Por Alessia Genoves
La Ley de Ciberseguridad y Seguridad de la Información ha sido aprobada por la Asamblea Legislativa de El Salvador, durante la Sesión Plenaria Ordinaria No. 29. La normativa la establece el Dictamen Favorable No. 10, que fue aprobado con 57 votos a favor, como una normativa clave para proteger los sistemas informáticos y la información del Estado.
La nueva ley tiene como “objetivo establecer los principios, el marco legal, la institucionalidad, los lineamientos, así como las políticas de protección que permitan estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas” (Art. 1). Su ámbito de aplicación abarca “los órganos del Gobierno, sus dependencias, las instituciones oficiales autónomas, las autoridades municipales o cualquier otra entidad u organismo, independientemente de su forma, naturaleza o situación jurídica, mediante las cuales se administren recursos públicos, bienes del Estado, ejecuten actos de la administración pública en general o incidan en las infraestructuras críticas de la nación” (Art. 2).
#Plenaria29 | Con 57 votos a favor, emitimos la Ley de Ciberseguridad y Seguridad de la Información, que tiene como fin establecer los principios, el marco legal, la institucionalidad y las políticas de protección que permitan estructurar, vigilar, regular y fiscalizar las… pic.twitter.com/IaQlpnCr1u
— Asamblea Legislativa 🇸🇻 (@AsambleaSV) November 12, 2024
Principios rectores y riesgo informático
la ley define que existe “riesgo informático cuando los sujetos regulados incumplan las normativas, protocolos, lineamientos, estándares y criterios técnicos establecidos por la Agencia de Ciberseguridad del Estado” (Art. 5). También establece una serie de principios rectores:
- La “seguridad por diseño”: los sujetos obligados “deberán aplicar un enfoque de seguridad por diseño” en el desarrollo, implementación y gestión de sistemas informáticos (Art. 3a).
- “Resiliencia, continuidad y disponibilidad”: las medidas deben tener como propósito “la reducción de los efectos adversos de los incidentes de ciberseguridad o seguridad de la información, la recuperación en el menor plazo posible y la continuidad y el fomento de la resistencia de las actividades críticas” (Art. 3b).
- “Gestión de riesgos”: evaluar y gestionar continuamente los riesgos de ciberseguridad o seguridad de la información (Art. 3c).
- “Cooperación”: “consiste en el deber de apoyar recíprocamente con la autoridad competente a fin de prevenir, detectar y responder a las amenazas o incidentes de ciberseguridad o seguridad de la información” (Art. 3d).
- “Confidencialidad“: “implementar las medidas, acciones o herramientas necesarias para garantizar que los sistemas informáticos, redes o información solo sean accesibles a los empleados, funcionarios, autoridades o usuarios autorizados, protegiendo así la privacidad de los ciudadanos” (Art. 3h).
Obligaciones de los sujetos obligados
Los sujetos obligados por la ley tienen diversas obligaciones:
- “Implementar un sistema de gestión de ciberseguridad y seguridad de la información permanente para identificar y mitigar riesgos que puedan comprometer la seguridad de los sistemas e infraestructuras informáticas” (Art. 6a).
- “Desarrollar una estrategia de seguridad informática y de la información, basada en estándares o marcos de referencia nacionales e internacionales” (Art. 6b).
- “Mantener un registro actualizado de todas las acciones realizadas en el sistema de gestión de ciberseguridad y seguridad de la información” (Art. 6c).
- “Elaborar e implementar planes de continuidad operacional y ciberseguridad, que deberán ser aprobados por la autoridad competente” (Art. 6d).
- “Realizar de forma continua operaciones de revisión, ejercicios, simulacros y análisis de las medidas, sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados” (Art. 6e).
- “Facilitar las gestiones, auditorías e inspecciones realizadas por la autoridad competente en ciberseguridad y seguridad de la información” (Art. 6k).
Agencia de Ciberseguridad del Estado
La ley crea la Agencia de Ciberseguridad del Estado (ACE) como “una dependencia del Estado, de Derecho Público, con carácter técnico, con personalidad jurídica y patrimonio propio, de duración indefinida, con autonomía administrativa y financiera” (Art. 7). Sus atribuciones son, entre otras:
- “Elaborar la Política de Ciberseguridad y Seguridad de la Información de la Nación, que contendrá los lineamientos, planes y programas de acción para su cumplimiento, y someterla a la aprobación del presidente de la República” (Art. 8a).
- “Emitir normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicos, basados en las mejores prácticas y marcos de referencia internacionales en ciberseguridad y seguridad de la información” (Art. 8b).
- “Crear e implementar programas de acción para responder a las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados” (Art. 8c).
