Edición del
30 de Noviembre de 2022

Ediciones Anteriores
Biblioteca de Normativas

Legislación y Avisos Oficiales
Primera sección


JEFATURA DE GABINETE DE MINISTROS DIRECCIÓN NACIONAL DE CIBERSEGURIDAD

Disposición 7/2021

DI-2021-7-APN-DNCIB#JGM

Ciudad de Buenos Aires, 12/08/2021

VISTO el Expediente N° EX-2021-63352926-APN- DNCIB#JGM, la Ley de Ministerios N° 22.520 (texto ordenado por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, la Ley N° 24.156 y sus modificatorias, el Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios, las Decisiones Administrativas Nros. 1865 del 14 de octubre de 2020, 532 del 1° de junio de 2021 y 641 del 25 de junio de 2021 y,

CONSIDERANDO:

Que la Decisión Administrativa N° 641/21 aprueba una serie de lineamientos para el fortalecimiento de la seguridad de la información que reciben, producen y administran las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias.

Que la mencionada Decisión Administrativa tiene como objetivo contribuir a dotar de las características de confidencialidad, integridad y disponibilidad a la información que gestiona el Sector Público Nacional, determinando una serie de requisitos mínimos de seguridad para su tratamiento.

Que efectivamente, los datos y las plataformas tecnológicas que utilizan los organismos públicos pueden encontrarse expuestos a una importante cantidad y variedad de amenazas y vulnerabilidades cuya consecuencia podría derivar en fallas, ataques informáticos y actividad maliciosa en general.

Que esta situación exige que se mantengan actualizadas las herramientas, protocolos y marcos normativos, a fin de proteger adecuadamente la infraestructura, los activos de información y principalmente los datos personales, que son en definitiva un patrimonio de los ciudadanos en su conjunto.

Que en ese sentido, la Decisión Administrativa N° 641/21 establece en su artículo 4° que las entidades y jurisdicciones del Sector Público Nacional por ésta comprendidas deberán remitir sus Planes de Seguridad aprobados a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN PÚBLICA, dependiente de la JEFATURA DE GABINETE DE MINISTROS, dentro del plazo de NOVENTA (90) días desde la entrada en vigencia de la medida.

Que asimismo, la Decisión Administrativa supra referida dispone que las máximas autoridades de las entidades y jurisdicciones alcanzadas por esa norma, deberán informar mediante Comunicación Oficial a través del Sistema de Gestión Documental Electrónica (GDE) a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD el nombre, apellido y datos de contacto del responsable del área designada, dentro del plazo de SESENTA (60) días corridos desde la entrada en vigencia de la medida.

Que en virtud de lo expuesto, resulta necesaria la creación del “Registro de Puntos Focales en Ciberseguridad del Sector Público Nacional” en el ámbito de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, con el propósito de aglutinar la información referida en el párrafo anterior.

Que adicionalmente, el artículo 7° de la Decisión Administrativa N° 641/21 ordena que las mencionadas entidades y jurisdicciones deberán reportar a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD los incidentes de seguridad que se produzcan dentro de sus ámbitos dentro de las CUARENTA Y OCHO (48) horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia.

Que, por otro lado, la citada norma indica en su artículo 11 que la Dirección Nacional aludida en el considerando anterior verificará el cumplimiento de las disposiciones que ésta establece.

Que a los fines de dar cumplimiento a las medidas antes citadas, resulta necesario establecer una serie de lineamientos y pautas con el fin de clarificar el proceso y aportarle agilidad de la respuesta de los organismos.

Que por el Decreto Nº 139 de fecha 4 de marzo de 2021 se incorporó a las funciones que el Decreto N° 50/19 y sus modificatorios le asignaba a la SECRETARÍA DE INNOVACIÓN PÚBLICA dependiente de la JEFATURA DE GABINETE DE MINISTROS, el objetivo de “Entender en la ciberseguridad y protección de infraestructuras críticas de información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo primero de la Ley Nº 27.078”.

Que asimismo, por el Decreto N° 139/21 antes mencionado, se establece además como función de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN PÚBLICA, la de “Proponer a la Secretaría estrategias, estándares y regulaciones para la ciberseguridad y protección de infraestructuras críticas de la información y las comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo primero de la Ley Nº 27.078”.

Que mediante Decisión Administrativa N° 1865/20 se aprobó la estructura organizativa de primer y segundo nivel operativo de la JEFATURA DE GABINETE DE MINISTROS creándose, entre otras, la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD en el ámbito de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN PÚBLICA dependiente la JEFATURA DE GABINETE DE MINISTROS.

