Disposición 7/2021
DI-2021-7-APN-DNCIB#JGM
Ciudad de Buenos Aires, 12/08/2021
VISTO el Expediente N° EX-2021-63352926-APN- DNCIB#JGM, la Ley de
Ministerios N° 22.520 (texto ordenado por Decreto N° 438 del 12 de
marzo de 1992) y sus modificatorias, la Ley N° 24.156 y sus
modificatorias, el Decreto N° 50 del 19 de diciembre de 2019 y sus
modificatorios, las Decisiones Administrativas Nros. 1865 del 14 de
octubre de 2020, 532 del 1° de junio de 2021 y 641 del 25 de junio de
2021 y,
CONSIDERANDO:
Que la Decisión Administrativa N° 641/21 aprueba una serie de
lineamientos para el fortalecimiento de la seguridad de la información
que reciben, producen y administran las entidades y jurisdicciones del
Sector Público Nacional comprendidas en el inciso a) del artículo 8° de
la Ley N° 24.156 de Administración Financiera y de los Sistemas de
Control del Sector Público Nacional y sus modificatorias.
Que la mencionada Decisión Administrativa tiene como objetivo
contribuir a dotar de las características de confidencialidad,
integridad y disponibilidad a la información que gestiona el Sector
Público Nacional, determinando una serie de requisitos mínimos de
seguridad para su tratamiento.
Que efectivamente, los datos y las plataformas tecnológicas que
utilizan los organismos públicos pueden encontrarse expuestos a una
importante cantidad y variedad de amenazas y vulnerabilidades cuya
consecuencia podría derivar en fallas, ataques informáticos y actividad
maliciosa en general.
Que esta situación exige que se mantengan actualizadas las
herramientas, protocolos y marcos normativos, a fin de proteger
adecuadamente la infraestructura, los activos de información y
principalmente los datos personales, que son en definitiva un
patrimonio de los ciudadanos en su conjunto.
Que en ese sentido, la Decisión Administrativa N° 641/21 establece en
su artículo 4° que las entidades y jurisdicciones del Sector Público
Nacional por ésta comprendidas deberán remitir sus Planes de Seguridad
aprobados a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SUBSECRETARÍA
DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA
DE INNOVACIÓN PÚBLICA, dependiente de la JEFATURA DE GABINETE DE
MINISTROS, dentro del plazo de NOVENTA (90) días desde la entrada en
vigencia de la medida.
Que asimismo, la Decisión Administrativa supra referida dispone que las
máximas autoridades de las entidades y jurisdicciones alcanzadas por
esa norma, deberán informar mediante Comunicación Oficial a través del
Sistema de Gestión Documental Electrónica (GDE) a la DIRECCIÓN NACIONAL
DE CIBERSEGURIDAD el nombre, apellido y datos de contacto del
responsable del área designada, dentro del plazo de SESENTA (60) días
corridos desde la entrada en vigencia de la medida.
Que en virtud de lo expuesto, resulta necesaria la creación del
“Registro de Puntos Focales en Ciberseguridad del Sector Público
Nacional” en el ámbito de la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD, con
el propósito de aglutinar la información referida en el párrafo
anterior.
Que adicionalmente, el artículo 7° de la Decisión Administrativa N°
641/21 ordena que las mencionadas entidades y jurisdicciones deberán
reportar a la DIRECCIÓN NACIONAL DE CIBERSEGURIDAD los incidentes de
seguridad que se produzcan dentro de sus ámbitos dentro de las CUARENTA
Y OCHO (48) horas de tomado conocimiento de su ocurrencia o de su
potencial ocurrencia.
Que, por otro lado, la citada norma indica en su artículo 11 que la
Dirección Nacional aludida en el considerando anterior verificará el
cumplimiento de las disposiciones que ésta establece.
Que a los fines de dar cumplimiento a las medidas antes citadas,
resulta necesario establecer una serie de lineamientos y pautas con el
fin de clarificar el proceso y aportarle agilidad de la respuesta de
los organismos.
Que por el Decreto Nº 139 de fecha 4 de marzo de 2021 se incorporó a
las funciones que el Decreto N° 50/19 y sus modificatorios le asignaba
a la SECRETARÍA DE INNOVACIÓN PÚBLICA dependiente de la JEFATURA DE
GABINETE DE MINISTROS, el objetivo de “Entender en la ciberseguridad y
protección de infraestructuras críticas de información y comunicaciones
asociadas del Sector Público Nacional y de los servicios de información
y comunicaciones definidos en el artículo primero de la Ley Nº 27.078”.
Que asimismo, por el Decreto N° 139/21 antes mencionado, se establece
además como función de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA
INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN
PÚBLICA, la de “Proponer a la Secretaría estrategias, estándares y
regulaciones para la ciberseguridad y protección de infraestructuras
críticas de la información y las comunicaciones asociadas del Sector
Público Nacional y de los servicios de información y comunicaciones
definidos en el artículo primero de la Ley Nº 27.078”.
Que mediante Decisión Administrativa N° 1865/20 se aprobó la estructura
organizativa de primer y segundo nivel operativo de la JEFATURA DE
GABINETE DE MINISTROS creándose, entre otras, la DIRECCIÓN NACIONAL DE
CIBERSEGURIDAD en el ámbito de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA
INFORMACIÓN Y LAS COMUNICACIONES de la SECRETARÍA DE INNOVACIÓN PÚBLICA
dependiente la JEFATURA DE GABINETE DE MINISTROS.
