Servicios críticos. El Decreto Nº 66/025 establece que todas las organizaciones públicas y aquellas empresas privadas vinculadas a servicios esenciales deberán implementar el nuevo marco de ciberseguridad nacional. Así lo explicó Fabiana Santellán, gerente de Gestión y Auditoría de Seguridad de la Información de AGESIC, durante el AT Cybersecurity Summit.
Santellán precisó que ministerios, gobiernos departamentales, empresas públicas y organismos paraestatales están obligados a implementar el marco de ciberseguridad. En el caso del sector privado, la obligación recae exclusivamente sobre las compañías que proveen servicios considerados críticos, como telecomunicaciones, pagos o servicios financieros.
El decreto fija un plazo de tres años para la implementación, que comienza a contarse desde la publicación del marco en su última versión. “A partir de ahí hay tres años para implementar”, indicó Santellán. En ese período, cada entidad deberá avanzar de acuerdo con el perfil organizacional que le corresponda: avanzado, estándar o básico.
Las organizaciones catalogadas como avanzadas, por su nivel de criticidad y dependencia tecnológica, deberán cumplir en el primer año con al menos el 50% de los controles de prioridad alta definidos en la línea base del marco. Las de perfil estándar y básico tendrán exigencias más graduales, de acuerdo con su tolerancia a la indisponibilidad de servicios.
Sobre la fiscalización, Santellán aclaró que en los sectores que ya tienen reguladores específicos —como el sistema financiero o las telecomunicaciones— será cada regulador quien verifique el cumplimiento del marco, aunque en coordinación con AGESIC. En cambio, para el resto de los organismos estatales, la agencia será responsable de acompañar y supervisar la implementación.
La jerarca destacó que el enfoque no es sancionatorio inmediato, sino de acompañamiento progresivo. “Este período de 3 años de implementación no es que empezó a correr el plazo ahora y en 3 años AGESIC les va a ir a golpear la puerta a ver qué tanto lo implementaron o no, sino que van a haber instancias de diagnóstico inicial y de seguimiento”, señaló.
Además, informó que se publicarán materiales técnicos, guías y un calendario de charlas para apoyar a las instituciones en el proceso de adopción. La meta es que todas las organizaciones obligadas avancen en el cumplimiento del decreto con planes de acción claros y adaptados a su realidad.
¿Qué cosas deberán hacer las empresas según el nuevo decreto?
El Decreto Nº 66/025 establece que las empresas privadas vinculadas a servicios críticos —como energía, transporte, agua, salud, finanzas o telecomunicaciones— deberán cumplir una serie de obligaciones en ciberseguridad.
Esto implica contar con una persona responsable de la seguridad informática dentro de la organización, capaz de tomar decisiones técnicas y coordinar acciones cuando se detecten problemas. También tendrán que disponer de equipos o proveedores especializados para resolver incidentes rápidamente y conservar registros de lo que ocurre en sus sistemas por al menos un año, lo que permitirá rastrear el origen de un ataque o una falla.
Además, el decreto exige avisar al CERTuy (el Centro de Respuesta a Ataques Informáticos) en un plazo máximo de 24 horas cada vez que se detecte un incidente de ciberseguridad. A su vez, las empresas deberán realizar auditorías periódicas siguiendo el marco de ciberseguridad nacional, enviar resúmenes de los resultados a AGESIC y, en caso de detectar debilidades, presentar un plan de acción para corregirlas en plazos definidos. También deberán garantizar que los proveedores tercerizados cumplan con los mismos estándares de seguridad.
En definitiva, las compañías incluidas en este marco estarán obligadas a prevenir, detectar y responder a incidentes digitales de forma organizada, a demostrar que aplican controles adecuados y a colaborar con las autoridades cuando un problema ocurra. El objetivo es que servicios esenciales para la población y la economía del país sean más resistentes a los riesgos cibernéticos.