Que la responsabilidad primaria de la mencionada Dirección Nacional se encuentra definida en el Anexo IV de la Decisión Administrativa N° 532 del 1° de junio de 2021, siendo ésta la de “Dirigir la implementación de acciones relativas a la ciberseguridad y a la protección de las infraestructuras críticas de información, así como también a la generación de capacidades de prevención, detección, respuesta y recupero ante incidentes de seguridad informática del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo primero de la Ley Nº 27.078.”

Que ha tomado la intervención de su competencia la DIRECCIÓN DE ASUNTOS LEGALES DE INNOVACIÓN PÚBLICA dependiente de la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA DE INNOVACIÓN PÚBLICA de la SECRETARIA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS.

Que la presente medida se dicta en virtud de las facultades conferidas por la Decisión Administrativa N° 532/21.

Por ello,

EL DIRECTOR NACIONAL DE CIBERSEGURIDAD

DISPONE:

ARTÍCULO 1°.- Créase en el ámbito de esta DIRECCIÓN NACIONAL DE CIBERSEGURIDAD el “Registro de Puntos Focales en Ciberseguridad del Sector Público Nacional”.

ARTICULO 2°.- Las máximas autoridades de las entidades y jurisdicciones alcanzados por la Decisión Administrativa N° 641 del 25 de junio de 2021, deberán informar mediante Comunicación Oficial del Sistema de Gestión Documental Electrónica (GDE) a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA, los nombres, apellidos, dirección de correo electrónico institucional, CUIT/CUIL y teléfono de contacto del agente al que se le hubiera asignado o asignará funciones de ciberseguridad en su jurisdicción, en los plazos establecidos en el artículo 5° de la mencionada Decisión Administrativa. Transcurrido dicho plazo, los agentes designados dispondrán de TREINTA (30) días para ingresar sus datos en el “Registro de Puntos Focales en Ciberseguridad del Sector Público Nacional” creado por el artículo 1° de la presente, disponible en la Plataforma de Trámites a Distancia (TAD). El mismo procedimiento deberá ser aplicado toda vez que las funciones aludidas sean asignadas a otro agente.

ARTICULO 3°.- Los Planes de Seguridad referidos en los artículos 3° y 4° de la Decisión Administrativa N° 641 del 25 de junio de 2021, deberán consignar para cada una de las catorce (14) secciones contenidas en el título V del Anexo aprobado por su artículo 1°, denominado “Directrices”, °, si el organismo ya cuenta con un plan establecido y con medidas de seguridad implementadas, debiendo incluir en ese caso, una descripción sucinta del modo en que las ha desplegado. En caso contrario, deberá indicar el plazo en el que se concretarán o los motivos por los que no corresponde su despliegue. Adicionalmente y para cada sección, se deberá incluir, de corresponder, los principales obstáculos que enfrenta el organismo para la instrumentación o la continuidad de las medidas requeridas.

ARTÍCULO 4°.- Los Planes de Seguridad mencionados en el artículo anterior deberán ser remitidos por los puntos focales de ciberseguridad designados por las respectivas entidades y jurisdicciones, a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA, para su conocimiento, a través del Sistema de Gestión Documental Electrónica (GDE), con el mayor nivel de confidencialidad que brinde el sistema, dentro de los plazos establecidos en el artículo 4° de la Decisión Administrativa N° 641 del 25 de junio de 2021.

ARTICULO 5°.- Las entidades y jurisdicciones alcanzadas por la Decisión Administrativa referida en el artículo anterior deben reportar los incidentes de seguridad que se produzcan en sus ámbitos, dentro de las CUARENTA Y OCHO (48) horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia y si hubiera, cuando se produzcan escalamientos significativos. Los incidentes de seguridad a reportar son aquellos que pueden tener un impacto potencial o real adverso sobre las infraestructuras tecnológicas, los sistemas de información y los datos que gestionen, especialmente aquellos que comprometan datos personales o críticos del organismo, entidad o jurisdicción, representen un incumplimiento de la normativa vigente o afecten los servicios vinculados a funciones sustantivas de su competencia. Los reportes deberán ser remitidos mediante el formulario publicado en el sitio de Internet del CERT.ar: https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad/cert-ar/reportar-un-incidente. Asimismo, una vez gestionado el incidente, se remitirá a través del mencionado sitio, un informe detallado que incluya el impacto estimado y las medidas adoptadas durante el ciclo de vida del incidente, para la remediación y recuperación de los servicios y/o de la información afectada.

ARTICULO 6°.- La DIRECCIÓN NACIONAL DE CIBERSEGURIDAD informará periódicamente en el sitio de Internet https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad, el avance en el cumplimiento de la Decisión Administrativa N° 641 del 25 de junio de 2021, por parte de los organismos, jurisdicciones y entidades alcanzados.

ARTICULO 7°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Gustavo Raúl Sain

e. 19/08/2021 N° 58326/21 v. 19/08/2021

Fecha de publicación 19/08/2021