció comparegui abans de la seva contractació efectiva. Així doncs, tot i que podríem dir que no soc nova, sí que és la primera vegada que assisteixo a aquesta Comissió d'Afers Institucionals per a presentar les memòries de l'Agència. En aquest sentit, m'agradaria esclarir-los, com ja segurament hauran deduït, que encara no era la directora de l'Agència de Ciberseguretat de Catalunya en els exercicis que avui presentaré. No obstant això, l'administració té una continuïtat que celebro i que reivindico, i que és la que em permet avui exposar-los l'activitat dels anys 2023-2024. Abans d'endinsar-me en les línies de treball i les actuacions de les memòries que avui presento, permetin-me fer una breu referència al que som l'Agència i l'encàrrec que tenim. Es tracta d'un servei públic essencial encarregat de governar la ciberseguretat del país i treballar diàriament en la prevenció de les estafes i la protecció d'una internet molt més segura. D'aquest mandat se'n deriva, en primer lloc, la responsabilitat de conscienciar i formar la ciutadania, però no només això, sinó també les empreses i les institucions públiques de Catalunya. En segon lloc, prestem directament serveis de ciberseguretat a totes les institucions públiques, proporcionant acompanyament i supervisió en el seu procés d'adaptació als requisits de seguretat vigents per tal d'assegurar la confidencialitat, la integritat, la traçabilitat i l'autenticitat de les dades dels nostres ciutadans i ciutadanes, així com de les pròpies administracions públiques. Així mateix, com a agència, tenim un altre rol, que és el de la resposta a incidents, el que anomenem el Catalunya CERT. Nosaltres prestem serveis reactius, és a dir, que responem a una amenaça o un incident de ciberseguretat, així com a serveis de gestió i coordinació que tenen per objectiu millorar els processos de treball tant externs com interns. Finalment, tenim un altre rol recent, que és el que l'agència està reconeguda com un òrgan d'auditoria tècnica, capacitant-nos per realitzar auditories de conformitat amb l'esquema nacional de seguretat per a l'àmbit de l'administració pública de la Generalitat de Catalunya, del seu sector públic i de totes aquelles entitats que estan sota l'àmbit competencial de l'agència, com poden ser hospitals o universitats, entre d'altres. En conseqüència, l'Agència executa les polítiques públiques en matèria de ciberseguretat i desenvolupa l'estratègia pròpia de ciberseguretat de l'àmbit de la Generalitat de Catalunya. Dit d'una altra manera, som l'organisme responsable de governar la ciberseguretat a Catalunya. Entraré ara, si els sembla, en la matèria específica que motiva la meva compareixença d'avui, que és el balanç de l'Agència corresponent als exercicis 2023-2024. Començaré amb una radiografia global de quines van ser les principals amenaces en l'àmbit de la ciberseguretat a escala internacional. L'any 2023 va ser un any d'una gran rivalitat geopolítica, una rivalitat que es va traslladar amb molta força al ciberespai. Recordem, per exemple, la continuïtat del conflicte bèl·lic entre Ucraïna i Rússia, que va propiciar una sèrie d'atacs molt sofisticats, com ara atacs de denegació de servei (DDoS), que volien desestabilitzar els països. A més, van haver-hi moltes campanyes de desinformació associades a aquests conflictes bèl·lics. Un patró molt similar es va produir també a les tensions del Pròxim Orient. A nivell local, aquest impacte va ser molt important; es van anul·lar 150 intervencions i més de 2.000 visites, no només a l'Hospital Clínic, sinó també a l'Hospital Moisès Broggi. Això ens va demostrar que a l'agència havíem de donar resposta. Com es va donar resposta en aquell moment? Es va presentar un model de ciberseguretat específic pel sector sanitari, amb l'objectiu de protegir aquest àmbit tan crític a través de la prestació de serveis de l'Agència, dins d'un model integral de protecció. Així, els situàvem d'alguna manera sota el nostre paraigües. I és que, parlant de ransomware,