- “Calificar, mediante resolución fundada, a los operadores de infraestructuras críticas, y someter esta calificación a la ratificación del presidente de la República” (Art. 8f).
- “Requerir a las entidades obligadas por la presente ley que hayan sufrido un incidente de ciberseguridad o seguridad de la información que proporcionen a los potenciales afectados o autoridades de investigación información veraz, suficiente y oportuna sobre dicha circunstancia” (Art. 8h).
La ACE estará liderada por un Director General, quien será la máxima autoridad y representante legal de la institución (Art. 9). Para ocupar estos cargos se requiere cumplir con ciertos requisitos, como tener un grado universitario, experiencia en ciberseguridad y ser de reconocida honorabilidad (Art. 10). Además, existen impedimentos e incompatibilidades para quienes pretendan ocupar estos cargos (Art. 11).
Riesgo informático (Art. 5): cuando los sujetos regulados incumplen normas y protocolos de la Agencia de Ciberseguridad del Estado.
Seguridad por diseño (Art. 3a): enfoque de seguridad en desarrollo y gestión de sistemas.
Resiliencia, continuidad y disponibilidad (Art. 3b): reducir efectos de incidentes y asegurar continuidad.
Gestión de riesgos (Art. 3c): evaluación continua de riesgos en ciberseguridad.
Cooperación (Art. 3d): apoyo con autoridades para prevención y respuesta a amenazas.
Confidencialidad (Art. 3h): garantizar que solo accedan a la información usuarios autorizados.
Sistema de gestión de ciberseguridad (Art. 6a): identificar y mitigar riesgos para la seguridad.
Estrategia de seguridad informática (Art. 6b): desarrollo basado en estándares internacionales.
Registro actualizado (Art. 6c): mantener un registro de acciones de gestión.
Planes de continuidad (Art. 6d): implementación de planes aprobados por la autoridad.
Revisión y análisis continuos (Art. 6e): realizar revisiones y simulacros en ciberseguridad.
Facilitar gestiones y auditorías (Art. 6k): colaboración con la autoridad en auditorías.
Política de Ciberseguridad (Art. 8a): elaboración y aprobación de la política nacional.
Normativas y lineamientos (Art. 8b): emisión de normas basadas en buenas prácticas.
Programas de acción (Art. 8c): respuesta a amenazas e incidentes en ciberseguridad.
Calificación de operadores críticos (Art. 8f): designación de operadores de infraestructuras críticas.
Información sobre incidentes (Art. 8h): requerimiento de informar sobre incidentes a afectados.
Director General (Art. 9): liderazgo de la Agencia con requisitos de idoneidad.
Régimen sancionador
La ley también establece un régimen sancionador para los sujetos obligados que incumplan con sus disposiciones. Las infracciones se clasifican en leves, graves y muy graves (Arts. 19-21). Las infracciones leves serán sancionadas con “amonestación escrita o una multa de entre uno a diez salarios mínimos mensuales del sector comercio, según corresponda al sujeto obligado” (Art. 22). Mientras que los funcionarios o empleados que reciban tres o más amonestaciones en un año serán “desvinculados de su empleo o cargo sin responsabilidad para la Administración Pública” (Art. 22).
Las infracciones graves se sancionarán con “despido o destitución del cargo sin responsabilidad para la Administración Pública y una multa de entre once a cincuenta salarios mínimos mensuales del sector comercio cuando el infractor se encuentre vinculado con el sector público” (Art. 23). Para el sector privado, la sanción será una multa de entre 11 a 50 salarios mínimos (Art. 23).
Por último, las infracciones muy graves se sancionarán con “despido o destitución del cargo sin responsabilidad para la Administración Pública y una multa de entre cincuenta y un a cien salarios mínimos mensuales del sector comercio cuando el infractor se encuentre vinculado con el sector público” (Art. 24). Para el sector privado, la sanción será una multa de entre 51 a 100 salarios mínimos (Art. 24).
Adicionalmente, se establece que el “funcionario o empleado que sea despedido o destituido de su cargo por la comisión de alguna de las infracciones contempladas por la presente ley no podrá laborar para la administración pública por un periodo de diez años posteriores a la imposición de la sanción respectiva” (Art. 25).
La Agencia de Ciberseguridad del Estado será la encargada de iniciar los procedimientos administrativos sancionadores, siguiendo el procedimiento simplificado de la Ley de Procedimientos Administrativos (Art. 28). Y, por otra parte, “las infracciones y sanciones contempladas en la presente ley prescribirán a los cinco años“.
About The Author
Descubre más desde Diario Fuentes
Suscríbete y recibe las últimas entradas en tu correo electrónico.
COMENTARIOS (0)