REGLAMENTACION DE LOS ARTS. 55 DE LA LEY N° 18.046, 119 DE LA LEY N° 18.172, 73 DE LA LEY N° 18.362, 149 DE LA LEY N° 18.719 Y 78 A 84 DE LA LEY N° 20.212, RELATIVO A LA DETERMINACION DE LOS COMETIDOS DE LA DIRECCION DE SEGURIDAD DE LA INFORMACION DE LA AGENCIA PARA EL DESARROLLO DEL GOBIERNO DE GESTION ELECTRONICA Y LA SOCIEDAD DE LA INFORMACION Y DEL CONOCIMIENTO (AGESIC)
El Registro Nacional de Leyes y Decretos del presente semestre aún no fue editado.
Reglamentario/a de:
Ley Nº 20.212 de 06/11/2023 artículos 78, 79, 80, 81, 82, 83 y 84,
Ley Nº 18.719 de 27/12/2010 artículo 149,
Ley Nº 18.362 de 06/10/2008 artículo 73,
Ley Nº 18.172 de 31/08/2007 artículo 119,
Ley Nº 18.046 de 24/10/2006 artículo 55.
VISTO: lo dispuesto en los artículos 55 de la Ley N° 18.046, de 24 de octubre de 2006 en la redacción dada por el artículo 118 de la Ley N° 18.172, de 31 de agosto de 2007; 119 de la Ley N° 18.172, de 31 de agosto de 2007, en la redacción dada ulteriormente por el artículo 5° de la Ley N° 20.075, de 20 de octubre de 2022; 73 de la Ley N° 18.362, de 6 de octubre de 2008; artículo 149 de la Ley N° 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley N° 19.924, de 18 de diciembre de 2020; y los artículos 78 a 84 de la Ley N° 20.212, de 6 de noviembre de 2023;
RESULTANDO: I) que las disposiciones citadas regulan distintos aspectos vinculados al funcionamiento, cometidos y organización en materia de seguridad de la información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, a través de su Dirección de Seguridad de la Información;
II) que, asimismo, se establece la creación y los cometidos del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), el que tiene por objetivo el regular la protección de los activos de información crítica del Estado;
CONSIDERANDO: I) que, a través del Decreto N° 451/009, de 28 de setiembre de 2009, se reguló el funcionamiento, organización y cometidos asignados al CERTuy; y por Decreto N° 452/009, de la misma fecha, se reglamentó el artículo 55 de la Ley N° 18.046, de 24 de octubre de 2006, en la redacción dada por el artículo 118 de la Ley N° 18.172, de 31 de agosto de 2007, por el que se asignó a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento el cometido de concebir y desarrollar una política nacional en temas de seguridad de la información;
II) que, el artículo 149 de la Ley N° 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley N° 19.924, de 18 de diciembre de 2020, asignó a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento nuevos cometidos dirigidos a la protección de la ciberseguridad a nivel nacional, la fiscalización y auditoría de cumplimiento, en entidades estatales y privadas, vinculadas a servicios o sectores críticos del país, y al CERTuy, los de centralizar y coordinar la respuesta a incidentes informáticos, y realizar las tareas preventivas que correspondan para la protección de los activos indicados;
III) que, el artículo 38 de la Ley N° 19.670, de 15 de octubre de 2018 estableció la competencia del CERTuy para coordinar junto a la Unidad Reguladora y de Control de Datos Personales (URCDP) el curso de acción ante la ocurrencia de vulneraciones de seguridad en responsables o encargados de una base de datos o de tratamiento, aplicable a los sectores público y privado;
IV) que, los artículos 78 a 84 de la Ley N° 20.212, de 6 de noviembre de 2023 establecieron obligaciones en materia de ciberseguridad para las entidades públicas y las entidades privadas vinculadas a servicios o sectores críticos del país, atribuyendo a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento la potestad de adoptar medidas respecto a las entidades que las incumplan, y creando el Registro Nacional de Incidentes de Ciberseguridad;
V) que, en el marco de la adopción de medidas de seguridad por parte de entidades públicas y privadas que realicen tratamiento de datos personales al amparo de lo establecido en el artículo 10° de la Ley N° 18.331, de 11 de agosto de 2008, el artículo 3° del Decreto N° 64/020, de 17 de febrero de 2020 estableció que para dicha adopción se valorarán estándares nacionales e internacionales en materia de seguridad de la información, tales como el Marco de Ciberseguridad elaborado por Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento;
VI) que, en consecuencia, razones de juridicidad y conveniencia ameritan adecuar el funcionamiento del CERTuy y reglamentar los cometidos asignados a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, a ser cumplidos por su Dirección de Seguridad de la Información;
ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas y en el artículo 168 numeral 4° de la Constitución de la República;
EL PRESIDENTE DE LA REPÚBLICA
-actuando en Consejo de Ministros-
DECRETA:
Capítulo I - Disposiciones generales
Artículo 1
Ámbito objetivo. La Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, a través de la Dirección de Seguridad de la información, tendrá los siguientes cometidos en materia de seguridad de la información y ciberseguridad a nivel nacional:
a) Establecer y dirigir políticas y procedimientos, metodologías y
mejores prácticas en el ámbito de su competencia.
b) Dictar las regulaciones pertinentes y elevar al Poder Ejecutivo las
propuestas de reglamentación en la materia.
c) Fiscalizar, auditar su cumplimiento y brindar apoyo en las etapas de
implementación de las políticas, metodologías, mejores prácticas y
regulaciones indicadas en los apartados anteriores.
d) Centralizar y coordinar la respuesta a incidentes informáticos, y
realizar tareas preventivas que correspondan para la protección de los
activos de información críticos definidos en el presente Decreto. Este
cometido será ejercido a través del CERTuy.
e) Requerir informaciones complementarias vinculadas a la ocurrencia de
incidentes de seguridad, las medidas adoptadas y a la aplicación de la
normativa en materia de ciberseguridad en general.
f) Oficiar como único interlocutor nacional en las comunicaciones con
organismos nacionales e internacionales en materia de seguridad de la
información y ciberseguridad.
g) Asesorar al Poder Ejecutivo sobre la normativa y proyectos de ley, en
sus diferentes etapas, que refieran total o parcialmente a seguridad
de la información y ciberseguridad.
LACALLE POU LUIS - NICOLÁS MARTINELLI - OMAR PAGANINI - AZUCENA ARBELECHE - ARMANDO CASTAINGDEBAT - PABLO DA SILVEIRA - JOSE LUIS FALERO - ELISA FACIO - MARIO ARIZTI - JOSÉ SATDJIAN; FERNANDO MATTOS - EDUARDO SANGUINETTI - RAÚL LOZANO - ALEJANDRO SCIARRA - ROBERT BOUVIER