DECRETO SUPREMO 017-2024-PCM
LA PRESIDENTA DE LA REPÚBLICA
CONSIDERANDO:
Que, el artículo 44 de la Constitución Política del Perú, establece que son deberes primordiales del Estado, defender la soberanía nacional; garantizar la plena vigencia de los derechos humanos; proteger a la población de las amenazas contra su seguridad; y, promover el bienestar general que se fundamenta en la justicia y el desarrollo integral y equilibrado de la Nación;
Que, el Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, tiene por objeto establecer el marco de gobernanza del gobierno digital para la adecuada gestión de la identidad digital, servicios digitales, arquitectura digital, interoperabilidad, seguridad digital y datos, así como el régimen jurídico aplicable al uso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales por parte de las entidades de la Administración Pública en los tres niveles de gobierno;
[…]
DECRETA:
Artículo 1.- Aprobación de Reglamento
Aprobar el Reglamento de la Ley Nº 30999, Ley de Ciberdefensa, el mismo que consta de un (01) Título Preliminar, cinco (05) Capítulos en el Título I, dos (02) Capítulos en el Título II, dieciséis (16) artículos y dos (02) Disposiciones Complementarias Finales, el cual forma parte integrante del presente Decreto Supremo.
Artículo 2.- Publicación
Disponer la publicación del presente Decreto Supremo y el Reglamento aprobado mediante el artículo precedente, en la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (www.gob.pe) y en las sedes digitales de la Presidencia del Consejo de Ministros (www.gob.pe/pcm) y del Ministerio de Defensa (www.gob.pe/mindef), el mismo día de su publicación en el Diario Oficial El Peruano.
Artículo 3. Financiamiento
La implementación y la sostenibilidad de las acciones involucradas en el Presente Decreto Supremo y el Reglamento, se financia con cargo a los presupuestos institucionales de los Pliegos involucrados, sin demandar recursos adicionales al Tesoro Público.
Artículo 4.- Refrendo
El presente Decreto Supremo es refrendado por el Presidente del Consejo de Ministros y el Ministro de Defensa.
Dado en la Casa de Gobierno, en Lima, a los trece días del mes de febrero del año dos mil veinticuatro.
DINA ERCILIA BOLUARTE ZEGARRA
Presidenta de la República
LUIS ALBERTO OTÁROLA PEÑARANDA
Presidente del Consejo de Ministros
JORGE LUIS CHÁVEZ CRESTA
Ministro de Defensa
REGLAMENTO DE LA LEY Nº 30999, LEY DE CIBERDEFENSA
TÍTULO PRELIMINAR
DISPOSICIONES GENERALES
Artículo I.- Objeto
El presente reglamento tiene por objeto establecer las disposiciones normativas para regular las capacidades de ciberdefensa, operaciones militares, y uso de la fuerza en y mediante el ciberespacio, entre otras disposiciones para preservar la seguridad nacional, a cargo de los órganos ejecutores del Ministerio de Defensa, dentro de su ámbito de competencia, en el marco de la Ley Nº 30999, Ley de Ciberdefensa (en adelante la Ley).
Artículo II.- Finalidad
El presente reglamento tiene por finalidad garantizar que las capacidades nacionales mantengan la continuidad de sus operaciones a través de la protección en y mediante el ciberespacio de los activos críticos nacionales, recursos claves, la soberanía y los intereses nacionales frente amenazas o ataques, cuando estos afecten la seguridad nacional.
Artículo III.- Marco jurídico aplicable
Las operaciones militares en y mediante el ciberespacio, cuando afecten la seguridad nacional, se sujetan a lo establecido en la Constitución Política del Perú, la legislación nacional y las normas del derecho internacional que resulten aplicables.
