Diario oficial Año CLVII No. 51.970 Edición de 56 páginas • Bogotá, D. C., martes, 8 de marzo de 2022. Página 36
DECRETO 338 DE 2022
(marzo 08)
"Por el cual se adiciona el Titulo 21 a la parte 2 del Libro 2 del Decreto Único 1078 de 2015, Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones, con el fin de establecer los lineamientos generales para fortalecer la gobernanza de la seguridad digital, se crea el Modelo y las instancias de Gobernanza de Seguridad Digital y se dictan otras disposiciones
ESTADO DE VIGENCIA: Vigente [Mostrar] |
Subtipo: DECRETO REGLAMENTARIO
EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA
En ejercicio de sus facultades constitucionales y legales, en especial las que le confiere el numeral 11 del artículo 189 de la Constitución Política y el artículo 43 de la Ley 489 de 1998,
CONSIDERANDO
Que, conforme al principio de "masificación del gobierno en línea" hoy Gobierno Digital, consagrado en el numeral 8 del artículo 2 de la Ley 1341 de 2009 "Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC,(...)", "(...) las entidades públicas deberán adoptar todas las medidas necesarias para garantizar el máximo aprovechamiento de las Tecnologías de la Información y las Comunicaciones (TIC) en el desarrollo de sus funciones ( ... )".
Que, en virtud del numeral 2 del artículo 17 de la Ley 1341 de 2009, el Ministerio de Tecnologías de la Información y las Comunicaciones tiene entre sus objetivos "(...) 2. Promover el uso y apropiación de las Tecnologías de la Información y las Comunicaciones entre los ciudadanos, las empresas, el Gobierno y demás instancias nacionales como soporte del desarrollo social, económico y político de la Nación"
Que, la Ley 1437 de 2011, "Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo", a través de su artículo 64 faculta al Gobierno Nacional para definir los estándares y protocolos que deberán cumplir las autoridades para incorporar en forma gradual los medios electrónicos en los procedimientos administrativos, entre los que se cuentan los relativos a la seguridad digital.
Que, a través del Documento Conpes 3701 del 14 de julio de 2011, por medio del cual se dieron lineamientos de política para Ciberseguridad y Ciberdefensa, se implementaron instancias para prevenir, coordinar, atender, controlar, generar recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las amenazas y los riesgos que atentan contra la ciberseguridad y ciberdefensa nacional. Uno de sus objetivos específicos es, conformar· organismos con la capacidad técnica y operativa necesaria para la defensa y seguridad en materia de seguridad digital.
Que, de acuerdo con el artículo 2.2.9.1.2.1 del Decreto 1078 de 2015, "Por medio del cual se expide el Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones", la Política de Gobierno Digital será definida por el Ministerio de Tecnologías de la Información y las Comunicaciones y se desarrollará a través de componentes y habilitadores transversales que, acompañados de lineamientos y estándares, permitirán el logro de propósitos que generarán valor público en un entorno de confianza digital a partir del aprovechamiento de las TIC.
Que, según el mismo artículo 2.2.9.1.2.1, numeral 2, los habilitadores transversales de la Política de Gobierno Digital, son los elementos fundamentales de Seguridad de la Información, Arquitectura y Servicios Ciudadanos Digitales, que permiten el desarrollo de los componentes y el logro de los propósitos de dicha Política.
Que, de acuerdo con el numeral 12 del artículo 2.2.22.2.1. del Decreto 1083 de 2015, "Decreto Único Reglamentario del Sector Función Pública", la política de Seguridad Digital forma parte de las políticas de Gestión y Desempeño Institucional. Así mismo, el numeral 5 del artículo 2.2.22.3.6 del decreto en mención define como una de las funciones de los Comités Sectoriales de Gestión y Desempeño "Dirigir y articular a las entidades del sector administrativo en la operación de las políticas de gestión y desempeño y de las directrices impartidas por la Presidencia de la República y el Ministerio de Tecnologías de la Información y las Comunicaciones en materia de Gobierno y Seguridad digital".
Que, de acuerdo con el numeral 5 del artículo 2.2.22.3.7. del citado Decreto 1083 de 2015, una de las funciones de los Comités Departamentales, Distritales y Municipales de Gestión y Desempeño es la de "Dirigir y articular a las entidades del departamento, distrito o municipio en la implementación y operación de las políticas de gestión y desempeño y de las directrices impartidas por la Presidencia de la República y el Ministerio de Tecnologías de la Información y las Comunicaciones en materia de Gobierno y Seguridad digital". Por su parte, el numeral 6 del artículo 2.2.22.3.8, define como una de las funciones de los Comités Institucionales de Gestión y Desempeño "Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de seguridad digital y de la información"
Que, el Conpes 3854 del 11 de abril de 2016, establece la Política Nacional de Seguridad Digital, mediante la cual crea las condiciones para que las múltiples partes interesadas gestionen el riesgo de seguridad digital en sus actividades socioeconómicas y se genere confianza en el uso del entorno digital, siendo uno de los principales aportes de esta política el desarrollo de estrategias que establecieron un marco institucional para la seguridad digital con un enfoque de gestión de riesgos, es decir, con una visión preventiva antes que reactiva ante las posibles amenazas en seguridad digital.
Que, mediante la Política Nacional de Seguridad digital, contenida en el Conpes 3854 del 11 de abril de 2016, se generaron mecanismos estratégicos para impulsar la cooperación, colaboración y asistencia en seguridad digital a nivel nacional e internacional y se creó la figura de Coordinador Nacional de Seguridad digital, la cual se encuentra actualmente en cabeza de la Consejería Presidencial para la Transformación Digital y Gestión y Cumplimiento de la Presidencia de la República.
Que, el artículo 147 de la Ley 1955 de 2019 "Por la cual se expide el Plan Nacional de Desarrollo 2018-2022 "pacto por Colombia, pacto por la equidad" señala la obligación de las entidades estatales del orden nacional, de incorporar en sus respectivos planes de acción el componente de transformación digital, siguiendo los estándares que para este propósito defina el Ministerio de Tecnologías de la Información y las Comunicaciones. De acuerdo con el mismo precepto, los proyectos estratégicos de transformación digital se orientarán entre otros, por la aplicación y aprovechamiento de estándares, modelos, normas y herramientas que permitan la adecuada gestión de riesgos de seguridad digital, para generar confianza en los procesos de las entidades públicas y garantizar la protección de datos personales.
Que, el artículo 230 de la Ley 1450 de 2011, modificado por el artículo 148 de la Ley 1955 de 2019 señala que "Todas las entidades de la administración pública deberán adelantar las acciones que señale el Gobierno nacional a través del Ministerio de Tecnologías de la Información y las Comunicaciones para la implementación de la política de Gobierno Digital". Dentro de las acciones prioritarias se encuentra el cumplimiento de los lineamientos y estándares para el incremento de la confianza y la seguridad digital.
Que, con el objetivo de generar un proceso continuo de gestión de riesgos adaptable a nuevas tecnologías actuales y futuras, las autoridades deberán implementar tecnologías emergentes, cibercultura, resiliencia y seguridad en el ecosistema, que les permitan operar de una manera segura y generando confianza en los servicios ciudadanos ofrecidos.
Que, el Ministerio de Tecnologías de la Información y las Comunicaciones estableció, a través de la Resolución 500 de 2021 los lineamientos y estándares para la estrategia de seguridad digital, y la adopción del Modelo de Seguridad y Privacidad de la Información -MSPI, como habilitador de la política de Gobierno Digital., el cual conduce a la preservación de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos.
