Congreso peruano aprueba leyes de ciberdefensa y ciberseguridad

La Comisión Permanente del Congreso aprobó ayer los proyectos de ley de ciberdefensa (Proyecto de Ley No. 4228) y de ciberseguridad (Proyectos de Ley No. 4237 y 4352). A continuación te presentamos los principales aspectos cubiertos por ambas normas.

Ciberdefensa

¿Cuál es el objetivo de la ley?

  • Establecer un marco normativo en materia de ciberdefensa del Estado Peruano, lo cual involucra la regulación de las operaciones militares en y mediante el ciberespacio a cargo de los órganos ejecutores del Ministerio de Defensa (es decir, el Ejército,la Marina y la Fuerza Aérea; y el Comando Conjunto de las Fuerzas Armadas). 
  • Proteger y defender la soberanía, los intereses nacionales y a los sistemas de información digital de los activos de los órganos ejecutores del Ministerio de Defensa; de amenazas o ataques en y mediante el ciberespacio que atenten contra la seguridad nacional.

¿Qué se entiende por “ciberdefensa”?

Es la capacidad que permite buscar, detectar, identificar, impedir, contener, neutralizar y responder amenazas y ataques realizados en y mediante el ciberespacio que atenten contra la seguridad de la nación.

¿Cuáles son las capacidades de la ciberdefensa?

Se entiende como todos aquellos usos de (i) conocimiento, (ii) habilidades, y (iii) medios para realizar operaciones en y mediante el ciberespacio.

¿Qué son las operaciones militares en el ciberespacio y quiénes están encargados de su planificación y ejecución?

Es el eficiente y eficaz empleo de las capacidades de ciberdefensa por parte de los órganos ejecutores del Ministerio de Defensa. Por otro lado, los órganos ejecutores del Ministerio de Defensa (es decir, el Ejército,la Marina y la Fuerza Aérea; y el Comando Conjunto de las Fuerzas Armadas) son los encargados de su respectiva planificación y ejecución conforme las leyes que regulan su naturaleza jurídica, sus competencias y los tratados internacionales existentes.

¿Aplica el uso de la fuerza de las Fuerzas Armadas en el ciberespacio?

Sí, su regulación se sujeta a las disposiciones contenidas en el artículo 51 de la Carta de las Naciones Unidas, la presente norma y regida por las normas de Derecho Internacional de los Derechos Humanos y el Derecho Internacional Humanitario.

¿Aplica el uso de la legítima defensa en el ciberespacio? 

Sí, a fin de cumplir con el objetivo de la Ley. No obstante, su ejercicio se encuentra sujeto a los principios de legalidad, necesidad y oportunidad. En caso de conducir una operación de respuesta en y mediante el ciberespacio que contenga un ataque deliberado, deberá realizarse de acuerdo a la normativa vigente. 

¿Quién se encarga de la ciberdefensa de los activos críticos nacionales y recursos claves?

El Comando Conjunto de Fuerzas Armadas, siempre y cuando la capacidad de protección de sus operadores o administradores sea sobrepasada.

Luego de aprobada la norma queda pendiente la reglamentación de la ley por parte del Ministerio de Defensa así como el diseño de una Política Nacional de Ciberdefensa.

Ciberseguridad

Ámbito de aplicación de la ley

Establecer el marco normativo en materia de ciberseguridad aplicable a sector público, sector privado, academia y sociedad civil en lo que resulte aplicable. Además establece los siguientes principios rectores: 

  1. Colaboración multidisciplinaria multisectorial e interinstitucional
  2. Respeto a los derechos humanos
  3. Enfoque basado en gestión de riesgos
  4. Comunicación de incidentes: se establece la obligación de notificar incidentes que impliquen violación de datos personales al personal responsable en la entidad pública (es decir se reconoce por primera vez en nuestra regulación el “data breach notification”) 

Creación de un Comité de Ciberseguridad del Estado Peruano

Se establece la creación del Comité de Ciberseguridad del Estado Peruano adscrito a la PCM y bajo la dirección de SEGDI, el mismo estará conformado por sector privado, sociedad civil, academia, comunidad técnica de internet y sector gubernamental. 

El Comité tiene las siguientes funciones: 

  • Formular la Política de Ciberseguridad del Estado Peruano
  • Generar lineamientos en materia de gestión de respuestas a incidentes de seguridad digital en el sector privado
  • Fomentar la cultura de Ciberseguridad
  • Coadyuvar al fomento de currículos de educación superior en materia de Ciberseguridad

Establecimiento de CSIRTs en sector privado 

Un CSIRT es el Equipo de Respuesta frente a Incidentes de Seguridad Informática que tiene la misión de prevenir, gestionar y responder a incidentes de seguridad digital. El Comité de Ciberseguridad del Estado Peruano establecerá los lineamientos para el establecimiento de CSIRTs en el sector privado, la academia, la sociedad civil y la comunidad técnica. Asimismo, se fomentará el desarrollo de instrumentos de cooperación público-privado en materia de ciberseguridad.

Ambos proyectos de ley pasarán a firma del Presidente de la República y, de no existir observaciones, se convertirán en ley y serán publicadas en el diario oficial El Peruano. 

Niubox es una firma de servicios legales, consultoría en asuntos públicos y regulatorios e innovación legal. Conoce nuestros servicios en Perú y Ecuador: tecnología y negocios digitales,  innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, digitraining, telecomunicaciones y competencia, consumidor y propiedad intelectual.

Compartir

Niubox

Legal | Digital

Cuando hablamos de derecho espacial, esta rama de la profesión sigue pareciendo del futuro. Nos viene a...

Niubox

Legal | Digital

La nueva Asamblea se posesionará el viernes 17 de noviembre de 2023 y está conformada por 137...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *