FIJACION DE MEDIDAS DE SEGURIDAD Y MECANISMOS PARA LA UTILIZACION DE LOS SISTEMAS DE INFORMACION EN LA ADMINISTRACION PUBLICA, RELATIVOS AL MONITOREO Y CONTRALOR DE LOS PROCESOS, GARANTIZANDO LA PROTECCION Y CONTINUIDAD DE LOS MISMOS
El Registro Nacional de Leyes y Decretos del presente semestre aún no fue editado.
Reglamentario/a de:
Ley Nº 20.212 de 06/11/2023 artículo 78 literal C),
Ley Nº 18.719 de 27/12/2010 artículo 149.
VISTO: lo establecido por el literal C) del artículo 78 de la Ley N° 20.212, de 6 de noviembre de 2023;
RESULTANDO: I) que el empleo de sistemas de información, particularmente en la Administración Pública, constituye un instrumento fundamental y necesario para el desarrollo eficiente y eficaz de las tareas a la interna de las entidades públicas, para el monitoreo y contralor de los procesos, y para facilitar la interacción con las personas y las empresas;
II) que se han puesto en práctica a través de distintas disposiciones normativas, múltiples medidas de seguridad para la utilización de los sistemas antes indicados;
III) que, en el contexto actual, resulta necesario implementar mecanismos adicionales con el objetivo de garantizar la protección de los referidos sistemas de información y su continuidad operativa.
CONSIDERANDO: I) que el artículo citado en el Visto dispone la obligación de las entidades públicas, y las entidades privadas vinculadas a servicios o sectores críticos del país, referidas en el artículo 149 de la Ley N° 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley N° 19.924, de 18 de diciembre de 2020, de adoptar las medidas de prevención que determine la reglamentación;
II) que, el Decreto N° 66/025, de 20 de febrero de 2025 en su artículo 1° atribuye a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic), el cometido de, entre otros, establecer y dirigir políticas y procedimientos, metodologías y mejores prácticas en el ámbito de su competencia, y elevar al Poder Ejecutivo propuestas de reglamentación en la materia;
III) que, los artículos 10° y siguientes del Decreto mencionado en el Considerando anterior establecen un conjunto de obligaciones asociadas a la seguridad de la información que deben cumplir las entidades obligadas por dicho Decreto, las que deberán complementarse con las establecidas en el presente para las entidades públicas.
ATENTO: a lo expuesto y a lo previsto en las disposiciones normativas citadas;
EL PRESIDENTE DE LA REPÚBLICA
-actuando en Consejo de Ministros-
DECRETA:
Activación de sistemas de autenticación multifactor. Las entidades públicas deberán, en un plazo de 120 (ciento veinte) días a contar de la publicación del presente Decreto, activar sistemas de autenticación multifactor u otros mecanismos con niveles de seguridad superior, para el acceso a todos sus sistemas y servicios por parte de sus funcionarios, personal contratado y proveedores.
Acceso remoto. Para sistemas y servicios expuestos en internet a la fecha de promulgación del presente Decreto, el plazo para el cumplimiento de la obligación prevista en el artículo anterior será de 30 (treinta) días a contar de su publicación. Las entidades públicas podrán alternativamente y dentro de dicho plazo, realizar el acceso remoto a los sistemas y servicios a través de una red privada virtual, la que deberá contar con autenticación multifactor o superior.
Si al vencimiento del plazo previsto en el inciso anterior, no se hubiera dado cumplimiento a la obligación referida por alguno de los métodos indicados, el acceso remoto a través de internet deberá ser suspendido y sólo podrá ser reactivado una vez cumplida dicha obligación.
Las obligaciones previstas en el presente artículo y en el artículo que antecede serán aplicables a todo nuevo sistema o servicio empleado por las entidades públicas desde el día de su puesta en producción.
Confección de Inventario de sistemas y servicios expuestos en internet - Las entidades públicas deberán, en el plazo previsto en el artículo 1° del presente Decreto, confeccionar un inventario de todos los sistemas o servicios expuestos en internet, el que deberá ser actualizado en forma anual, o en el caso de que se expongan nuevos sistemas o servicios.
Eliminación de sistemas y servicios en desuso. Las entidades públicas deberán, en el plazo previsto en el artículo 1° del presente Decreto, eliminar el acceso a todos los sistemas y servicios que no se utilicen o que se consideren innecesarios. Deberán asimismo procurar, de ser posible, la eliminación o desinstalación definitiva de dichos sistemas o servicios, especialmente en los servidores de desarrollo, testing y capacitación.
En el mismo plazo, las entidades públicas deberán eliminar el acceso a través de puertos UDP/TCP que no tengan un servicio expuesto, y revisar los sistemas y servicios utilizados por omisión que no sean necesarios en su operativa.
El proceso de análisis y eliminación, en su caso, previsto en el presente artículo, deberá ser realizado en forma permanente por parte de las entidades públicas.
Comunicación mensual. Las entidades púbicas deberán comunicar mensualmente a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic) los avances en el desarrollo de las obligaciones previstas en el presente Decreto hasta su total cumplimiento, luego del cual, quedarán relevadas de dicha comunicación.
Atribuciones de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic) - La Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic), tendrá las siguientes atribuciones con respecto al cumplimiento de las obligaciones previstas en el presente Decreto:
a. Asesorar, en lo pertinente, a las entidades públicas.
b. Conceder prórrogas, en circunstancias absolutamente excepcionales,
fundadas, bajo responsabilidad de la entidad pública requirente y por
un plazo que no podrá exceder de 120 (ciento veinte) días. En ningún
caso podrán concederse prórrogas genéricas a una entidad pública
determinada, ni para el cumplimiento de la obligación prevista en el
artículo 3' del presente Decreto.
c. Realizar auditorías periódicas y mediante herramientas automáticas del
cumplimiento de dichas obligaciones, así como de la posible existencia
de otras vulnerabilidades en los sistemas y servicios de las entidades
públicas
d. Elevar a la Presidencia de la República información periódica relativa
al cumplimiento o incumplimiento por parte de las entidades públicas.
Las atribuciones dispuestas en este artículo son sin perjuicio de las previstas en el Decreto N° 66/025, de 20 de febrero de 2025.