Artículo IV. Definiciones
Para efectos de la Ley y el presente reglamento se entiende de forma específica las siguientes definiciones:
a. Activos Críticos Nacionales (ACN): Es la establecida en el numeral 3.4 del artículo 3 del Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales (ACN), aprobado por Decreto Supremo Nº 106-2017-PCM.
b. Acto hostil en el ciberespacio: Es toda acción en y mediante el ciberespacio que atenta contra la seguridad nacional, soberanía, los intereses nacionales, los ACN/RC. Da derecho al ejercicio de la legítima defensa conforme a las reglas de enfrentamiento establecidas por la autoridad competente, de acuerdo con la normatividad vigente. Con frecuencia son no cinéticos, dificultando la determinación y atribución.
c. Amenaza en el ciberespacio: Todo acto fuente, circunstancia o evento de origen externo o interno con la capacidad potencial de generar, a través del uso de sistemas, herramientas cibernéticas o cualquier otro instrumento en y mediante el ciberespacio, efectos adversos, daños o perjuicios a la seguridad nacional, soberanía, los intereses nacionales, los ACN/RC (Entiéndase también como ciberamenazas).
d. Arma cibernética: Agente de software empleado para objetivos de interés militar como parte de una acción ofensiva en y mediante el ciberespacio. Entiéndase también como ciberarma.
e. Ciberespacio: Comprende el conjunto de redes interconectadas e interdependientes de infraestructura de tecnología de la información, que incluyen a internet, las redes de telecomunicaciones, sistemas aislados (redes, sistemas y dispositivos de almacenamiento de información no conectados a internet), software, información, los protocolos de transportes, la energía eléctrica, los sistemas informáticos, procesadores y controladores integrados, junto con las personas que interactúan con ellos, entiéndase también como entorno digital. Conceptualmente es un ámbito sin un espacio físico más allá de la jurisdicción de cualquier nación.
f. Ciberseguridad: Es la establecida en el inciso h) del artículo 3 del Decreto de Urgencia Nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.
g. Incidente de seguridad digital: Es la establecida en el inciso e) del artículo 3 del Decreto de Urgencia Nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.
h. Infraestructura: Es la establecida en el inciso 3.3, del artículo 3, del Decreto Supremo Nº 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.
i. Intención hostil en el ciberespacio: Es toda acción que evidencia la voluntad o preparación para ejecutar un acto hostil en o mediante el ciberespacio que atente contra la seguridad nacional, la soberanía, los intereses nacionales, los ACN/RC. Al igual que los actos hostiles son con frecuencia no cinéticos, lo que dificulta su determinación y atribución.
j. Legítima defensa: Es el derecho que tiene el Estado, mediante el empleo de los componentes de ciberdefensa de los órganos ejecutores del Ministerio de Defensa, de usar la fuerza en y mediante el ciberespacio para impedir, contener y/o neutralizar un acto o intención hostil, que atente o ponga en riesgo la Seguridad Nacional.
k. Marco de Seguridad Digital del Estado Peruano: Es la establecida en el artículo 31 del Decreto Legislativo Nº 1412, que aprueba la Ley de Gobierno Digital.
l. Operaciones militares en el ciberespacio: Es el empleo de las capacidades de ciberdefensa por parte de los órganos ejecutores del Ministerio de Defensa, de acuerdo con sus funciones y en el ámbito de sus respectivas competencias, contra las amenazas o ataques que atenten contra la seguridad nacional, la soberanía, los intereses nacionales y/o los ACN/RC. Entiéndase también como ciberoperaciones.
m. Operador de los Activos Críticos Nacionales – ACN: Es la establecida en el inciso 3.6, del artículo 3, del Decreto Supremo Nº 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.
n. Recursos Claves: Es la establecida en el inciso 3.13 del artículo 3 del Decreto Supremo Nº 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.
o. Reglas de enfrentamiento: Se entiende de acuerdo con lo establecido en el artículo 10 del presente reglamento.
p. Riesgo de Seguridad Digital: Es la establecida en el inciso g) del artículo 3 del Decreto de Urgencia Nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.
q. Sector Responsable: Es la establecida en el inciso 3.5, del artículo 3, del Decreto Supremo Nº 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.
