N. ° - La Asamblea Legislativa de La República de El Salvador, Considerando

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 28

N.

° ____
LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,
CONSIDERANDO:

CONSIDERANDO QUE:
I. Que, en el Artículo 1 de la Constitución de la República reconoce a la persona
humana como el origen y el fin de la actividad del Estado y que es obligación del
Estado asegurar a los habitantes de la República, el goce de la libertad, la salud, la
cultura, el bienestar económico y la justicia social.

II. Que, en la República de El Salvador, en los últimos años se ha emitido nueva


legislación que regula desde diferentes materias el uso de las Tecnologías de la
Información y la Comunicación.

III. Que, las Tecnologías de la Información y Comunicaciones (TIC) son


fundamentales para la realización de las actividades económicas y sociales de la
Republica y que cualquier vulnerabilidad en los sistemas informáticos que soportan
los servicios que se ofrecen a través de estas, representan un grave riesgo para
que se materialicen amenazas e incidentes de ciberseguridad que pueden
interrumpir total o parcialmente las actividades de toda índole en el país,
socavando la institucionalidad y generando pérdidas financieras.

IV. Que. es necesario definir una estrategia de ciberseguridad nacional que permita
establecer las acciones pertinentes que mitiguen los riesgos cibernéticos y se
aseguren los sistemas informáticos de tal forma que se brinde confianza a la
población para que pueda utilizar los servicios digitales.

V. Que, es de alta importancia definir una entidad del estado que se encargue de
elaborar las estrategias de ciberseguridad y que coordine todos los esfuerzos para
aumentar las capacidades de ciberseguridad de todas las entidades públicas o
privadas dentro del país.

VI. Que, hay sectores regulados por el estado que han generado normativas
específicas de ciberseguridad y a futuro podrían crearse otras normativas similares
para otros sectores, para lo cual se debe establecer los requisitos mínimos cuyos
efectos sean equivalentes a los de las obligaciones que establece esta ley.

VII. Que, es de especial interés establecer un marco de trabajo de ciberseguridad que


norme la adopción de medidas para prevenir, gestionar y dar respuesta efectiva a
los incidentes de ciberseguridad, así como también regular los aspectos relativos a
la ciberseguridad de las infraestructuras críticas.

VIII. Que, es requerido que se establezcan obligaciones para los administradores de


infraestructuras críticas con la finalidad de aumentar las capacidades de
ciberseguridad y resiliencia que garanticen minimizar los riesgos de
indisponibilidad de los servicios digitales.

IX. Que, se debe disponer de recursos técnicos, financieros y humanos para


garantizar que se puedan realizar de manera efectiva y eficiente las atribuciones
establecidas en la presente ley.

X. Que, es de vital importancia para el país el contar con un procedimiento que


permita determinar cuáles sistemas informáticos cumplen con los criterios para ser
considerados parte de las infraestructuras críticas del país y sobre los cuales se
brindan servicios esenciales.
POR TANTO,

en uso de sus facultades constitucionales y a iniciativa de las diputadas y los diputados:


_____

Decreta, la siguiente:

LEY DE CIBERSEGURIDAD

TITULO I
DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
OBJETO Y ÁMBITO DE APLICACIÓN

Objeto de la Ley
Art. 1.- La presente ley tiene por objeto regular las actividades de prevención,
gestión y respuesta a las amenazas e incidentes de ciberseguridad y cualquier otro
aspecto relacionado a la ciberseguridad de las infraestructuras críticas en la Republica de
El Salvador.

Ámbito de aplicación
Art. 2.- La presente ley será aplicable a toda la administración pública y entidades
privadas que administran infraestructuras críticas, así como a las personas naturales o
jurídicas, sean nacionales o extranjeras ubicadas en la Republica de El Salvador o fuera
del territorio nacional pero que sus actividades realizadas por medio de las Tecnologías de
Información y Comunicaciones (TIC) tengan incidencia sobre las personas o instituciones
dentro del territorio nacional.

Definiciones
Art. 3.- En la presente Ley se estipula las siguientes definiciones:

● Amenaza: Cualquier cosa, persona, hecho o acontecimiento que constituye una


posible causa de riesgo o perjuicio para alguien o algo. Una amenaza es la posibilidad
de ocurrencia de cualquier tipo de evento o acción que puede producir un daño
(material o inmaterial) sobre los elementos de un sistema o las personas a las cuales
afecta. En informática se refiere a toda aquella acción que aprovecha una
vulnerabilidad para atacar o invadir un sistema informático.

● Ciberseguridad: Conjunto de herramientas, políticas, conceptos de seguridad,


salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para
proteger los activos de la organización y los usuarios en el ciberespacio.

● Evento informatico: Es un hecho observable en un momento dado o acontecimiento


en un sistema informático, que en caso de materializarse cambiaría un conjunto
particular de circunstancias del sistema.

● Incidente: Cualquier acción cometida en equipos de cómputo que tiene como


resultado un efecto real o potencialmente adverso en un sistema de información y/o la
información que existe en el mismo. Se refiere a cualquier acto que viole las políticas
de seguridad de la información de la organización.

● Indicadores de compromiso: Son todas aquellas informaciones relevantes que


describen cualquier incidente de ciberseguridad, evento, actividad y/o artefacto
malicioso, mediante el análisis de sus patrones de comportamiento.

● Infraestructuras criticas: Sistemas y redes de información que soportan servicios


esenciales para el desarrollo de la sociedad y que en ocasión de fallo podrían tener un
impacto serio en la salud, seguridad física y operacional, así como la economía y el
bienestar de los ciudadanos, o el efectivo funcionamiento del gobierno y la economía
del país.

● Operador: Es la entidad u organismo responsable del funcionamiento diario de una


infraestructura crítica. En los casos donde la infraestructura crítica es propiedad
conjunta de más de una persona u operada por más de una entidad, incluye a cada
operador de manera individual o en su conjunto.

● Resiliencia: En informática se refiere a la habilidad de prepararse para adaptarse,


soportar, y rápidamente recuperarse de interrupciones resultantes de ataques
deliberados, amenazas o incidentes accidentales u ocurridos naturalmente.

● Riesgo cibernético: es la exposición a una situación en el ciberespacio donde existe


una probabilidad de sufrir un daño o de estar en peligro. Se define como cualquier
posibilidad de afectación o daño (material o inmaterial) de una organización o de una
persona en particular, derivado de algún tipo de falla o vulnerabilidad de los sistemas
de tecnología de información o los medios utilizados para accederlos.

● Servicio esencial: Es todo servicio que resulte ser necesario para la seguridad
nacional, la defensa de la soberanía, la economía del país, las relaciones exteriores, la
salud y el mantenimiento del orden público.

● Sistema informático: Por sistema informático se entenderá todo dispositivo aislado o


conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de
alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de
un programa.

● Vulnerabilidad: Es cualquier debilidad en un sistema informático que puede ser


utilizada por una o más amenazas de ciberseguridad y comprometer la seguridad de
este.

TITULO II
ORGANIZACIÓN Y ADMINISTRACIÓN
CAPÍTULO I
OFICINA SALVADOREÑA DE CIBERSEGURIDAD

Autoridad

Art. 4.- Créase la Oficina Salvadoreña de Ciberseguridad, de hoy en adelante se


denomina La Oficina, bajo la administración de la Agencia Nacional de Innovación,
Ciencia y Tecnología como entidad especializada para el ejercicio de las atribuciones y
deberes que establece la presente ley y demás normativas relativas a la gobernanza de la
ciberseguridad en el país.

Competencia
Art. 5.- La Agencia Nacional de Innovación , Ciencia y Tecnología a través de La
Oficina Salvadoreña de Ciberseguridad es la entidad competente para establecer las
acciones de coordinación nacional para la gestión de la ciberseguridad; elaborar y
ejecutar la estrategia nacional de ciberseguridad; dictar normas para el aseguramiento de
las infraestructuras críticas y verificar su aplicación; así como la emisión de los
reglamentos y políticas relacionadas con la gestión de riesgos cibernéticos y los procesos
de manejo de incidentes de ciberseguridad. También es competente para conocer y hacer
cumplir las sanciones por el incumplimiento de la presente ley.