Que, el Conpes 3995 de 2020, Política Nacional de Confianza y Seguridad digital, señala el objetivo de establecer medidas para desarrollar la confianza digital a través de la mejora en la seguridad digital de manera que Colombia sea una sociedad incluyente y competitiva en el futuro digital mediante el fortalecimiento de capacidades y la actualización del marco de gobernanza en seguridad digital, así como con la adopción de modelos con énfasis en nuevas tecnologías.
Que, con fundamento en lo anterior, se hace necesario disponer de un marco para la gobernanza de la seguridad digital del país, así como implementar y aplicar Modelos de Gestión de Riesgos de Seguridad y un Modelo Nacional de Atención a Incidentes y la creación de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT GOBIERNO) por sus siglas en inglés (Computer Security Incident & Response Team), con el fin de prevenir y mitigar los riesgos de seguridad y generar confianza.
Que, en cumplimiento de los artículos 3 y 8 la Ley 1437 de 2011 y 2.1.2.1.14 del Decreto 1081 de 2015, "Decreto Reglamentario Único del Sector Presidencia de la República", las disposiciones del presente proyecto de decreto fueron publicadas en la sede electrónica del Ministerio de Tecnologías de la Información y las Comunicaciones, durante el periodo comprendido entre el 1 de febrero de 2022 y el 18 de febrero de 2022.
Que, en mérito de lo expuesto,
DECRETA
Artículo 1. Adiciónese el Título 21 a la Parte 2 del Libro 2 del Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones, Decreto 1078 de 2015, el cual quedará así:
"TÍTULO 21
LINEAMIENTOS GENERALES PARA FORTALECER LA GOBERNANZA DE LA SEGURIDAD DIGITAL, LA IDENTIFICACIÓN DE INFRAESTRUCTURAS CRÍTICAS CIBERNÉTICAS Y SERVICIOS ESENCIALES, LA GESTIÓN DE RIESGOS Y LA RESPUESTA A INCIDENTES DE SEGURIDAD DIGITAL
CAPÍTULO 1
LINEAMIENTOS GENERALES
SECCIÓN 1
OBJETO, ÁMBITO DE APLICACIÓN, DEFINICIONES, LINEAMIENTOS
GENERALES Y PRINCIPIOS
Artículo 2.2.21.1.1.1. Objeto. El presente título tiene por objeto reglamentar parcialmente los artículos 64 de la Ley 1437 de 2011,147 de la Ley 1955 de 2019 y 230 de la Ley 1450 de 2011, modificado por el artículo 148 de la Ley 1955 de 2019, con el fin de establecer los lineamientos generales para fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de seguridad digital.
Artículo 2.2.21.1.1.2. Ámbito de aplicación. Los sujetos obligados a las disposiciones contenidas en el presente título serán las entidades que conforman la Administración Pública en los términos del artículo 39 de la Ley 489 de 1998 Y los particulares que cumplen funciones públicas o administrativas. Para los efectos del presente se les dará el nombre de autoridades.
Parágrafo 1. La implementación del presente decreto en las Ramas Legislativa y Judicial, en los órganos de control, en los autónomos e independientes y demás organismos del Estado, se realizará bajo un esquema de coordinación y colaboración armónica en aplicación de los principios señalados en los artículos 113, 209 de la Constitución Política, y demás normas concordantes.
Parágrafo 2. Las personas jurídicas de derecho privado que tengan a su cargo la prestación de servicios y que administren y gestionen infraestructuras críticas cibernéticas o presten servicios esenciales, podrán aplicar las disposiciones contenidas en este decreto, siempre que no resulten contrarias a su naturaleza y a las disposiciones que regulan su actividad o servicio. En cualquier caso, las personas jurídicas de derecho privado sujetarán sus actuaciones a las disposiciones especiales que regulen su actividad o servicio.
Parágrafo 3. Las entidades de regulación, en el marco de sus competencias, evaluarán la necesidad de expedir normas para la protección de las infraestructuras críticas cibernéticas o de los servicios esenciales de su sector. Las entidades de supervisión, en el marco de sus competencias, evaluarán la necesidad de proferir instrucciones a sus vigiladas para el mismo fin.
