Las claves de la ley anti-hackers para blindar Mendoza de ciberataques: obligaciones y sanciones
El Gobierno de Mendoza impulsa una ley para protegerse de ataques informáticos contra el Estado y proveedores de servicios críticos en la provincia.
Los principales puntos de la ley anti-hackers de Mendoza.
Imagen IALuego del receso invernal en la Legislatura provincial, el oficialismo buscará impulsar el proyecto de ley de ciberseguridad que presentó días atrás el Gobierno de Mendoza. Esta propuesta busca establecer una política de estado local para combatir el delito en el ciberespacio, a través de un plan provincial y una serie de obligaciones para organismos públicos y proveedores de servicios críticos.
El proyecto de ley de ciberseguridad fue presentado por la ministra de Seguridad y Justicia, Mercedes Rus, quien detalló que la norma apunta a fijar reglas claras, responsabilidades definidas, herramientas modernas, cooperación regional e internacional, protección de datos, participación de especialistas y capacidad de respuesta frente a una amenaza creciente.
Las autoridades provinciales resaltan que hoy por hoy en el mundo digital se organizan delitos, se obtienen datos, se cometen estafas, se ataca infraestructura, se vulneran sistemas y se compromete información sensible de las personas y del Estado.
Diariamente organismos públicos reciben ataques de hackers que ponen en riesgo el funcionamiento del Estado, datos sensibles y la prestación de servicios básicos.
Si bien destacan que en Mendoza ya se han venido implementando medidas frente al ciberdelito con fiscalías especializadas, con herramientas procesales como el agente encubierto digital y allanamiento digital y la inauguración del Laboratorio Forense Digital, esta iniciativa va más allá y fija una serie de obligaciones para blindar al Estado frente a posibles ciberataques.
Un punto central de la iniciativa es la incorporación de la gobernanza de datos durante todo su ciclo de vida: creación, carga, modificación, consulta, intercambio, conservación, archivo y eliminación segura.
Las claves de la ley de ciberseguridad
El proyecto de ley impulsado por el Gobierno provincial incluye la creación de un organismo especializado, el Comité de Conducción Estratégica de Ciberseguridad (CCEC) que será la instancia superior de gobernanza estratégica y política en materia de ciberseguridad provincial.
Este comité tendrá carácter estratégico, normativo, de supervisión institucional y de fiscalización técnica, sin intervenir en la ejecución operativa cotidiana de las capacidades técnicas de ciberseguridad.
Estará integrado por representantes designados por el Poder Ejecutivo y designará un Coordinador General. Entre las funciones asignadas se encuentran las siguientes:
- Elaborar el Plan Provincial de Ciberseguridad
- Dictar estándares, guías, lineamientos técnicos requisitos mínimos obligatorios de ciberseguridad
- Aprobar criterios de clasificación de criticidad de activos, servicios, organismos e infraestructura digital
- Aprobar indicadores, métricas y criterios de seguimiento del sistema provincial de cibersegurida
El plan provincial de ciberseguridad
El plan provincial de ciberseguridad establecerá una serie de reglas claras sobre gestión de riesgos, protección de infraestructura crítica, continuidad operativa, resiliencia, seguridad desde el diseño, capacitación permanente, cooperación institucional y responsabilidad de cada organismo.
Este plan determinará estándares, guías, lineamientos técnicos y requisitos mínimos de cumplimiento obligatorio, los cuales serán:
- requisitos mínimos de seguridad
- procedimientos de gestión de incidentes
- criterios de clasificación de criticidad
- lineamientos de continuidad y recuperación
- controles de cumplimiento
- criterios de reporte
- requisitos aplicables a proveedores
- condiciones de integración segura con plataformas provinciales
- criterios de aceptación y tratamiento del riesgo
- obligaciones diferenciadas para Infraestructura Digital Crítica Provincial
Los estándares y lineamientos deberán actualizarse periódicamente conforme a la evolución tecnológica, normativa, del riesgo y según las recomendaciones de la autoridad de ejecución.