Que precisament va ser el tipus d'atac que es va utilitzar a l'Hospital Clínic per generar aquest impacte. No és casual que en el 2024 aquest tipus d'atac tingués records històrics. Això vol dir que a nivell mundial el tipus d'atac ransomware va arribar a xifres històriques fins als 5.710 incidents, un 11,6% més que l'any anterior. Aquesta realitat ens va reafirmar la necessitat de seguir treballant en línia i en la protecció d'aquestes entitats, especialment dels sectors més vulnerables. A tot això, en el 2023-2024 comença a aparèixer la intel·ligència artificial generativa. És cert que va ser a l'inici, però ara s'està consolidant com un vector d'amenaça clar. En aquest període, es van començar a veure els primers atacs que utilitzaven la intel·ligència artificial generativa per fer més sofisticades, per exemple, les ciberestafes. També es van donar alguns primers casos d'atacs dels tipus hipertrucatge o els anomenats deepfakes, que poden generar imatges o vídeos en temps real i suplantar la identitat de les persones. Pel que fa a altres tipus d'atacs, a banda del ransomware i de la irrupció de la intel·ligència artificial, també va haver-hi un creixement notable dels robatoris massius de dades personals, especialment amb finalitats delictives. Vam veure que això era un negoci molt lucratiu per als ciberdelinqüents, i aquests robatoris es feien a través de dues tècniques: d'una banda, tècniques d'enginyeria social per enganyar les persones, i d'altra banda, infectant directament dispositius amb programari maliciós conegut com a infostiller. Això buscava robar usuaris i contrassenyes, que després es venien al mercat negre, a l'anomenada dark web, generant un cicle virtuós de ciberestafes que derivaven en intents d'estafes a través del correu, trucades, SMS, etc. Amb tota aquesta situació, es va posar de manifest que les amenaces eren cada cop més sofisticades i persistents, afectant no només les organitzacions directament, sinó també tota la cadena de subministrament i els proveïdors que donaven servei a aquestes organitzacions. Pel que fa a les vulnerabilitats, el nostre centre d'operacions de ciberseguretat va identificar set vulnerabilitats que no tenien protecció disponible en el mercat. Aquesta detecció es va fer en suficient temps per assegurar que no hi havia un impacte directe sobre els nostres actius i sistemes d'informació, destacant la importància de la prevenció i detecció per evitar incidents. Durant el 2023, l'Agència va gestionar fins a 2.760 incidents de ciberseguretat, una xifra elevada que seguia la tendència incremental dels últims anys. No obstant això, el 2024 aquesta dada va augmentar fins a un 26% més, arribant als 3.372 incidents. Cal precisar que aquestes xifres tan elevades corresponen als incidents dins del perímetre de l'Agència, que gestionem directament. Paral·lelament, rebem milions d'intents d'atacs; en concret, 5.000 milions d'intents en el 2023 i 6.900 milions en el 2024. Els sistemes de protecció van funcionar adequadament, bloquejant la majoria d'aquests intents, i només vam tenir una xifra residual d'incidents de ciberseguretat.

D'alguna manera, en el proper any, quan hagi de presentar les memòries o quan vostès ho considerin, la xifra en el 2025 és més elevada. La quantitat de ciberatacs, que també és una tendència global, no és només una tendència dins de l'àmbit de l'administració pública i de la Generalitat, va incrementant i cada any superem xifres històriques. Així mateix, durant el 2023-2024, podem destacar una tipologia d'atacs que són els de denegació de servei. A Catalunya, en van rebre, en el 2023, fins a 36 atacs de denegació de servei. Aquests atacs busquen deixar inoperativa una organització enviant peticions massives als sistemes d'informació. En canvi, la bona notícia és que en el 2024, de 36 atacs de denegació de servei, es van passar a 33 atacs. Per tant, sí que hi va haver una reducció. En tot aquest còmput de xifres, ens quedem amb un concepte: malgrat que la tendència en ciberatacs és clara, la ciberseguretat ha de situar-se al centre dels nostres esforços. En aquest sentit, el Govern i l'Agència van aprovar dotar-se dels recursos necessaris per accelerar i impulsar més accions en tres eixos estratègics: el sector sanitari, el món local i l'àmbit universitari, incloent els centres de recerca i educatius. Si el 2023 el sector sanitari va ser la principal víctima de ciberincidents, l'any següent, en canvi, l'activitat delictiva a la xarxa amb més impacte va ser al sector universitari, amb 1.740 incidents, mentre que l'àmbit hospitalari i la Generalitat van patir 676 i 643 incidents respectivament. Pel que fa a l'àmbit de la Generalitat, el 2024 va haver-hi un canvi de tendència, amb un desplaçament de l'activitat ciberdelictiva cap al robatori de credencials, sobrepassant inclús les fronteres de l'àmbit sanitari. Ara m'endinsaré, si em permeten, en els projectes més destacats del Continua a l'Alça. La detecció i l'estabilització dels bloquejos han estat cada vegada més robustes, reafirmant la importància i la utilitat dels sistemes de prevenció de l'Agència de Ciberseguretat. A nivell mediàtic, destaca l'incident de l'Hospital Clínic, i com a conseqüència del període que avui presento, mencionar que aquests projectes inclouen el desplegament del model de protecció en ciberseguretat als 68 hospitals del CISCAT. Va ser un esforç de país que va permetre establir un marc homogeni de prevenció, protecció i resposta en un dels àmbits més crítics, que és el de salut. Paral·lelament, es van començar a treballar una sèrie de proves pilot, per exemple, a les universitats, en el model integral de ciberseguretat, que buscava normalitzar i automatitzar el desplegament del model mencionat. També es van definir algunes iniciatives sectorials, com l'ISAC Salut, que busquen potenciar la col·laboració i la coordinació en un àmbit tan sensible com el sanitari. A més, en aquest 2023 se'ns van assignar importants fons europeus dins del programa de RETEC, en el marc del Pla de Recuperació, Transformació i Resiliència. Durant aquells anys, es va començar a definir els àmbits d'actuació a què es destinarien aquests fons europeus. Actualment, des del 2025, hem aterrat tots aquests àmbits d'actuació, amb fins a 27 iniciatives. De fet, és la major inversió i execució en projectes de ciberseguretat que mai s'ha fet en aquest país, centrada bàsicament en protegir els serveis essencials més crítics, tant en l'administració com en l'àmbit de salut. També incideix en la part de talent, un repte que tenim al davant, i posa una mirada en les futures amenaces emergents, preparant-nos per a temes com la computació quàntica i donant suport a les pimes especialment.

Dins del sector TIC, per ser més competitives, és fonamental oferir serveis d'adequació i de certificació a l'Esquema Nacional de Ciberseguretat. Tornem al 2024. Si el 2023 ha explicat aquests projectes destacables, el 2024 es va impulsar el primer programa de bug bounty governamental, una iniciativa que permet detectar vulnerabilitats de forma proactiva a través del que se'n diu hacking ètic. A més, cal destacar la creació d'un pavelló de l'Agència al Barcelona Cybersecurity Congress, que va acollir 16 empreses i entitats catalanes. Aquesta acció va esdevenir una palanca per accelerar la inversió, el talent i l'activitat econòmica, contribuint també a la política d'internacionalització del sector de la ciberseguretat de Catalunya. És pertinent assenyalar que des de l'Agència de Ciberseguretat de Catalunya s'impulsa anualment aquest congrés, de manera conjunta amb Fira Barcelona, per situar Catalunya com a pol d'atracció i de talent en l'àmbit de la ciberseguretat, i que enguany celebrarem el mes de novembre, coincidint amb l'Smart City Expo World Congress. Per últim, arran de l'aprovació del nou esquema nacional de seguretat de l'any 2022, durant el 2023 l'Agència va ser reconeguda com a òrgan d'auditoria tècnica per part del Centre Criptològic Nacional. Aquest reconeixement habilita l'Agència per realitzar auditories de conformitat amb l'Esquema Nacional de Seguretat a l'administració pública, al sector públic i a la resta d'entitats incloses dins del seu àmbit competencial, així com per emetre els corresponents certificats de conformitat. Per tal de vetllar per aquest impuls de l'Esquema Nacional de Seguretat, l'Agència va reforçar el seu model de seguretat incorporant com a última milla l'auditoria de certificació. Ara passem a la banda d'innovació i tecnologia. Pel que fa a innovació i tecnologia, l'any 2023 va representar un període de fonamentació i alineament metodològic a l'Agència. Es va consolidar la unitat de ciència i analítica de dades, creada per gestionar tot el cicle de vida de les dades de ciberseguretat i explotar-les. Aquesta unitat té la funció de responsabilitzar-se del tractament integral de les dades, és a dir, fent-ne recopilació, emmagatzematge, processament, integració, transformació i anàlisi. Així mateix, en aquest context, es van començar a treballar en casos d'ús d'intel·ligència artificial i machine learning amb l'objectiu de millorar les capacitats analítiques i operatives de l'Agència. Pel que fa al 2024, es van promoure una sèrie de projectes d'innovació, fins a 13 iniciatives, de les quals algunes es van treballar amb empreses privades, d'altres amb entitats públiques, i altres a través de consorcis, mentre que la resta eren de caràcter intern. Destacar el projecte europeu SAFE, centrat en desenvolupar solucions europees basades en intel·ligència artificial per a SOCs, per tal de reforçar la detecció i resposta davant de les ciberamenaces. Així, l'Agència va poder consolidar la seva participació a través d'un consorci públic-privat europeu amb la finalitat de reforçar el seu laboratori d'innovació i de dades. A nivell de formació, donat que el nostre sector està en constant evolució, el talent i la formació de nous professionals i dels propis empleats de la Generalitat és i continua sent un objectiu cabdal. L'any 2023 vam formar un total de 5.467 empleats públics i 6.459 professionals sanitaris en cursos bàsics de ciberseguretat, mentre que el volum del 2024 a nivell de participació va superar àmpliament el de l'exercici anterior. Durant aquest període, l'Agència va dinamitzar diverses formacions, algunes orientades a la formació bàsica, però també en formació especialitzada i orientades als alts càrrecs i personal directiu de la Generalitat. En el marc del sistema sanitari integral, vam formar a 15.828 professionals. En l'àmbit educatiu, els docents van tenir accés a l'itinerari de ciberseguretat i al curs complet de ciberseguretat a les aules. Amb el Centre de Recursos Pedagògics de Badalona, es va desenvolupar un contingut específic per als caps d'estudi de centres d'educació primària. L'interès de la ciutadania per entendre i aprendre sobre aspectes relacionats amb la ciberseguretat també es va evidenciar amb el nombre de visites a la web d'Internet Segura.