Artículo 2.2.21.1.1.3. Definiciones. Para efectos de lo establecido en este título, se tendrán en cuenta las siguientes definiciones:
Artículo 2.2.21.1.1.4. Lineamientos generales. Las autoridades deberán adoptar medidas técnicas, humanas y administrativas para garantizar la gobernanza de la seguridad digital, la gestión de riesgos de seguridad digital, la identificación y reporte de infraestructuras críticas cibernéticas y servicios esenciales, y la gestión y respuesta a incidentes de seguridad digital.
Artículo 2.2.21.1.1.5. Principios. Además de los principios previstos en los artículos 209 de la Constitución Política, 2° de la Ley 1341 de 2009,3° de la Ley 1437 de 2011,4° de la Ley 1581 de 2012, los atinentes a la Política de Gobierno Digital contenidos en el artículo 2.2.9.1.1.3 del Decreto 1078 de 2015, y los principios de gestión documental contenidos en el artículo 2.8.2.8.5.5 del Decreto 1080 de 2015, a los efectos del presente decreto se aplicarán los siguientes:
SECCIÓN 2
MODELO DE GOBERNANZA DE SEGURIDAD DIGITAL
Artículo 2.2.21.1.2.1. Modelo de Gobernanza de la Seguridad Digital. Las autoridades adoptarán el modelo de gobernanza descrito en la presente sección y, desde sus competencias, aplicarán los objetivos, principios, niveles e instancias, que permitan su materialización, con el fin de fortalecer la seguridad digital, la protección de las redes, las infraestructuras críticas, los servicios esenciales y los sistemas de información en el ciberespacio.
Parágrafo. El Ministerio de Tecnologías de la Información y las Comunicaciones señalará los lineamientos y estándares que deberán cumplir las autoridades para la adopción del modelo de gobernanza de que trata la presente sección, en los términos establecidos en el título 9 del Decreto 1078 de 2015.
Artículo 2.2.21.1.2.2. Objetivos del Modelo de Gobernanza de la Seguridad Digital: El Modelo de Gobernanza de la Seguridad Digital tiene como objetivo facilitar la participación, articulación e interacción de las múltiples partes interesadas para fortalecer las capacidades en la gestión de riesgos de seguridad digital y de esta manera lograr un abordaje integral que promueva el adecuado aprovechamiento de las oportunidades que ofrece el entorno digital.
Los objetivos específicos del Modelo de Gobernanza de Seguridad digital son los siguientes:
Artículo 2.2.21.1.2.3. Niveles del Modelo de Gobernanza de la Seguridad Digital: Los niveles que enmarcan las acciones para la implementación de la Gobernanza de Seguridad digital en el país, son los siguientes:
SECCIÓN 3
INSTANCIAS DEL MODELO DE GOBERNANZA DE LA SEGURIDAD DIGITAL
Artículo 2.2.21.1.3.1. Instancias de decisión del Modelo de Gobernanza: El modelo de Gobernanza de Seguridad Digital se implementará a partir de las siguientes instancias:
Artículo 2.2.21.1.3.2. Coordinación Nacional de Seguridad Digital: El Presidente de la República designará al responsable de la Coordinación Nacional de Seguridad Digital el cual será la persona o dependencia responsable de coordinar los asuntos de seguridad digital en el Gobierno Nacional.
Artículo 2.2.21.1.3.3. Funciones de la Coordinación Nacional de Seguridad Digital: Son funciones de la Coordinación Nacional de Seguridad Digital:
Artículo 2.2.21.1.3.4. Comité Nacional de Seguridad Digital: Créase el Comité Nacional de Seguridad digital como una instancia de coordinación interinstitucional que tendrá como propósito impulsar la política de seguridad digital del país, y la orientación de acciones tendientes a fortalecer el entorno digital.