Atribuciones

Art. 6.- La Oficina Salvadoreña de Ciberseguridad tiene la función esencial de velar


por el cumplimiento de los mandatos previstos en la presente ley, su reglamento de
aplicación y las normativas dictadas por la Junta Directiva de la Agencia Nacional de
Innovación, Ciencia y Tecnología, a fin de prevenir, gestionar y responder a los incidentes
y amenazas de ciberseguridad en la Republica de El Salvador, promover la creación de
equipos de respuesta a incidentes de ciberseguridad, elaborar y actualizar la estrategia
nacional de ciberseguridad y promover la participación de todos los sectores del país en la
mejora de las capacidades de ciberseguridad.
La Oficina Salvadoreña de Ciberseguridad, propondrá a la junta directiva de la Agencia
Nacional de Innovación, Ciencia y Tecnología, las normas necesarias para llevar a cabo
los propósitos y disposiciones de esta ley, para que sean aprobadas por la Agencia. Sin
limitación a lo previamente indicado, podrá proponer normas con respecto a todos o
cualquier de los siguientes asuntos:
1. El procedimiento para la designación de una infraestructura como critica.
2. Las normas técnicas o de otro tipo relacionadas con la ciberseguridad que deben
mantenerse respecto de las infraestructuras críticas.
3. Las responsabilidades y deberes del operador de una infraestructura critica.
4. El tipo de cambios que se consideran sustanciales en el diseño, la configuración,
la seguridad o las operaciones de una infraestructura crítica y que debe ser
notificados por el operador de la infraestructura critica a la Oficina Salvadoreña de
Ciberseguridad.
5. El tipo de incidentes de ciberseguridad que deben ser notificados a la Oficina
Salvadoreña de Ciberseguridad.
6. Los requisitos y la forma de llevar a cabo las auditorias de ciberseguridad y las
evaluaciones de riesgo de ciberseguridad que debe llevar a cabo el operador de
una infraestructura critica.
7. La forma y naturaleza de los ejercicios de ciberseguridad que se pueden realizar.
8. Las facultades para investigar y prevenir incidentes de ciberseguridad.
9. Las medidas correctivas que se deben tomar para dar respuesta a las amenazas e
incidentes de ciberseguridad.
10. El establecimiento de estándares en relación con los productos o servicios de
ciberseguridad que se provean a nivel nacional.
11. Todos los asuntos o aspectos que según la presente ley se requieran o que sean
necesarios o convenientes para ser prescritos para dar efecto a esta ley.

Carácter vinculante

Art. 7.- Las decisiones que en materia de ciberseguridad sean tomadas por la
Oficina Salvadoreña de Ciberseguridad, tendrán carácter obligatorio para todos los entes
y órganos de la administración pública, así como las entidades privadas que administran
infraestructuras críticas.

Equipo consultivo
Art. 8.- La Oficina Salvadoreña de Ciberseguridad estará asesorada por un equipo
especializado y consultivo que se denominará Comité de Ciberseguridad, que hará los
análisis y recomendaciones técnicas que sean requeridas para que la Junta Directiva de
la Agencia Nacional de Innovación, Ciencia y Tecnología tenga el soporte necesario para
la toma de decisiones.

Organización

Art. 9.- La Oficina contará con todo lo necesario para la conformación de la


estructura organizativa requerida para el desempeño de sus funciones, y su definición
estará añadida en el capítulo correspondiente dentro del Reglamento respectivo de la
Agencia Nacional de Innovación, Ciencia y Tecnología.

Director de la Oficina

Art. 10.- El director ejecutivo de la Oficina Salvadoreña de Ciberseguridad será


seleccionado por la Junta Directiva de la Agencia Nacional de Innovación, Ciencia y
Tecnología y este será el máximo representante ejecutivo de Ciberseguridad a nivel
nacional debiendo cumplir los siguientes requisitos:
1. Ser salvadoreño.
2. Ser mayor de 30 años.
3. Ser de reconocida honorabilidad y acreditar especialidad, poseer título universitario
en las materias relacionadas con el área de competencia, más de diez años de
experiencia profesional, competencia notoria e idoneidad en las materias
relacionadas a la Innovación y Tecnologías de la Información y Comunicación, sin
conflicto de intereses en las áreas afines.
4. Estar en el goce de los derechos ciudadanos y haberlo estado en los diez años
anteriores al nombramiento de su cargo.
5. Estar solvente administrativamente con la Corte de Cuentas de la República y el
Ministerio de Hacienda. En caso de profesiones regladas, no haber sido
condenado por el organismo de vigilancia de la profesión en los últimos diez años.
6. No haber sido condenado por delito.

