La Rendición de Cuentas que el Poder Ejecutivo envió al Parlamento introduce varias obligaciones nuevas en materia de ciberseguridad. La principal alcanza a todo el Estado: cada organismo público deberá elaborar un informe anual sobre su situación en la materia y remitirlo a la AGESIC.
El artículo 22 obliga a cada organismo del Estado a hacer, una vez por año, una especie de chequeo de su propia ciberseguridad y a presentarlo por escrito. Ese informe va primero a la máxima autoridad del organismo, antes del 1° de marzo, y de ahí tiene sesenta días para llegar a Agesic (Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento).
El informe tiene que responder básicamente a dos preguntas. La primera: en qué está fallando y qué puede mejorar. Para medirlo se usa el Marco de Ciberseguridad Uruguay (MCU), que es el conjunto de reglas y controles mínimos que el Estado define como estándar, y se tienen en cuenta las alertas graves que la AGESIC le haya mandado a ese organismo durante el año.
La segunda: qué va a hacer para corregirlo. Cada organismo debe presentar un plan con las medidas más urgentes, ordenadas por prioridad. La AGESIC es la que fija cómo tiene que estar armado ese informe y qué se considera prioritario.
Si un organismo entrega un informe que no cumple con lo pedido, la AGESIC le manda recomendaciones y le da otros sesenta días para rehacerlo. Si aun así no cumple, la agencia puede aplicar la sanción prevista en el artículo 79 de la Ley 20.212.
Nuevas exigencias de ciberseguridad para el mercado de valores
El artículo 362 le da al Banco Central del Uruguay la potestad de fijar las reglas para que las distintas bolsas de valores y los demás mercados donde se compran y venden valores puedan conectarse entre sí y operar de forma compatible. La idea es que quien opera en un mercado pueda acceder también a los otros.
Al abrir esa puerta, la ley exige que el Banco Central establezca condiciones de seguridad para que ese cruce de sistemas no se transforme en un riesgo. En concreto, la regulación deberá contemplar ciberseguridad, resiliencia operativa —la capacidad de seguir funcionando y recuperarse rápido ante un ataque o una falla— y continuidad del negocio, es decir, que la operativa no se caiga.
Esas exigencias tienen que ser acordes al tamaño y al riesgo de cada infraestructura. Además, el Banco Central podrá establecer excepciones cuando sean necesarias para preservar la estabilidad, la integridad y la seguridad de los mercados involucrados.
Qué se va a controlar en el documento de identidad digital
El proyecto adecúa la denominación de la "Cédula de Identidad", que pasa a llamarse Documento Nacional de Identidad, y habilita a la Dirección Nacional de Identificación Civil a expedirlo en formato digital. Será accesorio al documento físico y no podrá tener una vigencia mayor.
Su emisión exigirá la comparecencia personal del titular y la validación de identidad en las mismas condiciones que el documento físico, e incluirá la verificación biométrica contra las fuentes oficiales.
En materia de seguridad, la AGESIC —a través de su Unidad de Certificación Electrónica— propondrá los estándares de aplicación preceptiva para la validez, seguridad y verificación de los documentos de identificación digitales, y ejercerá el contralor de esos estándares.
Fondos para formar especialistas en ciberseguridad en la UTEC
El artículo 332 reasigna 23 millones de pesos en la Universidad Tecnológica del Uruguay (UTEC) para contratar docentes en el marco del programa Uruguay Global II, orientado a las destrezas digitales avanzadas.
A través de ese programa, la UTEC dicta posgrados y cursos de educación continua en competencias digitales de punta, entre ellas ciberseguridad, inteligencia artificial, ciencia de datos y otras tecnologías emergentes.
Dos cargos nuevos con cometidos de ciberseguridad
El artículo 160 faculta al Ministerio de Ganadería, Agricultura y Pesca a contratar un Director de Seguridad de la Información, que deberá acreditar idoneidad. El contrato será por un año, renovable, y quien lo ocupe no adquirirá la calidad de funcionario público.
Por su parte, el nuevo Instituto Nacional de Reinserción —creado como servicio descentralizado— incluye entre los cometidos de su Secretaría General diseñar, administrar y mantener los sistemas de tecnología, interoperabilidad y ciberseguridad del organismo.