Artículo 2.2.21.1.3.5. Conformación del Comité Nacional de Seguridad Digital. El Comité Nacional de Seguridad digital estará conformado por:
Parágrafo 1. Los delegados al Comité Nacional de Seguridad digital deberán pertenecer a los niveles directivo o asesor que tengan a su cargo funciones relacionadas con políticas y estrategias en seguridad digital en la respectiva entidad.
Parágrafo 2. El Comité Nacional de Seguridad Digital, ocasionalmente, podrá invitar a sus reuniones a representantes de otras entidades, expertos en la materia, academia, sociedad civil y a representantes del sector privado.
Parágrafo 3. El Comité Nacional de Seguridad Digital coordinará con las Ramas Legislativa y Judicial, los órganos de control, los autónomos e independientes, demás órganos del Estado e instancias existentes, las actividades que permitan garantizar la seguridad digital.
Artículo 2.2.21.1.3.6. Funciones del Comité Nacional de Seguridad Digital: Son funciones del Comité Nacional de Seguridad Digital:
Artículo 2.2.21.1.3.7. Grupos de Trabajo de Seguridad Digital: Son grupos de personas conformados por representantes asignados de las múltiples partes interesadas, en los términos señalados por el Comité Nacional de Seguridad Digital.
Los grupos tienen la función de coordinar y asesorar al Comité Nacional de Seguridad Digital desde el punto de vista táctico y procedimental en torno a la seguridad digital a nivel nacional. Los grupos harán recomendaciones detalladas para fortalecer la seguridad digital, aumentar la confianza digital, mejorar las capacidades, mejorar la cooperación internacional, y promoverán el respeto a los derechos humanos en las actividades realizadas en el marco de la seguridad digital.
El propósito de los grupos es apoyar la redacción de documentación técnica relevante y proporcionar información a la Coordinación Nacional de Seguridad digital sobre el estado de los aspectos individuales de la implementación de las políticas y estrategias nacionales en las organizaciones y en la sociedad con base en los requerimientos de la Coordinación Nacional de Seguridad digital.
Artículo 2.2.21.1.3.8. Mesas de Trabajo de Seguridad digital: Son espacios técnicos especializados, definidos por los grupos de trabajo, en los que se estudian y generan insumos a partir de la elaboración, ejecución, implementación y operación de los planes y/o documentación técnica requeridos en materia de Seguridad digital. Los espacios técnicos propenderán para que toda la actividad realizada sea bajo el respeto de los derechos humanos.
Parágrafo. El Ministerio de Tecnologías de la Información y las Comunicaciones orientará a los Comités Sectoriales y los Comités Departamentales, Distritales y Municipales de Gestión y Desempeño en la implementación y operación de las políticas de seguridad digital.
Artículo 2.2.21.1.3.9. Puestos de Mando Unificado de Seguridad Digital. Instancia de colaboración y coordinación interinstitucional que tiene como objetivo articular y facilitar la toma de decisiones estratégicas y operaciones necesarias, para prevenir o gestionar incidentes cibernéticos sobre las infraestructuras críticas los servicios esenciales, y que permiten la garantía de los derechos ciudadanos cuando actúan en el ciberespacio. Las autoridades que intervengan en los puestos de mando unificado lo harán para el cumplimiento coordinado de las funciones que señala la constitución, la ley, y bajo el respeto y protección de los derechos humanos.
SECCIÓN 4
IDENTIFICACIÓN DE INFRAESTRUCTURAS CRÍTICAS CIBERNÉTICAS Y
SERVICIOS ESENCIALES
Artículo 2.2.21.1.4.1. Infraestructuras críticas cibernéticas y servicios esenciales. El Ministerio de Tecnologías de la Información y las Comunicaciones, levantará el inventario de infraestructuras críticas públicas cibernéticas nacionales y de servicios esenciales en el ciberespacio. Dicho inventario se deberá actualizar como mínimo una vez cada dos años.