Impedimentos

Art. 11.- No podrán ejercer la función de la dirección de la Oficina las siguientes


personas:
1. Funcionarios de elección popular y de segundo grado.
2. Designados a la Presidencia, los ministros y viceministros de Estado, los
funcionarios diplomáticos o consulares y en general los directores del Gabinete de
Gobierno, ni los titulares de instituciones autónomas.
3. El cónyuge o parientes, dentro del cuarto grado de consanguinidad o segundo de
afinidad de los funcionarios mencionados en los numerales 1) y 2) de este artículo.
4. Los que, por cualquier causa, sean legalmente incapaces.

Designación

Art. 12.- La designación del Director Ejecutivo de la Oficina Salvadoreña de


Ciberseguridad será efectuada por el Director Ejecutivo de la Agencia Nacional de
Innovación, Ciencia y Tecnología en base a una lista de candidatos idóneos propuestos
por el Comité de Ciberseguridad

Remoción
Art. 13.- El director de la Oficina podrá ser removido o sustituido en sus funciones,
en cualquiera de los casos siguientes:

1. Dejar de cumplir los requisitos de su nombramiento.


2. Incompatibilidad o conflicto de interés sobrevenidos en el ejercicio del cargo.
3. Incumplimiento comprobado de las obligaciones y funciones inherentes al cargo.
4. Prevalerse del cargo para ejercer influencias indebidas.
5. Haber sido condenado judicialmente por delitos dolosos.
6. Haber perdido o sido suspendido en sus derechos de ciudadano.
7. Incapacidad física o mental que le imposibilite para el ejercicio del cargo.

Corresponderá a la Junta Directiva de la Agencia Nacional de Innovación, Ciencia y


Tecnología tramitar la remoción o sustitución en sus funciones.

Atribuciones de la Dirección

Art. 14.- La dirección ejecutiva de la Oficina tendrá las siguientes atribuciones:

1. Diseñar las políticas y estatutos, reglamentos y manuales organizativos y de


funciones de la Oficina.
2. Administrar los recursos de la Oficina de acuerdo con la planificación anual.
3. Elaborar el plan de acción y revisión de la estrategia Nacional de Ciberseguridad,
que será aprobado por la Junta de Directores de la Agencia Nacional de
Innovación, Ciencia y Tecnología.
4. Disponer las medidas de seguridad necesarias y suficientes para proteger la
información o datos que, por sus características, deban permanecer en condición
de confidencialidad, con el objeto de prevenir el uso indebido de estos.
5. Convocar las sesiones del Comité de Ciberseguridad y determinar los asuntos a
ser incorporados en la agenda.
6. Presentar informes periódicos de las actividades realizadas y estadísticas
recopiladas y enviar anualmente la memoria de labores de la Oficina a la Junta de
Directores de la Agencia Nacional de Innovación, Ciencia y Tecnología para su
conocimiento y aprobación.
7. Asegurar que la Oficina Salvadoreña de Ciberseguridad cumpla con el rol de
intercambio de información sobre indicadores de compromiso.
8. Ejecutar cualquier otra función señalada por la Junta de Directores de la Agencia
Nacional de Innovación, Ciencia y Tecnología o los reglamentos de la presente ley.

CAPÍTULO II
COMITÉ DE CIBERSEGURIDAD

Objetivo del Comité

Art. 15.- Créase el Comité de Ciberseguridad como un ente consultivo y de


asesoría, cuyas recomendaciones serán ratificadas en la Junta de Directores de la
Agencia Nacional de Innovación, Ciencia y Tecnología.

Composición

Art. 16.- El Comité de Ciberseguridad, de hoy en adelante será denominado el


Comité, estará conformado por delegados y sus respectivos suplentes de las siguientes
instituciones:

1. Secretaría de Innovación de la Presidencia.


2. Ministerio de la Defensa Nacional.
3. Ministerio de Justicia y Seguridad Publica.
4. Ministerio de Hacienda.
5. Ministerio de Relaciones Exteriores.
6. Fiscalía General de la República.
7. Procuraduría General de la República.
8. Policía Nacional Civil.
9. Superintendencia General de Electricidad y Telecomunicaciones.
Los mecanismos de designación de delegados participantes del Comité estarán
establecidos en su respectivo reglamento.
Gobernanza

Art. 17.- El Comité de Ciberseguridad estará representado por un Presidente de


Comité, el cual será elegido entre los miembros del mismo por votación y con mayoría
simple; para un periodo de 3 años reelegible hasta dos periodos consecutivos.

