La Asamblea Legislativa de El Salvador ha aprobado recientemente la Ley de Ciberseguridad y Seguridad de la Información, que busca garantizar la protección de los datos y sistemas informáticos que manejan las entidades estatales, así como las infraestructuras críticas del país.
La ley aplica a todos los órganos del gobierno, incluyendo sus dependencias, instituciones autónomas, autoridades municipales y cualquier entidad que administre recursos públicos, bienes del Estado o que tenga incidencia en infraestructuras críticas. Además, puede extenderse a ciertas entidades del sector privado, como aquellas que gestionan información pública o que interactúan con los sistemas críticos del país.
Además, impone varias responsabilidades a los sujetos obligados, especialmente en lo que respecta a la implementación de sistemas y estrategias de ciberseguridad.
Entre las principales obligaciones destacan:
- Gestión Permanente de la Ciberseguridad: Las entidades deberán implementar un sistema de gestión que permita identificar y mitigar los riesgos que puedan afectar la seguridad de sus sistemas informáticos, redes y equipos.
- Elaboración de Estrategias de Seguridad: Deberán desarrollar estrategias de seguridad de la información alineadas con marcos nacionales e internacionales.
- Planes de Continuidad y Revisión: Las entidades están obligadas a crear planes de continuidad operativa y ciberseguridad, los cuales deben ser aprobados por la autoridad competente y revisados periódicamente.
- Simulacros y Análisis Continuos: Es necesario realizar simulacros y revisiones continuas para detectar vulnerabilidades en los sistemas y procesos que comprometan la seguridad de la información.
- Respuestas a Incidentes de Ciberseguridad: Deberán tomar medidas inmediatas para prevenir, reportar y mitigar los incidentes relacionados con la ciberseguridad y la seguridad de la información.
- Designación de responsables: Se establece la obligación de crear un área o designar responsables para la implementación y monitoreo de estas medidas de ciberseguridad, asegurando que tengan independencia y autoridad suficiente para ejecutar sus funciones.
La Agencia de Ciberseguridad del Estado
Con la aprobación de esta ley, se crea la Agencia de Ciberseguridad del Estado, un organismo encargado de supervisar y aplicar las disposiciones de la ley. Esta agencia tendrá la responsabilidad de coordinar con las instituciones y garantizar el cumplimiento de los estándares de seguridad establecidos. Entre sus principales atribuciones destacan:
- Desarrollar la Política de Ciberseguridad y Seguridad de la Información de la Nación, que incluirá los lineamientos, planes y programas de acción necesarios. Esta política deberá ser aprobada por el presidente de la República.
- Emitir normativas, protocolos y estándares técnicos basados en las mejores prácticas internacionales en ciberseguridad, alineados con la política nacional.
- Crear e implementar programas de acción para responder a las amenazas o incidentes de ciberseguridad que afecten a los sujetos obligados por la ley.
- Exigir a las entidades afectadas por incidentes de ciberseguridad que tomen las acciones necesarias para mitigar los efectos y asegurar la recuperación de los sistemas y la protección de la información.
Una vez que el presidente de la República sancione la ley, esta entrará en vigor 8 días después de su publicación en el Diario Oficial.
rodrigo.benitez@garciabodan.com
Asociado
García & Bodán
El Salvador