Para ello, deberá identificar los sectores y subsectores que cuentan con infraestructuras críticas cibernéticas o prestan servicios esenciales para el mantenimiento de las actividades económicas y sociales a partir de:
Parágrafo. Dentro de los doce (12) meses siguientes a la expedición del presente decreto, el Ministerio de Tecnologías de la Información y las Comunicaciones definirá la metodología para realizar el levantamiento del inventario de infraestructuras críticas cibernéticas y de servicios esenciales a cargo de las autoridades, y deberá incorporar las mejores prácticas que le sean aplicables. Dicha metodología incorporará el mecanismo a través del cual se seleccionará el representante de las autoridades de cada uno de los sectores catalogados como titulares de infraestructura crítica cibernética o de servicios esenciales, ante el Comité Nacional de Seguridad Digital.
Artículo 2.2.21.1.4.2. Vinculación de los sectores críticos y prestadores de servicios esenciales. Las autoridades que sean identificadas como titulares de infraestructuras críticas cibernéticas o prestadores de servicios esenciales para el mantenimiento de las actividades económicas y sociales del país deberán vincularse como tales ante el Ministerio de Tecnologías de la Información y las Comunicaciones -Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT).
El Ministerio de Tecnologías de la Información y las Comunicaciones señalará los lineamientos y estándares que deberán cumplir las autoridades para el proceso de vinculación, en los términos establecidos en el título 9 del Decreto 1078 de 2015.
El proceso de intercambio de información se realizará dando cumplimiento a la política de gobierno digital, particularmente, a los habilitadores de arquitectura, servicios ciudadanos digitales, y, seguridad y privacidad de la información.
Artículo 2.2.21.1.4.3. Obligaciones de seguridad de las autoridades titulares de infraestructura crítica, o que presten servicios esenciales. Las autoridades, definidos como titulares de infraestructura crítica o que presten servicios esenciales, propenderán por contar con un plan de seguridad digital, protección de las redes, las infraestructuras críticas cibernéticas, los servicios esenciales y los sistemas de información en el ciberespacio y deberán hacer periódicamente una evaluación del riesgo de seguridad digital. Para lo anterior, deben contar con normas, políticas, procedimientos, recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo, y en cumplimiento de las mejores prácticas y estándares que le sean exigibles.
Artículo 2.2.21.1.4.4. Afectación significativa. Para los efectos del presente Título, se entenderá por afectación significativa, aquella que se ocasiona a las Infraestructuras críticas cibernéticas, servicios esenciales e intereses nacionales para la seguridad digital, protección de las redes, de las infraestructuras, y los sistemas de información en el ciberespacio.
El Ministerio de Tecnologías de la información y las Comunicaciones determinará los umbrales y variables cualitativas o cuantitativas de una afectación significativa, teniendo en cuenta los siguientes factores:
La capacidad de la entidad para mantener un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de este.
SECCIÓN 5
MODELO NACIONAL DE ATENCIÓN Y GESTIÓN DE INCIDENTES.
Artículo 2.2.21.1.5.1. Equipos de respuestas a incidentes de seguridad digital: Para la atención y gestión de incidentes de seguridad digital el COLCERT -Equipo de Respuesta a Emergencias Cibernéticas de Colombia, el CSIRT Gobierno -Equipo de Respuesta a Incidentes de Seguridad digital de Gobierno, CSIRT -Defensa -Equipo de Respuesta a Incidentes de Seguridad digital del sector Defensa, el CSIRT del Sector Inteligencia, los CSIRT -Sectoriales Equipos de Respuesta a Incidentes de Seguridad digital de los sectores definidos como críticos o prestadores de servicios esenciales, atenderán las disposiciones señaladas en esta sección.