Art. 18.- El Director Ejecutivo de la Oficina tendrá las funciones de secretario


ejecutivo, que tendrá participación en las decisiones sin embargo no tendrá derecho a
voto.

Art. 19.- Ante la ausencia de un miembro pleno del Comité, a éste lo reemplazará su
suplente; en caso de que ninguno de los dos pueda participar, el encargado de la
coordinación de planificación institucional de la organización a la que representa el
ausente, asumirá la participación, pero no tendrá voto en las decisiones dentro de las
sesiones que participe.
Art. 20.- El mecanismo de funcionamiento de las sesiones, actas y seguimiento de
acuerdos estará bajo el mecanismo administrativo.

Art. 21.- Las decisiones del Comité serán tomadas por mayoría simple y
considerando que toda decisión que sea tomada por el Comité deberá ser debidamente
motivada.

Delegados observadores

Art. 22.- El Comité tendrá la facultad de incluir a expertos institucionales,


multisectoriales, internacionales, o representaciones de gremiales empresariales,
academia o del Estado en las convocatorias que estime conveniente.

Atribuciones del Comité

Art. 23.- Serán atribuciones del Comité de Ciberseguridad las siguientes:


1. Actualizar periódicamente la Estrategia Nacional de Ciberseguridad a razón de tres
años, para someterla a aprobación de la Junta Directiva de la Agencia Nacional de
Innovación, Ciencia y Tecnología.
2. Definir políticas, establecer directrices y elaboración de propuestas de normas o
planes de acción para someterlas a la aprobación de la Junta Directiva de la
Agencia Nacional de Innovación, Ciencia y Tecnología.

CAPÍTULO III
COORDINACIONES CON OTROS ORGANISMOS Y RESPONSABILIDADES DE LA
CIBERSEGURIDAD

De las coordinaciones sectoriales

Art. 24.- Los entes y órganos del estado podrán crear de forma individual o conjunta
equipos de respuesta a incidentes cibernéticos (CSIRT) sectoriales, los cuales
coordinarán con la dependencia especifica dentro de la Agencia Nacional de Innovación,
Ciencia y Tecnología, los objetivos de velar por la ciberseguridad, el cumplimiento de la
presente ley, los reglamentos de aplicación, así como de las normativas dictadas por la
Oficina Salvadoreña de Ciberseguridad, en el marco de sus respectivos sectores.
Los CSIRT sectoriales serán aprobados por la Agencia Nacional de Innovación, Ciencia y
Tecnología y los requisitos para su implementación, así como su funcionamiento, estará
regulado en el reglamento respectivo que para este propósito emita la Agencia.
Colaboración de las entidades de persecución penal con la ciberseguridad
Art. 25.- Toda autoridad competente que en el curso de una investigación de un
ciberdelito considere que el mismo puede constituir una amenaza de ciberseguridad, debe
informar de manera inmediata a la Oficina Salvadoreña de Ciberseguridad y brindar la
colaboración pertinente
De las responsabilidades

Art. 26.- Cada uno de los entes y órganos del sector público es responsable de la
prevención, detección, respuesta y recuperación de los incidentes de ciberseguridad del
que sea víctima, así como de la implementación de las posibles soluciones frente a
futuras amenazas e incidentes. En caso de incumplimiento, el responsable podrá ser
sometido a los procesos sancionadores administrativos correspondientes,
independientemente de las acciones civiles y penales que pudiera generar su actuar.
Responsabilidad del proceso sancionador

Art. 27.- El proceso sancionador administrativo estará a cargo de la Agencia


Nacional de Innovación, Ciencia y Tecnología, respetando el debido proceso y los
principios recogidos en la Ley de Procedimientos Administrativos.
Responsables de investigación de amenazas e incidentes

Art. 28.- La investigación del origen de las amenazas e incidentes de ciberseguridad


y la delimitación de responsabilidades estará a cargo de las fuerzas del orden público,
cuerpos de seguridad y organismos de investigación de delitos, según lo dispongan las
leyes de la Republica.

CAPÍTULO IV
CONFIDENCIALIDAD Y EL DEBER DE SECRETO

De la información reservada por seguridad del estado

Art. 29.- Debido al interés público preponderante, se declaran clasificadas como


informaciones reservadas y por ende sujetas a las limitaciones y excepciones dispuestas
en la Ley de Acceso a la Información Pública (LAIP), los datos producidos por la Oficina
Salvadoreña de Ciberseguridad, que no representen indicadores de compromiso. Se
podrán obtener a solicitud del Ministerio Publico, a raíz de una investigación penal, sin
perjuicio de lo que dispone la LAIP.

