(S-1616/19) PROYECTO DE LEY
El Senado y Cámara de Diputados,… CAPÍTULO I
DISPOCISIONES GENERALES
ARTÍCULO 1°.- Créase el Instituto de Ciberseguridad Argentino (INCIBAR), como ente descentralizado con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, con la finalidad de lograr un elevado nivel de seguridad de las redes y sistemas de información dentro del territorio nacional.
ARTÍCULO 2°.- Definiciones. A los efectos de la presente ley, se entiende por:
a) Seguridad de las redes y sistemas de información: la capacidad de las redes y sistemas de información de soportar, con un nivel suficiente de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos.
b) Infraestructuras críticas de la información: aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información situados en el Sector Público Nacional u Organismo Privado cuya interrupción o destrucción pueden tener una repercusión importante en la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados.
c) Servicios Esenciales: servicio necesario para el mantenimiento y/o continuidad de la prestación de los servicios de salud, seguridad, educación, comunicaciones, provisión o transporte de energía, medios de transporte u otro servicio público, o el eficaz funcionamiento de las instituciones del Estado y la Administración Pública.
d) Operador de Servicios Esenciales (OSE): una entidad pública o privada que preste servicios esenciales y que reúna las siguientes condiciones:
i.- que la prestación de dicho servicio dependa de las redes y sistemas de información;
ii.- que los incidentes informáticos puedan tener efectos perturbadores significativos en la prestación de dichos servicios.
“2019 Año de la Exportación”
La reglamentación elaborará el listado de operadores esenciales comprendidos.
e) Proveedor de Servicios Digitales (PSD): toda persona que brinde alguno de los servicios digitales comprendidos en el listado de proveedores que determine la reglamentación, mediante la red de Internet o de cualquier adaptación o aplicación de los protocolos, plataformas o tecnología utilizada por Internet u otra red a través de la que se presten servicios equivalentes.
f) Incidente: todo hecho que tenga o pueda tener efectos adversos reales en la seguridad de las redes y sistemas de información.
g) Efecto significativo: la afectación en la seguridad de las redes y sistemas de información que sin llegar a representar un efecto perturbador significativo repercuta de manera considerable en el servicio, en sus usuarios y/o en los datos almacenados.
h) Efecto perturbador significativo: toda afectación de suma importancia en la seguridad de las redes y sistemas de información que repercuta en la prestación del servicio, en sus usuarios y/o en los datos almacenados.
Para determinar que se trata de un efecto perturbador significativo se tendrán en cuenta los siguientes factores:
i.- Cantidad de usuarios del servicio afectado, especialmente aquellos que dependen del servicio para la prestación de sus propias actividades.
ii.- La repercusión, alcance e impacto que puedan tener los incidentes en la prestación de los servicios esenciales.
iii.- Extensión geográfica respecto a las zonas que podrían verse afectadas por un incidente.
iv.- Grado de dependencia de Operadores de Servicios Esenciales del servicio afectado por un incidente.
v.- La duración del incidente.
i) Riesgo: toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de información.
j) Gestión de incidentes y riesgos: el procedimiento seguido para detectar, analizar y/o limitar incidentes y/o riesgos y responder ante estos.
ARTÍCULO 3o.- Los procesos de conservación, transmisión, consulta, divulgación y tratamiento de información realizados en el marco de la presente ley deben llevarse a cabo siguiendo las normas y estándares de protección de datos personales y de confidencialidad.
CAPÍTULO II
ESTRUCTURA Y FUNCIONES DEL INCIBAR
ARTÍCULO 4°.- El Instituto estará a cargo de un (1) Director Ejecutivo, quien tendrá rango y jerarquía de Secretario.
ARTÍCULO 5°.- El Director Ejecutivo será designado a través de un concurso público de antecedentes, debiendo poseer título universitario de grado, preferentemente relacionado a áreas de informática, con especialización en ciberseguridad y acreditar versada experiencia y conocimientos en la materia.
ARTÍCULO 6°.- El Director Ejecutivo durará en el cargo el término de cinco (5) años pudiendo ser reelecto sólo por un nuevo período consecutivo.
ARTÍCULO 7°.- El Instituto de Ciberseguridad Argentino (INCIBAR) tiene las siguientes funciones:
a) Supervisar y promover la correcta implementación y cumplimiento de las previsiones de la presente ley.
b) Participar en el desarrollo de acciones inherentes a la prevención y seguridad de las redes y sistemas de información que se le encomienden.
c) Proteger las Infraestructuras Críticas de la Información del Sector Público Nacional y Organismos Privados, cuya interrupción o destrucción pueden tener una repercusión significativa para la sociedad.
d) Especificar, adecuar y mantener actualizados los lineamientos y criterios para:
i- la definición, identificación y protección de las Infraestructuras Críticas de la Información.
ii- la categorización de los Operadores de Servicios Esenciales como de los Proveedores de Servicios Digitales.
e) Velar por el cumplimiento de los requisitos mínimos que deben cumplir los Operadores de Servicios Esenciales y Proveedores de Servicios Digitales categorizados como tales.
f) Entender en los procesos relativos al accionar del Centro de Respuesta a Incidentes Informáticos (CERII) que se crea en el Capítulo III de la presente ley, estableciendo el procedimiento para su funcionamiento.
g) Fomentar la adopción y utilización de prácticas estandarizadas de procedimientos de gestión de incidentes y riesgos.
h) Instrumentar mecanismos de concienciación que promuevan un mayor conocimiento por parte de la sociedad en materia de prevención, seguridad de las redes y sistemas de información.
i) Difundir alertas tempranas, avisos e información sobre incidentes y riesgos a la comunidad, en la medida que no se contraponga con la seguridad de las redes y sistemas de información.
j) Informar en la medida de lo posible sobre cualquier contenido que implique algún peligro para los usuarios de la red de Internet y aplicaciones móviles.
k) Mantener actualizada una Base de Datos Abiertos de Operadores de Servicios Esenciales y Proveedores de Servicios Digitales categorizados que presten sus servicios dentro del territorio nacional.
l) Brindar programas de capacitación y actualización en materia de seguridad de las redes y sistemas de información de manera permanente en el sector público nacional, y a las organizaciones del sector privado que así lo requieran.
m) Promover actividades de investigación en la materia de su competencia.
n) Cooperar con organismos nacionales y organizaciones internacionales para el intercambio de información y buenas prácticas en el fortalecimiento del uso responsable en el ciberespacio.
ñ) Elaborar un informe anual de la situación en materia de seguridad de las redes y sistemas de información para su posterior publicación.
ARTÍCULO 8°.- En el marco del cumplimiento de sus funciones el INCIBAR posee las siguientes facultades:
a) Impartir recomendaciones a los Operadores de Servicios Esenciales y a los Proveedores de Servicios Digitales a los fines de lograr un elevado nivel de seguridad de las redes y sistemas de información dentro del territorio nacional.
b) Solicitar información a los Operadores de Servicios Esenciales y a los Proveedores de Servicios Digitales categorizados para verificar su desempeño con respecto al cumplimiento de los requisitos mínimos que les son exigibles.
c) Realizar las auditorías ante el requerimiento de los órganos competentes del Poder Judicial y Ministerio Público Fiscal. Asimismo, podrá con autorización del Poder Judicial efectuar las auditorías cuando haya fundadas sospechas de incumplimiento por parte de los Operadores de Servicios Esenciales y Proveedores de Servicios Digitales de las obligaciones y requisitos que le correspondan.
d) Sancionar a los Operadores de Servicios Esenciales y a los Proveedores de Servicios Digitales categorizados que incurran en alguna de las infracciones previstas en la presente ley.
ARTÍCULO 9°.- El INCIBAR contará con los siguientes recursos:
a) Los recursos que se le asignen en el Presupuesto General de la Nación mediante una partida presupuestaria acorde a sus fines.
b) Los subsidios, donaciones y legados que reciba de personas humanas o jurídicas, nacionales o extranjeras, públicas o privadas, los cuales de ninguna manera podrán implicar condiciones contrarias a su objeto conforme lo establece la ley.
c) Los importes resultantes de la aplicación de multas.
ARTÍCULO 10.- La reglamentación establecerá la conformación de la estructura organizativa del INCIBAR.