Artículo 2.2.21.1.5.2. El COLCERT -Equipo de Respuesta a Emergencias Cibernéticas de Colombia. El Ministerio de Tecnologías de la Información y las Comunicaciones coordinará el Equipo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT), cuya finalidad es asesorar, apoyar y coordinar a las múltiples partes interesadas para la adecuada gestión de los riesgos e incidentes digitales. Así mismo, el COLCERT es el punto único de contacto y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los incidentes de seguridad digital y a gestionar de forma activa las amenazas de seguridad digital, incluyendo la coordinación a nivel nacional e internacional de las distintas capacidades de respuesta a incidentes o Centros de Operaciones de Seguridad Digital existentes.
Parágrafo. El Ministerio de Tecnologías de la Información y las Comunicaciones señalará las actividades que debe cumplir el COLCERT -Equipo de Respuesta a Emergencias Cibernéticas de Colombia.
Artículo 2.2.21.1.5.3. Equipo de Respuesta a Incidentes de Seguridad Digital para entidades del sector gobierno (CSIRT GOBIERNO). El Ministerio de Tecnologías de la Información y las Comunicaciones coordinará el Equipo de Respuesta a Incidentes de Seguridad Digital para las autoridades a que hace referencia el artículo 2.2.9.1.1.2. del presente decreto, con el objetivo de prevenir y gestionar los incidentes de Seguridad digital, en el marco del Modelo de Seguridad y Privacidad de la Política de Gobierno Digital.
En los procesos estratégicos, misionales, de soporte y de mejora del CSIRT GOBIERNO, se deben adoptar y aplicar procedimientos, políticas, guías, protocolos, estándares, caracterizaciones y planes de acción que garanticen la adecuada operación del CSIRT -GOBIERNO, alineados al Modelo de Seguridad y Privacidad de la Política de Gobierno Digital del Ministerio de Tecnologías de la Información y las Comunicaciones. Lo anterior, con el objeto de generar un ecosistema seguro de intercambio de información técnica y de coordinación a nivel técnico, táctico y estratégico, que integre todas las instancias y las múltiples partes interesadas.
Parágrafo 1. El Ministerio de Tecnologías de la Información y las Comunicaciones señalará las actividades que debe desarrollar el Equipo de Respuesta a Incidentes de Seguridad digital para entidades del sector gobierno (CSIRT -GOBIERNO).
Parágrafo 2. El Equipo de Respuesta a Incidentes de Seguridad digital para entidades del sector gobierno (CSIRT -GOBIERNO), apoyará a todas las autoridades, en las etapas de prevención; protección y detección; respuesta y comunicación; recuperación y aprendizaje.
Artículo 2.2.21.1.5.4. Equipo de Respuesta a Incidentes de Seguridad cibernética de los sectores definidos como críticos o prestadores de servicios esenciales -(CSIRT -SECTORIALES). El Ministerio de Tecnologías de la Información y las Comunicaciones acompañará a las organizaciones definidas como críticas o prestadoras de servicios. esenciales, frente a la necesidad de crear Equipos de Respuesta a Incidentes de Seguridad cibernética de su sector, o cuando cuenten con estos.
Parágrafo. Los equipos de Respuesta a Incidentes de Seguridad cibernética, CSIRT -Sectoriales, sujetarán sus actuaciones a las disposiciones especiales que regulen su actividad o servicio. El Ministerio de Tecnologías de la Información y las Comunicaciones, a través del Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT) promoverá la participación, colaboración y cooperación de los equipos de Respuesta a Incidentes de Seguridad cibernética, CSIRT -Sectoriales, con el fin de intercambiar información para la gestión de amenazas e incidentes de Seguridad digital.
Artículo 2.2.21.1.5.5. Cooperación y coordinación de los CSIRT sectoriales. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con los equipos de respuesta a incidentes establecerá dentro de los doce (12) meses siguientes a la expedición del presente decreto, un protocolo que incorpore los lineamientos y estándares de gestión de incidentes de seguridad digital nacional, que determine los roles, responsabilidades, mecanismos de coordinación, canales de comunicación y tiempos de respuesta que deberán cumplir cada uno de los equipos.