Confidencialidad

Art. 30.- Los funcionarios o empleados de la Oficina Salvadoreña de Ciberseguridad


tienen la obligación de guardar el secreto y confidencialidad que requieren los asuntos
relacionados con su trabajo, debido a su naturaleza o en virtud de instrucciones
especiales, aun después de haber cesado en el cargo.
Sanción a la inobservancia de la confidencialidad y el deber de secreto.

Art. 31.- Los funcionarios o empleados que violen la confidencialidad y el deber de


secreto establecido en esta ley serán sancionados con prisión de tres a seis años, sin
perjuicio de las acciones administrativas o civiles que puedan ser perseguidas.

CAPÍTULO V
ESTRATEGIA NACIONAL DE CIBERSEGURIDAD
La Estrategia
Art. 32.- La Estrategia Nacional de Ciberseguridad, y en adelante denominada
Estrategia, dará respuesta a la Política Nacional de Ciberseguridad a través de acciones
concretas y designaciones por parte de cada uno de los miembros que participen en el
entorno de Ciberseguridad. En ella se establecerán metas medibles y alcances tanto de
beneficiarios, tiempos de ejecución, inversión, e instrumentos tanto legales, tecnológicos y
normativos que se requieran.
Proceso de elaboración de la Estrategia
Art. 33.- El borrador de la Estrategia será elaborado y presentado por el Comité de
Ciberseguridad a la Oficina Salvadoreña de Ciberseguridad, que la someterá a
consideración de la Junta Directiva de la Agencia, y que a su vez someterá a consulta
pública el documento de la Estrategia, para obtener aportaciones de todos los sectores de
la sociedad. Una vez se hayan incorporado las observaciones pertinentes provenientes de
la consulta pública, la Estrategia deberá ser ratificada por la Junta Directiva de la Agencia
Nacional de Innovación, Ciencia y Tecnología para que sea aprobada.

Máximo instrumento respecto a ciberseguridad


Art. 34.- La Estrategia Nacional de Ciberseguridad será el instrumento de más alta
consideración respecto a todo aspecto relacionado a ciberseguridad y su entorno, con
cobertura nacional y multisectorial. Por lo tanto, todas las recomendaciones, atribuciones,
alcances y sanciones serán tomadas en cuenta y aplicadas en conjunto con otras leyes
aplicables.

TITULO III
DE LAS INFRAESTRUCTURAS CRITICAS
CAPITULO I
FUNDAMENTOS Y DESIGNACIÓN

Designación como infraestructura critica


Art. 35.- La Oficina Salvadoreña de Ciberseguridad efectuará un análisis de riesgo
sobre las infraestructuras criticas nacionales y, sujeto a los resultados encontrados, podrá,
mediante notificación al operador de un sistema informático, designar el mismo como una
infraestructura critica para los fines de esta ley, siempre que se entienda que:

1. El sistema informático es necesario para la prestación continua de un servicio


esencial, y la pérdida o el compromiso de este, tendrá un efecto debilitante en la
disponibilidad de tal servicio esencial en el país; y
2. El sistema informático se encuentra total o parciamente alojado en el país, o aun
cuando no esté alojado en el país pero que los servicios que brinda son ofrecidos
dentro del territorio nacional.

Contenido de la notificación de designación de infraestructura critica


Art. 36.- La notificación a un operador de un sistema informático por el que dicho
sistema se designa como critico deberá:
1) Identificar el sistema informático designado como infraestructura critica;
2) Identificar al operador del sistema informático designado como infraestructura
critica;
3) Informar al operador del sistema informático sobre sus deberes y
responsabilidades en virtud de esta ley y sus reglamentos;
4) Solicitar la designación de una persona que será seleccionado como punto de
contacto único de la infraestructura critica;
5) Informar al operador del sistema informático que podrá recurrir la designación
como infraestructura critica en un plazo no mayor de catorce (14) días después de
la fecha de la notificación;
6) Informar al operador del sistema informático que puede recurrir la designación, y
proporcionar información sobre el procedimiento aplicable.

Duración de la designación de una infraestructura critica


Art. 37.- La designación como operador de una infraestructura critica tendrá
duración de cinco (5) años, a menos que sea retirado por la Oficina Salvadoreña de
Ciberseguridad antes de la expiración de dicho periodo.