CAPÌTULO III
CENTRO DE RESPUESTA A INCIDENTES INFORMÁTICOS (CERII)
ARTÍCULO 11.- Créase en el ámbito del INCIBAR el Centro de Respuesta a Incidentes Informáticos (CERII), que será el encargado de:
– monitoreo activo para la detección temprana de amenazas en el ciberespacio.
– gestionar los incidentes y riesgos de conformidad con el procedimiento establecido por el INCIBAR.
“2019 Año de la Exportación”
ARTÍCULO 12.- El CERII tendrá su dependencia y los sistemas de información de apoyo en lugares seguros, y en su funcionamiento debe cumplir con los siguientes requisitos:
– Asegurar las capacidades y recursos de detección, y análisis temprana de amenazas.
– Mantener disponibilidad para recibir los reportes de incidentes en todo momento.
– Garantizar un elevado nivel de disponibilidad para dar respuesta ante eventuales incidentes y riesgos informáticos.
ARTÍCULO 13.- Al CERII le corresponde de conformidad con el procedimiento establecido por el INCIBAR:
a) Proveer un monitoreo continuo de la actividad en las redes y sistemas de información, mediante revisiones periódicas preventivas a fin de minimizar los riesgos asociados.
b) Supervisar y responder a incidentes de seguridad en las redes y sistemas de información dentro del territorio nacional.
c) Difundir alertas tempranas, avisos e información sobre incidentes y riesgos a los sujetos alcanzados por la presente ley.
d) Efectuar un análisis dinámico de incidentes y riesgos a fin de dar respuesta inmediata a los mismos.
CAPÍTULO IV
CATEGORIZACIÓN DE OPERADORES DE SERVICIOS ESENCIALES Y PROVEEDORES DE SERVICIOS DIGITALES
ARTÍCULO 14.- Los Operadores de Servicios Esenciales y los Proveedores de Servicios Digitales que presten servicios en nuestro país serán categorizados de oficio y notificados por el INCIBAR, de conformidad con las previsiones de la reglamentación.
ARTÍCULO 15.- Los requisitos mínimos en materia de seguridad y notificación de incidentes para los Operadores de Servicios Esenciales y Proveedores de Servicios Digitales, contemplados en el artículo 18 de la presente, serán exigibles transcurridos 90 días desde que hayan sido notificados como categorizados por el INCIBAR.
ARTÍCULO 16.- El INCIBAR descategorizará a aquellos Operadores de Servicios Esenciales y Proveedores de Servicios Digitales que considere que ya no poseen las características necesarias para pertenecer a la categoría de que se trate; dejando de serle exigibles los requisitos mínimos de seguridad y notificación de incidentes. Asimismo el Operador de Servicios Esenciales o Proveedor de Servicios Digitales que considere que ya no le corresponde la categorización que le recae, podrá realizar una petición al INCIBAR para que se lo descategorice, en los términos que establezca la reglamentación.
ARTÍCULO 17.- El INCIBAR debe mantener actualizada una Base de Datos Abiertos de Operadores de Servicios Esenciales y Proveedores de Servicios Digitales categorizados que presten sus servicios dentro del territorio nacional, en los términos que establezca la reglamentación, la cual será publicada en el sitio web del INCIBAR.
CAPÍTULO V
SEGURIDAD EN LAS REDES Y SISTEMAS DE INFORMACIÓN DE LOS OPERADORES DE SERVICIOS ESENCIALES Y DE LOS PROVEEDORES DE SERVICIOS DIGITALES CATEGORIZADOS
ARTÍCULO18.- Requisitos mínimos en materia de seguridad y notificación de incidentes.
a) Los Operadores de Servicios Esenciales y Proveedores de Servicios Digitales categorizados deben:
i.- Tomar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones; las que deberán garantizar un adecuado nivel de seguridad en relación con el riesgo planteado.
ii.- Adoptar las medidas adecuadas para prevenir y reducir al mínimo los efectos de los incidentes que afecten la seguridad de las redes y sistemas de información utilizados para la prestación de tales servicios con el objeto de garantizar su continuidad.
iii.- Notificar inmediatamente al CERII los incidentes que tengan como mínimo efectos significativos en la continuidad de los servicios que prestan. Tales notificaciones deben incluir información que permita al CERII gestionar el incidente de manera adecuada, eficaz y eficiente, especialmente para determinar cualquier efecto del incidente y su procedencia.
ARTÍCULO 19.- El CERII mantendrá la seguridad y confidencialidad de la información proporcionada en la notificación de incidentes efectuada por el Operador de Servicios Esenciales y el Proveedor de Servicios Digitales. Cuando las circunstancias lo ameriten, el CERII proporcionará al notificante la información pertinente con respecto al seguimiento del incidente.
Del mismo modo, y en caso de considerarlo necesario, el CERII informará al INCIBAR para que decida si recurrirá a emitir alertas tempranas, avisos e información a la comunidad sobre los incidentes y riesgos en cuestión.
CAPÍTULO VI
SANCIONES
ARTÍCULO 20.- El INCIBAR posee la facultad de sancionar a los Operadores de Servicios Esenciales y Proveedores de Servicios Digitales categorizados como tales que cometan algunas de las infracciones que prevé la presente ley.
ARTÍCULO 21.- Las infracciones a las previsiones de la presente se clasifican en leves, graves y muy graves.
i- Son infracciones leves:
a) Notificar los incidentes al CERII de manera defectuosa, sin incluir la totalidad de la información necesaria para que aquel gestione el incidente forma adecuada, eficaz y eficiente.
b) No adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados.
c) No adoptar las medidas adecuadas para prevenir y reducir al mínimo los incidentes que afecten la seguridad de las redes y sistemas de información utilizados.
d) Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
I- Son infracciones graves:
a) La falta de adopción de medidas indicadas por el CERII en el marco de la gestión de incidentes y riesgos.
b) El incumplimiento de la obligación de notificar sobre algún incidente cuando no suponga infracción grave.
c) Obstaculizar el desempeño de las funciones del INCIBAR, especialmente en referencia a las de supervisión y auditoría.
d) El incumplimiento de los requisitos mínimos para garantizar la seguridad de las redes y sistemas de información, cuando ello haya sido causa para provocar un incidente con efectos perturbadores significativos.
ii- Son infracciones muy graves:
a) La falta de adopción de medidas indicadas por el CERII en el marco de la gestión de incidentes y riesgos, cuando dicha omisión conlleve la vulnerabilidad del Operador de Servicios Esenciales o Proveedor de Servicios Digitales a un incidente con efectos perturbadores significativos.
b) El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio. Se considerará que es reiterado a partir del tercer incumplimiento.
c) No adoptar las medidas necesarias para resolver un incidente, especialmente cuando no se notifique y/o se obstaculice el desempeño o accionar del CERII en torno a la resolución del incidente en cuestión, cuando este último tenga un efecto perturbador significativo en la prestación del servicio de que se trate.
ARTÍCULO 22.- Sin perjuicio de las responsabilidades administrativas, civiles y penales que pudieren corresponder, las infracciones a la presente ley serán sancionadas, previo sumario administrativo que garantice el debido proceso, con:
a) Apercibimiento.
b) Multa.
ARTÍCULO 23.- Ante la comisión de infracciones leves se aplicarán hasta 2 apercibimientos. Ante la reiteración de tales infracciones se aplicará las multas que correspondan a las infracciones graves.
En el caso de la comisión de infracciones graves se aplicará multa de PESOS UN MIL a PESOS CIEN MIL.
En el caso de la comisión de infracciones muy graves se aplicará multa de PESOS CIEN MIL hasta PESOS QUINIENTOS MIL.
ARTÍCULO 24.- Graduación de las sanciones. El órgano sancionador establecerá la sanción teniendo en cuenta los siguientes criterios:
a) El grado de intencionalidad.
b) La continuidad o persistencia en la conducta infractora.
c) La naturaleza y cuantía de los daños o perjuicios causados.
d) La reiteración por comisión en el último año de más de una infracción.
e) El número de usuarios afectados.
f) Las medidas de prevención de incidentes tomadas por el responsable, especialmente aquellas que van más allá de los requisitos mínimos en materia de seguridad y notificación de incidentes.
CAPÍTULO VII
DISPOCISIONES FINALES
ARTÍCULO 25.- Reglamentación. El Poder Ejecutivo nacional, dentro de los noventa (90) días de la promulgación de la presente ley, dictará la reglamentación necesaria.
ARTÍCULO 26.- Comuníquese al Poder Ejecutivo.