Artículo 2.2.21.1.5.6. Modelo Nacional de Atención y Gestión de incidentes. El Ministerio de Tecnologías de la Información y las Comunicaciones definirá los lineamientos y estándares que debe incorporar el Modelo Nacional de Atención y Gestión de incidentes de seguridad digital, en los términos establecidos en el título 9 del Decreto 1078 de 2015.
Artículo 2.2.21.1.5.7. Cultura y apropiación. Las autoridades propenderán por fortalecer la educación, capacitación, concienciación y apropiación de la seguridad digital al interior de sus organizaciones y en sus relaciones con los distintos grupos de interés. Incentivarán la generación y desarrollo de capacidades a través de centros de excelencia en seguridad digital. Cuando Las autoridades apliquen modelos de madurez de seguridad digital considerarán la incorporación de la cultura organizacional como uno de los elementos a evaluar.
Artículo 2.2.21.1.5.8. Seguridad y privacidad en el proceso de identificación y gestión de incidentes. En el proceso de identificación y gestión de incidentes, Las autoridades deberán garantizar el cumplimiento de las normas de protección de datos personales contenidas en las leyes 1581 de 2012,1712 de 2014, y 1266 de 2008, cuando aplique, y las normas que la desarrollan, modifican, adicionan o sustituyan. En los casos en que las autoridades realicen recolección, procesamiento o tratamiento de datos personales, deberán adoptar medidas de responsabilidad demostrada para garantizar el debido tratamiento de dicha información, estas medidas deben ser apropiadas, efectivas, útiles, eficientes y demostrables.
Artículo 2.2.21.1.5.9. Plataforma Nacional de Notificación y Seguimiento de Incidentes de Seguridad Digital. El Ministerio de Tecnologías de la Información y las Comunicaciones por medio del COLCERT pondrá a disposición de todos los actores involucrados la Plataforma Nacional de Notificación y Seguimiento de Incidentes de seguridad digital.
5.1. Gestión de Incidentes de seguridad digital, con incorporación de taxonomía, criticidad y notificaciones a terceros.
5.2. Intercambio de información sobre ciberamenazas.
5.3. Análisis de muestras.
5.4. Registro y notificación de vulnerabilidades.
5.5. Comunicaciones seguras entre los actores involucrados en diferentes formatos y plataformas.
5.6. Intercambio masivo de datos.
5.7. Generación de estadísticas e informes agregados
Artículo 2.2.21.1.5.10. intercambio y reporte de información. Los equipos de respuesta a incidentes de seguridad digital deberán priorizar acciones para facilitar el intercambio de información entre estos, así como con otras partes interesadas sobre amenazas, vulnerabilidades e incidentes, con el fin de desarrollar capacidades de análisis y prevención de incidentes cibernéticos.
Parágrafo. Las autoridades deberán reportar los incidentes de seguridad digital a las autoridades competentes. Ante incidentes de seguridad digital, que puedan llegar a ser constitutivas de conductas punibles, se deberá priorizar la realización de la denuncia ante las autoridades competentes y en el marco de los procedimientos que para el efecto dispongan los órganos de investigación.
Afecta la vigencia de: [Mostrar]
Artículo 2. Vigencia. El presente Decreto rige a partir de su publicación en el Diario Oficial, y adiciona el Título 21 a la Parte 2 del Libro 2 del Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones, Decreto 1078 de 2015.
PUBLÍQUESE y CÚMPLASE
Dado en Bogotá D.C. a los 8 días del mes de marzo del 2022
IVAN DUQUE MARQUEZ
La Ministra de Tecnologías de la Información y las Comunicaciones,
CARMEN LIGIA VALDERRAMA ROJAS
El Director del Departamento Administrativo de la presidencia de la República
VICTOR MANUEL MUÑOZ RODRIGUEZ
El Director del Departamento Administrativo del Función Pública,
NERO JOSÉ ALVIS BARRANCO