Mediante la Disposición N°7/2021 (la “Disposición”) de la Dirección Nacional de Ciberseguridad (la “Dirección”), publicada el pasado 19 de agosto en el Boletín Oficial:

1. Se crea el “Registro de Puntos Focales en Ciberseguridad del Sector Público Nacional” (el “Registro”).

2. Se establece que las máximas autoridades de las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N°24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y a los proveedores que contraten con esas entidades y jurisdicciones, deberán informar mediante Comunicación Oficial del Sistema de Gestión Documental Electrónica (GDE) a la Dirección los nombres, apellidos, dirección de correo electrónico institucional, CUIT/CUIL y teléfono de contacto del agente al que se le hubiera asignado o asignará funciones de ciberseguridad en su jurisdicción, en los plazos establecidos en el artículo 5° de la Decisión Administrativa N°641/2021 (la “Decisión”). Transcurrido dicho plazo, los agentes designados dispondrán de 30 días para ingresar sus datos en el Registro. El mismo procedimiento deberá ser aplicado toda vez que las funciones aludidas sean asignadas a otro agente.

3. Se instruye que los Planes de Seguridad referidos en los artículos 3° y 4° de la Decisión, deberán consignar para cada una de las 14 secciones contenidas en el título V del Anexo denominado “Directrices”, si el organismo ya cuenta con un plan establecido y con medidas de seguridad implementadas, debiendo incluir en ese caso, una descripción de las mismas. En caso contrario, deberá indicar el plazo en el que se concretarán o los motivos por los que no corresponde su despliegue. Adicionalmente y para cada sección, se deberá incluir, de corresponder, los principales obstáculos que enfrenta el organismo para la instrumentación o la continuidad de las medidas requeridas. Los Planes de Seguridad deberán ser remitidos a la Dirección a través del Sistema de GDE dentro de los plazos establecidos en el artículo 4° de la Decisión.

4. Se establece que las entidades y jurisdicciones alcanzadas por la Decisión deben reportar los incidentes de seguridad que se produzcan en sus ámbitos, dentro de las 48 horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia y si hubiera, cuando se produzcan escalamientos significativos. Los incidentes de seguridad a reportar son aquellos que pueden tener un impacto potencial o real adverso sobre las infraestructuras tecnológicas, los sistemas de información y los datos que gestionen, especialmente aquellos que comprometan datos personales o críticos del organismo, entidad o jurisdicción, representen un incumplimiento de la normativa vigente o afecten los servicios vinculados a funciones sustantivas de su competencia. Los reportes deberán ser remitidos mediante el formulario publicado en el sitio web del CERT.ar: https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad/cert-ar/reportar-un-incidente. Asimismo, una vez gestionado el incidente, se remitirá a través del mencionado sitio, un informe detallado que incluya el impacto estimado y las medidas adoptadas durante el ciclo de vida del incidente, para la remediación y recuperación de los servicios y/o de la información afectada.

5. Se informa que la Dirección informará periódicamente en el sitio web https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad, el avance en el cumplimiento de la Decisión por parte de los organismos, jurisdicciones y entidades alcanzados.

Por Oscar Aguilar Valdez, Juan A. Stupenengo, Florencia Rosati, Emilio Beccar Varela