Respuesta a la designación de infraestructura critica


Art. 38.- En virtud de lo dispuesto en los numerales 5 y 6 del Art. 36, la persona que
recibe una notificación de designación como infraestructura critica puede, en caso de que
así sea, demostrar a la Oficina Salvadoreña de Ciberseguridad que:
1. No puede cumplir con los requisitos de la designación porque no tiene control
efectivo sobre las operaciones del sistema informático, ni la capacidad o el
derecho de realizar cambios en dicho sistema y
2. Otra persona tiene un control efectivo sobre las operaciones del sistema
informático y la capacidad y el derecho de realizar cambios en dicho sistema.
Sí la Oficina Salvadoreña de Ciberseguridad está de acuerdo con que las circunstancias
mencionadas en los numerales 1 y 2 del presente artículo, podrá enmendar la notificación
emitida, y dirigirá esa notificación modificada a la persona mencionada en el numeral 1 del
presente artículo.
Si en algún momento el operador de la infraestructura crítica deja de tener el control, la
capacidad y el derecho de realizar cambios en el sistema informático, debe notificarlo a la
Oficina Salvadoreña de Ciberseguridad sin demora alguna y al menos con 15 hábiles
después de haber sido informado de la perdida de los derechos de operación sobre la
infraestructura critica.
Cuando una infraestructura crítica es propiedad del Gobierno y es operada por alguna
instancia pública, privada o cualquier otro tipo de organismo, éste último será tratado
como el operador de la infraestructura crítica para los fines de la presente ley.

Retiro de la designación como infraestructura critica.

Art. 39.- La Oficina Salvadoreña de Ciberseguridad a solicitud de un operador o por


sí misma, podrá retirar la designación de cualquier infraestructura critica en cualquier
momento, si entiende que el sistema informático ya no cumple con los criterios para ser
considerado como tal.

CAPITULO II
ENTREGA DE INFORMACION

Entrega de información.
Art. 40.- Si la Oficina Salvadoreña de Ciberseguridad tiene motivos para creer que
un sistema informático puede cumplir los criterios de una infraestructura crítica, podrá
requerir que cualquier persona que parezca estar ejerciendo control sobre dicho sistema
informático, le proporcione dentro de un periodo razonable de 30 días hábiles la
información relevante relacionada con ese sistema informático, con el fin de determinar si
reúne los criterios para ser definido como una infraestructura crítica.
La respuesta dada a la Oficina Salvadoreña de Ciberseguridad en el marco de este
artículo comprenderá al menos la siguiente información:
1. La función que el sistema cumple;
2. Las personas u otros sistemas informáticos que son atendidos por dicho sistema;
3. Información relacionada con el diseño del sistema informático;
4. Información sobre la configuración y seguridad del sistema informático;
5. Información sobre el diseño, la operación, la configuración y la seguridad de
cualquier otro sistema informático bajo su control que esté interconectado o que se
comunique con el sistema
6. Cualquier otra información que la Oficina Salvadoreña de Ciberseguridad pueda
requerir para determinar si el sistema informático cumple con los criterios de una
infraestructura crítica o el nivel de ciberseguridad de este.
La entrega de la información requerida por la Oficina Salvadoreña de Ciberseguridad para
determinar si un sistema informático cumple los criterios de una infraestructura crítica no
será considerada como una vulneración de la confidencialidad previamente establecida
por leyes, reglamentos, contratos o códigos de conducta profesionales. En caso de
incumplimiento a esta obligación será sancionado conforme a lo descrito en la presente
ley.

Notificación de cambios.

Art. 41.- Si el operador de una infraestructura critica realiza un cambio sustancial en


el diseño, la configuración, la seguridad o el funcionamiento de dicha infraestructura,
después de que se haya proporcionado información a la Oficina Salvadoreña de
Ciberseguridad de conformidad a lo dispuesto en esta ley, deberá notificar el cambio a
más tardar treinta (15) días hábiles después de realizado.
A los efectos de este artículo, un cambio se considerará sustancial si afecta o puede
afectar la ciberseguridad de la infraestructura critica o la capacidad del operador de la
infraestructura critica para responder a una amenaza o incidente de ciberseguridad que
afecta a dicha infraestructura.
Punto de contacto

