Determínense los cometidos de la Dirección de Seguridad de la Información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento.
Visto: Lo dispuesto en los artículos 55 de la Ley N° 18.046 (24/10/2006), modificado por el artículo 118 de la Ley N° 18.172 (31/08/2007); artículo 119 de la Ley N° 18.172, modificado por la Ley N° 20.075 (20/10/2022); artículo 73 de la Ley N° 18.362 (06/10/2008); artículo 149 de la Ley N° 18.719 (27/12/2010), modificado por la Ley N° 19.924 (18/12/2020); y artículos 78 a 84 de la Ley N° 20.212 (06/11/2023).
Resultando: I) Que dichas normas regulan diversos aspectos relacionados al funcionamiento, objetivos y organización de la Dirección de Seguridad de la Información de AGESIC.
II) Que además establecen la creación y competencias del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), responsable de la protección de los activos críticos de información del Estado.
Decreta:
Artículo 1 (Ámbito objetivo)
Define los cometidos generales de la Dirección de Seguridad de la Información (AGESIC), incluyendo la elaboración de políticas nacionales en seguridad de la información, fiscalización y coordinación ante incidentes.
Artículo 2 (Ámbito subjetivo)
Establece que este decreto se aplica a entidades públicas y privadas vinculadas a servicios o sectores críticos del país.
Artículo 3 (Definiciones)
Proporciona definiciones técnicas claves para la aplicación del decreto, tales como activos críticos de información, incidentes de ciberseguridad, sectores críticos, servicios críticos, CSIRT, SOC, entre otros.
Artículo 4 (Cometidos de la Dirección de Seguridad de la Información)
Detalla las responsabilidades específicas de la Dirección, incluyendo la definición de estrategias nacionales, gestión de incidentes (a través del CERTuy), auditoría, regulación y asesoramiento en materia de ciberseguridad.
Artículo 5 (Potestades de la Dirección)
Establece las facultades que tiene la Dirección para cumplir sus cometidos, como proponer regulaciones, solicitar informes, asesorar entidades, apercibir incumplimientos, y definir cronogramas de cumplimiento.
Artículo 6 (Publicidad de actuaciones)
Dispone que la Dirección no podrá hacer públicas sus actuaciones hasta que estas hayan finalizado, manteniendo reserva durante las investigaciones, excepto para informes estadísticos generales sobre ciberseguridad.
Artículo 7 (Cometidos del CERTuy)
Determina las funciones del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), incluyendo prevención, detección, gestión de incidentes, difusión de buenas prácticas, y manejo del Registro Nacional de Incidentes de Ciberseguridad (RENIC).
Artículo 8 (Potestades del CERTuy)
Faculta al CERTuy a interactuar, asistir, monitorear, intervenir en incidentes, y requerir información a entidades públicas y privadas para garantizar la seguridad informática.
Artículo 9 (Obligaciones del CERTuy)
Establece las obligaciones específicas del CERTuy, como coordinar respuestas a incidentes, guardar reserva sobre información confidencial, publicar estadísticas y cooperar en el fortalecimiento de capacidades en seguridad informática.
Artículo 10 (Obligaciones generales de las entidades)
Define las obligaciones de entidades públicas y privadas respecto a la protección de sus activos críticos, designación de responsables de seguridad, realización de auditorías y reporte obligatorio de incidentes.
Artículo 11 (Prevención de incidentes)
Obliga a las entidades a conservar trazas de auditoría, proporcionar información técnica y notificar cambios sustanciales en sistemas.
Artículo 12 (Gestión de incidentes)
Exige informar inmediatamente sobre incidentes, entregar información solicitada por el CERTuy, y tomar medidas correctivas según recomendaciones técnicas.
Artículo 13 (Obligaciones específicas de CSIRT y SOC)
Determina las obligaciones de los Equipos de Respuesta (CSIRT) y Centros de Operaciones (SOC) sectoriales, destacando la obligación de reportar incidentes y ajustarse a las directivas del CERTuy.
Artículo 14 (Adopción del Marco de Ciberseguridad)
Obliga a las entidades a adoptar y cumplir con el Marco Nacional de Ciberseguridad elaborado por AGESIC.
Artículo 15 (Definición de perfiles y plazos)
Determina que AGESIC asignará perfiles específicos a cada entidad y fijará plazos para la implementación del Marco de Ciberseguridad.
Artículo 16 (Auditorías obligatorias)
Impone la realización de auditorías periódicas según el Marco de Ciberseguridad y la normativa definida por AGESIC.
Artículo 17 (Resultados de auditorías)
Requiere que las entidades entreguen a AGESIC un resumen de los resultados de las auditorías, así como un plan de acción ante cualquier deficiencia detectada.
Artículo 18 (Servicios tercerizados)
Establece la obligación de garantizar que los servicios tercerizados cumplan también con el Marco Nacional de Ciberseguridad.
Artículo 19 (Transparencia activa)
AGESIC deberá publicar periódicamente indicadores sobre los niveles de cumplimiento y madurez en seguridad informática de las entidades obligadas.
Artículo 20 (Compras públicas)
Dispone que AGESIC, junto con la Agencia Reguladora de Compras Estatales (ARCE), establecerá criterios obligatorios de seguridad informática en las adquisiciones públicas.
Artículo 21 (Incumplimientos)
Faculta a AGESIC a apercibir directamente a las entidades que incumplan las normas establecidas y obliga a comunicar semestralmente estos incumplimientos a la Asamblea General.
Artículo 22 (Derogaciones)
Deroga específicamente los Decretos anteriores (451/009 y 452/009) y toda otra disposición contraria al presente Decreto. Fuente: Página web IMPO.