r. Seguridad Digital: Es la establecida en el artículo 30 del Decreto Legislativo Nº 1412, que aprueba la Ley de Gobierno Digital.
s. Seguridad nacional: Es la situación en la cual el Estado tiene garantizada su independencia, soberanía e integridad y, la población los derechos fundamentales establecidos en la Constitución. Esta situación contribuye a la consolidación de la paz, al desarrollo integral y a la justicia social, basada en los valores democráticos y en el respeto a los derechos humanos.
t. Uso de la fuerza: Entiéndase por uso de la fuerza, a la actuación que realizan las Fuerzas Armadas, en y mediante el ciberespacio, con los medios y métodos que correspondan, los cuales se encuentran delimitados a lo que dispone el artículo 51 de la Carta de las Naciones Unidas, la ley de Ciberdefensa y las normas del Derecho Internacional de los Derechos Humanos y del Derecho Internacional Humanitario y demás normativa del derecho internacional aplicable.
u. Vulnerabilidades cibernéticas: Debilidad o ausencia de capacidad para la defensa cibernética que puede ser utilizada por una amenaza. Esto comprende, pero no se limita a, un diseño deficiente, errores de configuración o técnicas de codificación, debilidades tecnológicas o políticas de seguridad inadecuadas e inseguras.
Artículo V. Acrónimos
Para efectos del presente reglamento se aplican los siguientes acrónimos:
a. ACN: Activos críticos nacionales
b. RC: Recursos clave
c. REN: Reglas de enfrentamiento
d. JCCFFAA: Jefe del Comando Conjunto de las Fuerzas Armadas
e. COCID: Comando Operacional de Ciberdefensa
TÍTULO I
DE LA CIBERDEFENSA
CAPÍTULO I
DEL MINISTERIO DE DEFENSA
Artículo 1.- Rol del Ministerio de Defensa en la Ciberdefensa
Para la gestión del marco de Seguridad Digital del Estado Peruano, en el ámbito de la defensa, el Ministerio de Defensa, dentro del alcance de sus funciones y competencias dirige, norma, supervisa y evalúa las disposiciones en materia de ciberdefensa.
El Ministerio de Defensa, es la entidad encargada de gestionar la ciberdefensa. Asimismo, dicta políticas y lineamientos para el planeamiento y conducción de operaciones militares en y mediante el ciberespacio conforme a la Política de Seguridad y Defensa Nacional aprobada por el Consejo de Seguridad y Defensa Nacional y de manera articulada con los objetivos de seguridad nacional y con la Política Nacional de Transformación Digital, aprobada mediante el Decreto Supremo Nº 085-2023-PCM u otra norma que lo sustituya.
CAPÍTULO II
DE LOS ÓRGANOS EJECUTORES DEL MINISTERIO DE DEFENSA EN MATERIA DE CIBERDEFENSA
Artículo 2.- Órganos Ejecutores del Ministerio de Defensa y componentes de ciberdefensa
Los órganos ejecutores del Ministerio de Defensa están constituidos por el Ejército, la Marina de Guerra, la Fuerza Aérea, y el Comando Conjunto de las Fuerzas Armadas.
La ciberdefensa comprende al COCID, y a sus componentes de ciberdefensa que son: el componente de Ciberdefensa del Ejército del Perú, componente de Ciberdefensa de la Marina de Guerra del Perú y componente de Ciberdefensa de la Fuerza Aérea del Perú, los cuales ejecutan operaciones de ciberdefensa en y mediante el ciberespacio.
Artículo 3.- Responsabilidades del Comando Operacional de Ciberdefensa
Son responsabilidades del COCID los siguientes:
a. Planear, organizar y conducir las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa conjuntas.
b. Proteger sus sistemas de información y el segmento del ciberespacio asignado.
c. Gestionar el registro de incidentes, el intercambio de información sobre ataques informáticos y patrones de amenazas entre los componentes de ciberdefensa de las Instituciones Armadas. Dicho registro es interno y de uso exclusivo del COCID, y tiene relevancia únicamente para las operaciones que realicen las Fuerzas Armadas.
d. Otras que se asignen en la normativa legal sobre la materia.
