Uruguay: las innovadoras medidas para la mejora de la Ciberseguridad incluidas en la Ley de Rendición de Cuentas

Esta semana finalizó la aprobación en el parlamento uruguayo de la Ley de Rendición de Cuentas.

En el contexto de esta Ley, se incluyen varios artículos que son de suma relevancia para la mejora de la ciberseguridad a nivel nacional.

Uno de los aspectos a estacar es la disposición de que AGESIC desarrolle e implante una Estrategia de Ciberseguridad a nivel nacional, que se traduce en primera instancia estableciendo múltiples obligaciones y ampliando el uso del Marco de Ciberseguridad Nacional para aquellos sectores y servicios considerados críticos para el país.

Es importante destacar que aún no se cuenta con una lista de cuáles serían estos sectores y servicios, pero se espera un próximo Decreto al respeto. Esto aplicará a instituciones públicas y privadas.

Otro elemento de suma relevancia es que, a nivel de las Compras Estatales, la ciberseguridad de los proveedores pase a ser un elemento a considerar.

Si bien la ley final aún no ha sido publicada, anexamos los artículos que consideramos más relevantes en base al texto finalmente aprobado por la Cámara de Diputados luego de los cambios realizados por la Cámara de Senadores.

A nivel de los artículos vinculados a Ciberseguridad, no se identifican cambios relevantes respecto el proyecto de ley presentado.

Las nuevas disposiciones entrarán en vigor a partir del 1 de enero de 2024.

Para consultar el texto completo, haga clic aquí.

Un resumen de los puntos que entendemos más relevantes:

I. Entidades públicas y privadas vinculadas a servicios o sectores críticos del país deberán, según el artículo 78:

A) Adoptar medidas de seguridad eficaces para proteger sus activos de información críticos, de conformidad con los lineamientos indicados por AGESIC.

B) Designar un responsable de seguridad de la información y comunicarlo a AGESIC.

C) Planificar la adopción de las medidas necesarias para mitigar y mejorar los controles existentes en la materia, y adoptar las medidas de prevención que determine la reglamentación.

D) Informar de forma completa e inmediata la existencia de un potencial incidente de ciberseguridad, de conformidad con los criterios establecidos por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática, y poner a disposición toda la información que le sea requerida por este.

E) Incorporar, en función de su nivel de madurez, el marco de ciberseguridad desarrollado por AGESIC.

F) Dar cumplimiento a otras medidas que se determinen por el Poder Ejecutivo a efectos de proteger los activos de información, siguiendo los estándares nacionales e internacionales en la materia.

A efectos de facilitar el cumplimiento de lo dispuesto en el presente artículo, AGESIC deberá desarrollar, promover la implantación y monitorear una estrategia nacional de ciberseguridad.

II. AGESIC tendrá que adoptar medidas con respecto a las entidades que incumplan con las obligaciones establecidas en el artículo que antecede.

Como indica el artículo 79, dichas medidas son:

A) Requerir el ajuste de los procedimientos a la normativa vigente en materia de ciberseguridad en los plazos que se definan por AGESIC.

B) Requerir el cumplimiento de medidas específicas para la prevención de riesgos vinculados al sector de la entidad.

C) Requerir informaciones complementarias vinculadas a la ocurrencia de incidentes de seguridad, las medidas adoptadas y a la aplicación de la normativa en materia de ciberseguridad en general.

D) Apercibir, considerando la gravedad o reiteración del incumplimiento por parte de la entidad.

AGESIC comunicará en forma semestral a la Asamblea General el listado de las entidades que hayan incumplido con las obligaciones referidas en el artículo que antecede, y las medidas adoptadas en función de lo dispuesto en el presente artículo.

III. Creación del Registro Nacional de Incidentes de Ciberseguridad, el que será administrado por AGESIC.

Por lo dispuesto en el Artículo 80, en el Registro Nacional se ingresarán los datos técnicos y antecedentes vinculados a los incidentes de ciberseguridad denunciados, además de los informes elaborados por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy).

Aquellas entidades tanto públicas como privadas vinculadas a servicios o sectores críticos del país, deberán comunicar la ocurrencia de incidentes de ciberseguridad a AGESIC en un plazo de veinticuatro horas de conocido y complementar la información necesaria para el registro efectivo a la brevedad.

IV. AGESIC colaborará con la Agencia Reguladora de Compras Estatales (ARCE) en la inclusión de requisitos de seguridad por diseño en los pliegos de compras públicas.

El Artículo 81 expresa que tanto AGESIC como ARCE determinarán un listado de servicios o productos que requerirán, previo a la publicación de la compra respectiva, de un informe en materia de seguridad por parte de la Dirección de Seguridad de la Información de la AGESIC.

V. Se creará el Comité de Gestión de la Estrategia Nacional de Ciberseguridad.

Por lo dispuesto en el Artículo 83, el Comité estará integrado por un representante de cada uno de los siguientes órganos: Ministerio de Defensa Nacional, Ministerio del Interior, Ministerio de Industria, Energía y Minería, Banco de la República Oriental del Uruguay, Banco Central del Uruguay, Administración Nacional de Telecomunicaciones, Administración Nacional de Combustibles, Alcohol y Portland, Administración Nacional de Usinas y Transmisiones Eléctricas, Secretaría de Inteligencia Estratégica de Estado, Agencia de Evaluación y Monitoreo de Políticas Públicas y Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), que lo presidirá.

Son cometidos del Comité:

A) Apoyar a AGESIC en la implantación y monitoreo de la Estrategia Nacional de Ciberseguridad.

B) Colaborar con AGESIC en la puesta en práctica de las recomendaciones elaboradas por el Consejo Asesor Honorario de Seguridad de la Información.

C) Proveer, en el marco de sus posibilidades, personal técnico para facilitar la actuación de AGESIC en el marco de las actividades referidas en los literales anteriores.

AGESIC podrá promover la creación de comités ad hoc específicos integrados por entidades públicas y privadas para asegurar la participación de múltiples actores en el diseño, implantación y monitoreo de la Estrategia Nacional de Ciberseguridad, así como en la elaboración y puesta en práctica de recomendaciones en la materia.

La reglamentación establecerá la forma de funcionamiento del Comité de Gestión y de los comités asesores ad hoc que se creen.

VI. El Consejo Asesor Honorario de Seguridad de la Información tendrá la competencia de recomendar a AGESIC la aplicación de normas técnicas específicas en materia de ciberseguridad.

El Artículo 84 detalla que las normas técnicas podrán ser aplicadas en las entidades públicas y en las entidades privadas vinculadas a servicios o sectores críticos del país.