El Poder Ejecutivo, a través de la Rendición de Cuentas promoverá la creación de un Registro Nacional de Incidentes de Ciberseguridad: ¿de qué se trata?, ¿cómo se instrumentará?

Así lo impulsa en el articulado enviado al Parlamento:

ARTÍCULO 69. Las entidades públicas y las entidades privadas vinculadas a servicios o sectores críticos del país, referidas en el artículo 149 de la Ley Nº 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley Nº 19.924, de 18 de diciembre de 2020, deberán: a) adoptar medidas de seguridad eficaces para proteger sus activos de información críticos de conformidad con los lineamientos indicados por la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC). b) designar un responsable de Seguridad de la Información y comunicarlo a AGESIC. c) planificar la adopción de las medidas necesarias para mitigar y mejorar los controles 36 existentes en la materia, y adoptar las medidas de prevención que determine la reglamentación. d) informar de forma completa e inmediata la existencia de un potencial incidente de ciberseguridad, de conformidad con los criterios establecidos por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), y poner a disposición toda la información que le sea requerida por éste. e) incorporar, en función de su nivel de madurez, el Marco de Ciberseguridad desarrollado por AGESIC. f) dar cumplimiento a otras medidas que se determinen por el Poder Ejecutivo a efectos de proteger los activos de información, siguiendo los estándares nacionales e internacionales en la materia. A efectos de facilitar el cumplimiento de lo dispuesto en el presente artículo, atribúyese a AGESIC el cometido de desarrollar, promover la implantación y monitorear una Estrategia Nacional de Ciberseguridad.

ARTÍCULO 70. Facúltase a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) a adoptar las siguientes medidas con respecto a las entidades que incumplan con las obligaciones establecidas en el artículo que antecede: a) requerir el ajuste de los procedimientos a la normativa vigente en materia de ciberseguridad en los plazos que se definan por AGESIC; b) requerir el cumplimiento de medidas específicas para la prevención de riesgos vinculados al sector de la entidad; c) requerir informaciones complementarias vinculadas a la ocurrencia de incidentes de seguridad, las medidas adoptadas y a la aplicación de la normativa en materia de ciberseguridad en general; d) apercibir, considerando la gravedad o reiteración del incumplimiento por parte de la entidad. La AGESIC comunicará en forma semestral a la Asamblea General el listado de las entidades que hayan incumplido con las obligaciones referidas en el artículo que antecede, y las medidas adoptadas en función de lo dispuesto en el presente artículo.

ARTÍCULO 71. Créase el Registro Nacional de Incidentes de Ciberseguridad, el que será administrado por la Agencia para el Desarrollo de Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), en el que se ingresarán los datos técnicos y antecedentes vinculados a los incidentes de ciberseguridad denunciados, además de los informes elaborados por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy). Las entidades públicas y las entidades privadas vinculadas a servicios o sectores críticos del país, referidas en el artículo 149 de la Ley Nº 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley Nº 19.924, de 18 de diciembre de 2020, deberán comunicar la ocurrencia de incidentes de ciberseguridad a la AGESIC en un plazo de veinticuatro horas de conocido y complementar la información necesaria para el registro efectivo a la brevedad. Autorízase a la AGESIC a comunicar datos básicos de la ocurrencia de los incidentes mencionados a otras entidades públicas o privadas pertenecientes a sectores o servicios críticos que puedan haberse visto afectados o se encuentren involucrados en el incidente. La información gestionada y elaborada por el CERTuy en el marco de incidentes de seguridad específicos y la incorporada en el citado Registro, podrá ser declarada reservada en función a lo dispuesto por el literal A) del artículo 9 de la Ley Nº 18.381, de 17 de octubre de 2008, cumpliendo con las demás estipulaciones del citado artículo.

ARTÍCULO 73. Autorízase a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) a aplicar la modalidad de contratación prevista en los artículos 7 y 8 de la Ley Nº 19.996, de 03 de noviembre de 2021 para contratar funcionarios que desarrollen tareas en el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy).
El Poder Ejecutivo podrá establecer un proceso de contratación simplificado a los fines indicados en el inciso anterior, previo asesoramiento de la AGESIC y la Oficina Nacional del Servicio Civil (ONSC).
Extiéndase la facultad conferida a AGESIC para el otorgamiento de la compensación prevista en el artículo 81 de la Ley Nº 19.355, de 19 de diciembre de 2015, a los funcionarios que desempeñen tareas en el CERTuy.
ARTÍCULO 74. Creáse el Comité de Gestión de la Estrategia Nacional de Ciberseguridad,
integrado por un representante de cada uno de los siguientes órganos: Ministerio de Defensa
Nacional (MDN), Ministerio del Interior (MI), Ministerio de Industria, Energía y Minería (MIEM), Banco de la República Oriental del Uruguay (BROU), Banco Central del Uruguay (BCU), Administración Nacional de Telecomunicaciones (ANTEL), Administración Nacional de
Combustibles, Alcohol y Portland (ANCAP), Administración Nacional de Usinas y Transmisiones Eléctricas (UTE), Secretaría de Inteligencia Estratégica de Estado (SIEE), Agencia de Evaluación y Monitoreo de Políticas Públicas (AMEPP), y Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), que lo presidirá.
Son cometidos del Comité:
a) Apoyar a AGESIC en la implantación y monitoreo de la Estrategia Nacional de
Ciberseguridad.
b) Colaborar con AGESIC en la puesta en práctica de las recomendaciones elaboradas por
el Consejo Asesor Honorario de Seguridad de la Información creado por el artículo 119 de
la Ley Nº 18.172, de 31 de agosto de 2007, en la redacción dada por el artículo 71 de la
Ley Nº 20.075, de 20 de octubre de 2022.
c) Proveer, en el marco de sus posibilidades, de personal técnico para facilitar la actuación
de AGESIC en el marco de las actividades referidas en los literales anteriores.
AGESIC podrá promover la creación de Comités ad hoc específicos integrados por entidades
públicas y privadas para asegurar la participación de múltiples actores en el diseño, implantación y monitoreo de la Estrategia Nacional de Ciberseguridad, así como en la elaboración y puesta en práctica de recomendaciones en la materia.
La reglamentación establecerá la forma de funcionamiento del Comité de Gestión y de los comités asesores ad hoc que se creen.
ARTÍCULO 75. Atribúyese al Consejo Asesor Honorario de Seguridad de la Información creado por el artículo 119 de la Ley Nº 18.172, de 31 de agosto de 2007, en la redacción dada por el artículo 71 de la Ley Nº 20.075, de 20 de octubre de 2022, la competencia de recomendar a la
Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento la aplicación de normas técnicas específicas en materia de ciberseguridad en las entidades públicas y en las
entidades privadas vinculadas a servicios o sectores críticos del país, referidas en el artículo 149
de la Ley Nº 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley Nº 19.924, de 18 de diciembre de 2020.
ARTÍCULO 76. Sustitúyese el último inciso del artículo 49 de la Ley Nº 19.996, de 03 de noviembre de 2021, por el siguiente:
«En el caso de convenios celebrados con Organismos Estatales fuera del Presupuesto
Nacional, los fondos percibidos en aplicación de los mismos constituirán «Recursos con
Afectación Especial», cuya titularidad y disponibilidad corresponderá en su totalidad a la
AGESIC, estando exceptuados de lo dispuesto en el artículo 594 de la Ley Nº 15.903, de
10 de noviembre de 1987. El producido de la recaudación será destinado al cumplimiento
de los cometidos establecidos en el inciso primero de este artículo.»

Fuente Imagen: https://facs.ort.edu.uy/