Artículo 4.- Responsabilidades de los componentes de ciberdefensa de las Instituciones Armadas
Son responsabilidades de los componentes de ciberdefensa de las Instituciones Armadas las siguientes:
a. Planear, organizar y conducir a su nivel las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa propias.
b. Proteger sus sistemas de información y el segmento del ciberespacio propio o asignado.
c. Alistar integralmente a las unidades a su cargo, para el eficiente desempeño de sus funciones.
d. Desarrollar y mantener un óptimo nivel de sus capacidades de ciberdefensa.
e. Otras que se asignen en la normativa legal sobre la materia.
CAPÍTULO III
CAPACIDADES DE CIBERDEFENSA
Artículo 5.- De las medidas pasivas y activas de ciberdefensa
5.1 Medidas pasivas en ciberdefensa: conjunto de actividades de prevención, protección y resiliencia del ciberespacio propio y/o asignado. Son de aplicación constante y generalizada, abarcando al personal, medios y sistemas propios o asignados. Involucra, pero no se limita al monitoreo de redes propias o asignadas, mantenimiento de sistemas informáticos, actualizaciones de seguridad y operativas, establecimiento de políticas, disposiciones, procedimientos y reglas de seguridad institucional, robustecimiento en la infraestructura cibernética propia y la concientización en materia de ciberdefensa, entre otras.
5.2 Medidas activas en ciberdefensa: conjunto de actividades de naturaleza proactiva, reactiva o de recuperación, en o mediante el ciberespacio propio, asignado y/o de interés. Estas medidas se aplican ante la necesidad militar para la defensa y la seguridad nacional. Involucra, pero no se limita al análisis de vulnerabilidades, una intensa labor de detección, evaluación, identificación y reconocimiento de actos hostiles o amenazas en el ciberespacio; o la aplicación de acciones cibernéticas sobre medios o sistemas que constituyen una amenaza, para degradar o neutralizar sus capacidades y formas de acción, a fin de impedir que estas puedan afectar la libertad de acción en el ciberespacio propio, asignado y/o de interés, entre otras.
Artículo 6.- Capacidades de ciberdefensa de los Órganos Ejecutores del Ministerio de Defensa
En el ámbito de sus competencias, el COCID y los Componentes de Ciberdefensa de las Instituciones Armadas cuentan con las capacidades siguientes:
a. Capacidad de Defensa: consiste en la prevención, protección y resiliencia de las diferentes plataformas tecnológicas o sistemas de información ante amenazas cibernéticas, actos hostiles u otros incidentes de seguridad digital; recurriendo a medidas pasivas y activas.
b. Capacidad de explotación: consiste en la búsqueda, identificación, reconocimiento, vigilancia y seguimiento de ciberamenazas en y mediante el ciberespacio; recurriendo a medidas pasivas y activas.
c. Capacidad de respuesta: consiste en limitar o negar, temporal o permanentemente, el uso del ciberespacio del objetivo militar mediante la degradación o neutralización de sus sistemas, impactando en sus capacidades; recurriendo a medidas activas.
d. Capacidad de investigación digital o Investigación Forense Digital: consiste en el análisis de evidencia digital con la finalidad de determinar su funcionalidad, comportamiento, origen e impacto; así como su explotación futura a través de un proceso de ingeniería inversa. Engloba técnicas de investigación y análisis forense digital para recolectar, analizar y preservar evidencias sobre actos maliciosos en el ciberespacio, recurriendo a medidas pasivas y activas. Esta capacidad de ciberdefensa se ejerce de acuerdo a las competencias asignadas, la cual no se vincula ni contrapone con la Investigación Digital que pueda realizar cualquier otra entidad pública o privada.
[Continúa…]
0 comentarios