Quienes estarán obligados
Esta ley será de cumplimiento obligatorio para el Poder Ejecutivo, el Poder Legislativo y el Poder Judicial.
También involucra a privados que presten servicios digitales, tecnológicos, de infraestructura, software, conectividad, nube, seguridad, soporte, procesamiento o custodia de información para el Estado provincial.
Las exigencias alcanzan de igual manera a cualquier otra entidad que opere, procese, custodie o integre sistemas, datos o servicios digitales del Estado provincial, conforme lo determine la reglamentación o los instrumentos contractuales respectivos.
Finalmente están alcanzados los prestadores de servicios críticos esenciales.
En tanto, la propuesta plantea que los municipios puedan adherir a través de legislaciones propias a esta norma.
Responsabilidades y obligaciones
La propuesta del Ejecutivo establece que los sujetos obligados deberán cumplir lo que disponga el Comité y el plan provincial de ciberseguridad, proteger los datos, sistemas, servicios, activos digitales e infraestructura bajo su administración, custodia, operación o dependencia.
Entre las obligaciones se enumeran:
- Adoptar medidas permanentes de prevención, detección, reporte, contención, mitigación y recuperación;
- Implementar los estándares mínimos obligatorios dictados por el ;
- Designar una contraparte institucional de ciberseguridad;
- Reportar incidentes conforme a los procedimientos establecidos;
- Gestionar sus riesgos de ciberseguridad;
- Cumplir los planes de adecuación, remediación o mejora
- Mantener registros de cumplimiento
- Asegurar que sus contrataciones tecnológicas contemplen requisitos de ciberseguridad.
Por otra parte, los contratos con proveedores de servicios digitales o tecnológicos deberán prever la obligación de informar vulnerabilidades, incidentes, amenazas, eventos o condiciones de riesgo que puedan afectar sistemas, datos, servicios o infraestructura del Estado provincial.
Al mismo tiempo, se establece que será nula toda cláusula contractual que restrinja injustificadamente la comunicación de información necesaria para prevenir, detectar, responder, mitigar o recuperarse de incidentes de ciberseguridad, siempre que dicha comunicación se realice conforme a los deberes de confidencialidad, seguridad y protección de datos aplicables
Los sujetos alcanzados por esta ley deberán preservar la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad, calidad, legalidad y uso legítimo de los datos bajo su responsabilidad.
Sanciones por incumplimientos
El incumplimiento de los lineamientos de este proyecto implicará la aplicación de sanciones que estarán a cargo del Comité.
Las conductas y acciones que se considerarán incumplimientos graves serán:
- No implementar estándares mínimos obligatorios
- No reportar incidentes conforme a los procedimientos establecidos
- Obstaculizar auditorías o requerimientos de información
- Entregar información técnica falsa, incompleta o manifiestamente errónea
- Incumplir instrucciones técnicas vinculantes durante la gestión de un incidente crítico
- Ocultar incidentes que puedan afectar servicios públicos, datos personales o Infraestructura Digital Crítica Provincial
- Incumplir medidas de mitigación o remediación dispuestas por la Autoridad de Aplicación o por la función técnica de fiscalización y control del CCEC.
En cuanto a las sanciones previstas en la norma, las mismas serán progresivas y se aplicarán teniendo en cuenta la criticidad del incumplimiento, el nivel de riesgo generado y la conducta del infractor.
Las penalidades más leves van desde la advertencia formal, la intimidación de adecuación con un plazo determinado, un plan obligatorio de remediación o una auditoría técnica extraordinaria.
En tanto, para las infracciones más graves se puede proceder a una segmentación preventiva de servicios, una restricción parcial de interconexión, la suspensión de interconexión provincial en casos de riesgo sistémico, la comunicación a la autoridad superior del organismo o el inicio de actuaciones administrativas o contractuales.