I és que el 2024 la mateixa web de l'Agència va incrementar un 20% les visites i les seves visualitzacions registrades, reflectint un interès creixent i consolidant la projecció pública de les accions de formació i conscienciació desenvolupades al llarg de l'any. Per últim, l'any 2024 també va destacar l'enfocament de l'Agència en el Pla Estratègic per a Dones en Ciberseguretat, elaborant l'informe de Dones i Ciberseguretat a Catalunya. En aquest document es va destacar que el percentatge de dones en posicions directives era del 24,7%, proporcional a la presència de dones en el sector, que era del 24,6%. Com entendran, encara estem lluny de la paritat. En aquesta línia, es van impulsar accions de generació de coneixement i disseminació d'informació sectorial amb perspectiva de gènere, com l'establiment d'aliances estratègiques amb actors claus de l'ecosistema, trobades per explorar col·laboracions i apropar el talent femení als espais de debat. La participació per desena vegada als Premis DonaTIC i el foment de les vocacions entre les més joves, participant al Saló d'Ensenyament i fomentant visites a la pròpia Agència amb alumnes, institucions, màsters, etc. En l'àmbit econòmic, l'Agència va implementar un pressupost de 30,2 milions d'euros l'any 2023 i es va consolidar l'aposta estratègica per la captació de fons europeus en l'àmbit de la ciberseguretat. Si bé aquests fons no van repercutir directament a l'exercici 2023, se'ns va adjudicar durant aquell any el projecte de RETEC per un import de 20 milions d'euros, que enguany estem executant, dels quals 5 milions corresponen al cofinançament. També es va aprovar el projecte de Corporate Digital Responsibility per un import de 200.000 euros, dels quals 40.000 corresponen al cofinançament. L'exercici 2023 va reflectir la consolidació i l'increment d'actuacions per desenvolupar activitat específica en diversos àmbits, destacant l'àmbit de salut, amb 5,7 milions d'euros, el d'universitats, amb 600.000 euros, i el de la Secretaria de Telecomunicacions i Transformació Digital, amb 4,1 milions d'euros. Durant el 2024, es va aprovar per acord de govern el contracte al programa de ciberseguretat per un període de quatre anys, del 2024 al 2027, amb un pressupost de 67 milions d'euros a raó de 16,8 milions d'euros anuals, i es va consolidar l'instrument previst en el contracte que va permetre gestionar sol·licituds d'actuació per 5 milions d'euros. Finalment, cal destacar l'assignació de projectes específics en l'àmbit de salut, amb un import de 6,2 milions d'euros. El balanç pressupostari del 2024 va permetre consolidar l'activitat de l'Agència i, tot i que no va haver-hi un increment significatiu respecte a l'any anterior, va haver-hi un increment en l'augment de la despesa corrent de fins a 35,7 milions d'euros, que va fer possible enfortir la capacitat operativa experta en ciberseguretat, afrontant els reptes creixents i establint un model de ciberseguretat que va fer possible l'escalabilitat de les accions. La solidesa i l'evolució dels serveis van permetre un nivell de resposta especialitzada i adaptada a sectors com el de la salut i les universitats. Per anar finalitzant, no podem obviar que en els exercicis 2023-2024, i gràcies a l'esforç de tot l'equip de l'Agència, es van aconseguir fites rellevants. Com ja he destacat, l'Agència va ser reconeguda com a òrgan d'auditoria tècnica, fet que va suposar poder fer les auditories de certificació de conformitat amb l'Esquema Nacional de Ciberseguretat i consolidar les primeres auditories de certificació a l'administració local. Del 2024, també remarcar que va ser l'any que va dotar l'Agència de capacitat i de consolidació de processos per poder desenvolupar la seva activitat com a òrgan auditor i que es va treballar en l'actualització de la metodologia del marc de ciberseguretat per a la protecció de dades, conegut com a MCPD. Val a dir que també es va avançar amb determinació implementant el model de protecció sanitària als 68 hospitals del SISCAT i que vam ser premiats amb el Digital Skills Awards 2024 pel nostre programa d'Internet Segura. Per acabar, vull agrair el temps que la cambra m'ha cedit avui, així com l'atenció que tots vostès han prestat en aquesta presentació de les memòries 2023-2024. És pertinent assenyalar que ja estem treballant amb la memòria 2025, que és la primera memòria que s'elabora íntegrament sota la meva direcció, i que si tot evoluciona segons el previst, remetrem al Parlament de Catalunya de cara al mes de març. Resto a la seva plena disposició per fer la compareixença de la nova memòria de 2025 dins el termini que sigui més òptim per vostès. Moltíssimes gràcies. Moltíssimes gràcies, directora. Ara és el torn dels grups i per començar aquest torn té la paraula el grup de Junts, la diputada Anna Navarro.