Reglamento de la Ley de Ciberdefensa

 En el Perú, por Decreto Supremo 017-2024-PCM, publicado el 13 de Febrero de 2024, se ha aprobado el Reglamento de la Ley 30999, Ley de Ciberdefensa. Por su importancia y actualidad publicamos la presente reseña en el presente Blog Juridico Digital.

Objeto, Finalidad, Marco Jurídico Aplicable

 

Tiene por objeto establecer las disposiciones normativas para regular las capacidades de ciberdefensa, operaciones militares, y uso de la fuerza en y mediante el ciberespacio, entre otras disposiciones para preservar la seguridad nacional, a cargo de los órganos ejecutores del Ministerio de Defensa, dentro de su ámbito de competencia, en el marco de la Ley Nº 30999, Ley de Ciberdefensa (en adelante la Ley).

 Tiene por finalidad garantizar que las capacidades nacionales mantengan la continuidad de sus operaciones a través de la protección en y mediante el ciberespacio de los activos críticos nacionales, recursos claves, la soberanía y los intereses nacionales frente amenazas o ataques, cuando estos afecten la seguridad nacional. 

Las operaciones militares en y mediante el ciberespacio, cuando afecten la seguridad nacional, se sujetan a lo establecido en la Constitución Política del Perú, la legislación nacional y las normas del derecho internacional que resulten aplicables.

 Rol del Ministerio de Defensa en la Ciberdefensa

 Para la gestión del marco de Seguridad Digital del Estado Peruano, en el ámbito de la defensa, el Ministerio de Defensa, dentro del alcance de sus funciones y competencias dirige, norma, supervisa y evalúa las disposiciones en materia de ciberdefensa. El Ministerio de Defensa, es la entidad encargada de gestionar la ciberdefensa. Asimismo, dicta políticas y lineamientos para el planeamiento y conducción de operaciones militares en y mediante el ciberespacio conforme a la Política de Seguridad y Defensa Nacional aprobada por el Consejo de Seguridad y Defensa Nacional y de manera articulada con los objetivos de seguridad nacional y con la Política Nacional de Transformación Digital, aprobada mediante el Decreto Supremo Nº 085- 2023-PCM u otra norma que lo sustituya.

Responsabilidades de los componentes de ciberdefensa de las Instituciones Armadas 

Son responsabilidades de los componentes de ciberdefensa de las Instituciones Armadas las siguientes: a. Planear, organizar y conducir a su nivel las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa propias. b. Proteger sus sistemas de información y el segmento del ciberespacio propio o asignado. c. Alistar integralmente a las unidades a su cargo, para el eficiente desempeño de sus funciones. d. Desarrollar y mantener un óptimo nivel de sus capacidades de ciberdefensa. e. Otras que se asignen en la normativa legal sobre la materia.

De las medidas pasivas y activas de ciberdefensa 

Medidas pasivas en ciberdefensa: conjunto de actividades de prevención, protección y resiliencia del ciberespacio propio y/o asignado. Son de aplicación constante y generalizada, abarcando al personal, medios y sistemas propios o asignados. Involucra, pero no se limita al monitoreo de redes propias o asignadas, mantenimiento de sistemas informáticos, actualizaciones de seguridad y operativas, establecimiento de políticas, disposiciones, procedimientos y reglas de seguridad institucional, robustecimiento en la infraestructura cibernética propia y la concientización en materia de ciberdefensa, entre otras. 

Medidas activas en ciberdefensa: conjunto de actividades de naturaleza proactiva, reactiva o de recuperación, en o mediante el ciberespacio propio, asignado y/o de interés. Estas medidas se aplican ante la necesidad militar para la defensa y la seguridad nacional. Involucra, pero no se limita al análisis de vulnerabilidades, una intensa labor de detección, evaluación, identificación y reconocimiento de actos hostiles o amenazas en el ciberespacio; o la aplicación de acciones cibernéticas sobre medios o sistemas que constituyen una amenaza, para degradar o neutralizar sus capacidades y formas de acción, a fin de impedir que estas puedan afectar la libertad de acción en el ciberespacio propio, asignado y/o de interés, entre otras.

Protección y control de los activos críticos nacionales y recursos claves en y mediante el ciberespacio 

Se considera que la seguridad digital de los  Activos Críticos Nacionales (ACN)/Recursos Claves (RC) es afectada cuando se genera un ataque directo o inminente a sus recursos, infraestructura y sistema en sus componentes digitales, por la materialización de riesgos derivados de amenazas y vulnerabilidades en y mediante el ciberespacio, y que generen como consecuencia daños a la persona, prosperidad económica, social y la seguridad nacional. 

En el ámbito de la seguridad nacional, cuando la capacidad de protección en el ciberespacio de los operadores de los ACN/RC, del sector responsable de cada uno de ellos y/o de la Dirección Nacional de Inteligencia (DINI) sean sobrepasados, la protección y control de los mismos está a cargo del Comando Operacionl de Ciberdefensa (COCID), siguiendo el protocolo señalado.

Comentarios

La Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros sustenta la necesidad de aprobar el Reglamento de la Ley Nº 30999, Ley de Ciberdefensa, el cual tiene por objeto establecer las disposiciones normativas para regular las capacidades de ciberdefensa, operaciones militares, y uso de la fuerza en y mediante el ciberespacio, entre otras disposiciones para preservar la seguridad nacional, a cargo de los órganos ejecutores del Ministerio de Defensa, dentro de su ámbito de competencia;