Que la responsabilidad primaria de la mencionada Dirección Nacional se
encuentra definida en el Anexo IV de la Decisión Administrativa N° 532
del 1° de junio de 2021, siendo ésta la de “Dirigir la implementación
de acciones relativas a la ciberseguridad y a la protección de las
infraestructuras críticas de información, así como también a la
generación de capacidades de prevención, detección, respuesta y
recupero ante incidentes de seguridad informática del Sector Público
Nacional y de los servicios de información y comunicaciones definidos
en el artículo primero de la Ley Nº 27.078.”
Que ha tomado la intervención de su competencia la DIRECCIÓN DE ASUNTOS
LEGALES DE INNOVACIÓN PÚBLICA dependiente de la SUBSECRETARÍA DE
GESTIÓN ADMINISTRATIVA DE INNOVACIÓN PÚBLICA de la SECRETARIA DE
INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS.
Que la presente medida se dicta en virtud de las facultades conferidas por la Decisión Administrativa N° 532/21.
Por ello,
EL DIRECTOR NACIONAL DE CIBERSEGURIDAD
DISPONE:
ARTÍCULO 1°.- Créase en el ámbito de esta DIRECCIÓN NACIONAL DE
CIBERSEGURIDAD el “Registro de Puntos Focales en Ciberseguridad del
Sector Público Nacional”.
ARTICULO 2°.- Las máximas autoridades de las entidades y jurisdicciones
alcanzados por la Decisión Administrativa N° 641 del 25 de junio de
2021, deberán informar mediante Comunicación Oficial del Sistema de
Gestión Documental Electrónica (GDE) a la DIRECCIÓN NACIONAL DE
CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN PÚBLICA, los nombres,
apellidos, dirección de correo electrónico institucional, CUIT/CUIL y
teléfono de contacto del agente al que se le hubiera asignado o
asignará funciones de ciberseguridad en su jurisdicción, en los plazos
establecidos en el artículo 5° de la mencionada Decisión
Administrativa. Transcurrido dicho plazo, los agentes designados
dispondrán de TREINTA (30) días para ingresar sus datos en el “Registro
de Puntos Focales en Ciberseguridad del Sector Público Nacional” creado
por el artículo 1° de la presente, disponible en la Plataforma de
Trámites a Distancia (TAD). El mismo procedimiento deberá ser aplicado
toda vez que las funciones aludidas sean asignadas a otro agente.
ARTICULO 3°.- Los Planes de Seguridad referidos en los artículos 3° y
4° de la Decisión Administrativa N° 641 del 25 de junio de 2021,
deberán consignar para cada una de las catorce (14) secciones
contenidas en el título V del Anexo aprobado por su artículo 1°,
denominado “Directrices”, °, si el organismo ya cuenta con un plan
establecido y con medidas de seguridad implementadas, debiendo incluir
en ese caso, una descripción sucinta del modo en que las ha desplegado.
En caso contrario, deberá indicar el plazo en el que se concretarán o
los motivos por los que no corresponde su despliegue. Adicionalmente y
para cada sección, se deberá incluir, de corresponder, los principales
obstáculos que enfrenta el organismo para la instrumentación o la
continuidad de las medidas requeridas.
ARTÍCULO 4°.- Los Planes de Seguridad mencionados en el artículo
anterior deberán ser remitidos por los puntos focales de ciberseguridad
designados por las respectivas entidades y jurisdicciones, a la
DIRECCIÓN NACIONAL DE CIBERSEGURIDAD de la SECRETARÍA DE INNOVACIÓN
PÚBLICA, para su conocimiento, a través del Sistema de Gestión
Documental Electrónica (GDE), con el mayor nivel de confidencialidad
que brinde el sistema, dentro de los plazos establecidos en el artículo
4° de la Decisión Administrativa N° 641 del 25 de junio de 2021.
ARTICULO 5°.- Las entidades y jurisdicciones alcanzadas por la Decisión
Administrativa referida en el artículo anterior deben reportar los
incidentes de seguridad que se produzcan en sus ámbitos, dentro de las
CUARENTA Y OCHO (48) horas de tomado conocimiento de su ocurrencia o de
su potencial ocurrencia y si hubiera, cuando se produzcan escalamientos
significativos. Los incidentes de seguridad a reportar son aquellos que
pueden tener un impacto potencial o real adverso sobre las
infraestructuras tecnológicas, los sistemas de información y los datos
que gestionen, especialmente aquellos que comprometan datos personales
o críticos del organismo, entidad o jurisdicción, representen un
incumplimiento de la normativa vigente o afecten los servicios
vinculados a funciones sustantivas de su competencia. Los reportes
deberán ser remitidos mediante el formulario publicado en el sitio de
Internet del CERT.ar:
https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad/cert-ar/reportar-un-incidente.
Asimismo, una vez gestionado el incidente, se remitirá a través del
mencionado sitio, un informe detallado que incluya el impacto estimado
y las medidas adoptadas durante el ciclo de vida del incidente, para la
remediación y recuperación de los servicios y/o de la información
afectada.
ARTICULO 6°.- La DIRECCIÓN NACIONAL DE CIBERSEGURIDAD informará
periódicamente en el sitio de Internet
https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad,
el avance en el cumplimiento de la Decisión Administrativa N° 641 del
25 de junio de 2021, por parte de los organismos, jurisdicciones y
entidades alcanzados.
ARTICULO 7°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.
Gustavo Raúl Sain
e. 19/08/2021 N° 58326/21 v. 19/08/2021