Por Redacción YSKL
El Ministerio de Justicia y Seguridad Pública ha presentado una propuesta de ley ante la Asamblea Legislativa para establecer un marco regulador en ciberseguridad y seguridad de la información en instituciones públicas. Esta iniciativa busca estructurar, regular y supervisar las medidas necesarias para proteger la información que maneja el Gobierno.
La propuesta se aplicará a todos los órganos del Gobierno, sus dependencias, instituciones autónomas, autoridades municipales y cualquier entidad que administre recursos públicos o bienes del Estado. Esto incluye fondos de convenios internacionales, salvo que dichos convenios impongan requisitos más estrictos en ciberseguridad.
Todos los servidores públicos y trabajadores de estas entidades deberán cumplir con la ley, tanto dentro como fuera del país.
Entre las obligaciones establecidas se incluye la implementación de un sistema de gestión de ciberseguridad, la elaboración de estrategias conforme a estándares nacionales e internacionales, y el mantenimiento de un registro actualizado de las acciones relacionadas. También se deben realizar revisiones periódicas de medidas de seguridad, así como la creación de planes de continuidad operacional.
Los entes obligados deberán informar a las autoridades competentes sobre incidentes de ciberseguridad y facilitar el control e inspección de la normativa por parte de las autoridades.
La propuesta contempla la creación de la Agencia de Ciberseguridad del Estado (ACE), que funcionará como una dependencia técnica con personalidad jurídica y autonomía administrativa.
La ACE será responsable de elaborar políticas, emitir normativas y gestionar incidentes de ciberseguridad, además de representar al país ante organismos internacionales.
La Agencia tendrá varias atribuciones, incluyendo la elaboración de políticas de ciberseguridad, la administración de un Registro Nacional de Amenazas e Incidentes, y la capacitación en materia de seguridad de la información. También podrá imponer sanciones conforme a la ley y establecer mecanismos de colaboración con otras entidades.
Los funcionarios de la ACE estarán obligados a mantener la confidencialidad de la información a la que accedan durante su labor, incluso tras dejar sus cargos, con un periodo mínimo de cinco años. El incumplimiento de esta obligación podrá conllevar despido y responsabilidades legales.
Las infracciones a esta normativa se dividen en tres categorías: leves, graves y muy graves, cada una con sanciones proporcionales a la gravedad de las faltas cometidas.
En cada caso, tanto los titulares como la alta dirección y empleados podrían ser responsables si las infracciones ocurren por órdenes, instrucciones, omisiones o negligencia de su parte.
Las infracciones consideradas leves incluyen retrasos o inexactitudes en la entrega de información requerida por la Agencia de Ciberseguridad del Estado (ACE), siempre que esta información no esté directamente relacionada con la gestión de un incidente de ciberseguridad. También se consideran leves las faltas en el cumplimiento de políticas de ciberseguridad cuando estas no afecten directamente el sistema de gestión ni la respuesta a incidentes.
Dentro de las infracciones graves se encuentran la falta de un registro actualizado de las acciones en el sistema de gestión de ciberseguridad, la omisión en la creación y envío de planes de continuidad operacional para la aprobación de la ACE y el incumplimiento en la implementación de estos planes una vez aprobados.
Asimismo, se consideran graves el no realizar revisiones y simulacros regulares de los sistemas y medidas de seguridad implementadas, obstaculizar el trabajo de los responsables de la ciberseguridad, y presentar información incompleta o errónea a la ACE.
Las infracciones clasificadas como muy graves abarcan incumplimientos que tienen un impacto significativo en la seguridad.
En ese sentido, se menciona entregar informes relacionados con incidentes fuera de plazo, presentar estos informes sin las especificaciones requeridas y omitir la implementación de un sistema de ciberseguridad de forma permanente sin justificación.
También se incluyen en esta categoría las fallas en prevenir o mitigar incidentes de ciberseguridad y la falta de notificación a las personas potencialmente afectadas cuando sus datos puedan estar comprometidos.
Entre las infracciones muy graves también se encuentra no contar con un área designada para gestionar acciones de ciberseguridad y obstaculizar inspecciones o controles que realice la ACE.
Las infracciones leves serán sancionadas con amonestaciones escritas o multas de hasta diez salarios mínimos del sector comercio; mientras que las infracciones graves pueden acarrear destituciones y multas de hasta 50 salarios mínimos.
En el caso de las infracciones muy graves, las sanciones aumentan hasta 100 salarios mínimos y pueden inhabilitar al infractor para ejercer funciones en el sector público durante diez años.
La ACE tendrá la potestad de aplicar sanciones adicionales y medidas coercitivas de hasta diez salarios mínimos por cada día de incumplimiento hasta que se cumpla con lo ordenado.
Asimismo, las infracciones tendrán un periodo de prescripción de cinco años, durante el cual podrán ser perseguidas.