Art. 42.- El operador de una infraestructura crítica notificará a la Oficina Salvadoreña


de Ciberseguridad la designación de su oficial de ciberseguridad o quien haga las
funciones de éste que servirá como punto de contacto único entre la infraestructura crítica
y dicha Oficina.
Cambio en la propiedad de la infraestructura critica

Art. 43.- Cuando haya algún cambio en la propiedad legal o en beneficio (incluida
cualquier parte de dicha propiedad) de una infraestructura crítica, el nuevo operador de la
infraestructura crítica informará a la Oficina Salvadoreña de Ciberseguridad del cambio en
la propiedad a más tardar siete (7) días hábiles después de la fecha de ese cambio de
titularidad.
Deber de informar sobre incidentes de ciberseguridad con respecto a la
infraestructura critica.

Art. 44.- El operador de una infraestructura crítica notificará a la Oficina Salvadoreña


de Ciberseguridad a más tardar veinticuatro (24) horas después de tener conocimiento
sobre la ocurrencia de:
1) Un incidente de ciberseguridad que tenga un impacto significativo en la
ciberseguridad o la continuidad del servicio de la infraestructura crítica.
2) Un incidente de ciberseguridad prescrito con respecto a cualquier sistema
informático bajo el control del operador que esté interconectado o que se
comunique con la infraestructura crítica.
3) Cualquier otro tipo de incidente de ciberseguridad con respecto a la infraestructura
critica que la Oficina Salvadoreña de Ciberseguridad haya especificado al
operador.
La obligación prevista en los numerales 1), 2) y 3) precedentes, no limita el derecho del
operador de una infraestructura crítica de notificar a la Oficina Salvadoreña de
Ciberseguridad cualquier incidente cibernético, aunque el mismo no tenga un impacto
significativo. En caso de incumplimiento a esta obligación será sancionado conforme a lo
descrito en esta ley.
Dentro de un plazo razonable de siete (7) días hábiles como máximo, el operador de una
infraestructura crítica está obligado a notificar a las personas posiblemente afectadas por
el incidente de ciberseguridad con un impacto significativo o al público en general si las
personas afectadas no pueden ser notificadas individualmente.
Si el operador de una infraestructura crítica no cumple con la obligación de notificación
prevista en el párrafo anterior en el plazo establecido, la Oficina Salvadoreña de
Ciberseguridad podrá notificar a las personas afectadas o el público en general,
informando también al operador de la infraestructura crítica acerca de dicha notificación.
En caso de incumplimiento a esta obligación, el operador será sancionado conforme a lo
descrito en esta ley.
El operador de una infraestructura crítica establecerá mecanismos técnicos y
procedimentales con el fin de detectar amenazas e incidentes de ciberseguridad; estos
mecanismos podrán incluir el uso de equipos de respuesta a incidentes, herramientas de
monitoreo de actividades sospechosas, suscripción a redes de inteligencia de amenazas,
realización periódica de análisis de vulnerabilidades y la implementación de estándares de
ciberseguridad entre otros.
Si el operador de una infraestructura critica es notificado, por cualquier medio interno o
externo, de una vulnerabilidad de severidad alta de acuerdo a un método de clasificación
tipo CVSS (Common Vulnerability Score System ) o similar y que podría fácilmente ser
explotada en algún sistema informático asociado a la infraestructura, deberá notificarlo a
la Oficina Salvadoreña de Ciberseguridad en un tiempo de 48 horas después de haber
conocido de la existencia de la vulnerabilidad e incluirá en su notificación el procedimiento
a realizar para solventar la vulnerabilidad.
Al resolver un incidente de ciberseguridad con un impacto significativo, el operador de una
infraestructura critica está obligado a enviar a la Oficina Salvadoreña de Ciberseguridad
un informe sobre la resolución de este, en un plazo no mayor a veinte (20) días hábiles.
Este informe incluirá información sobre las causas del incidente de ciberseguridad, el
tiempo dedicado a su resolución, las medidas aplicadas y el impacto de este. En caso de
incumplimiento a esta obligación será sancionado conforme a lo descrito en esta ley.
El procedimiento de notificación de un incidente de ciberseguridad y la notificación de la
existencia de una vulnerabilidad de severidad alta, así como el formato del informe podrán
establecerse mediante un reglamento emitido por la Oficina Salvadoreña de
Ciberseguridad.
Incidentes de ciberseguridad de impacto significativo

Art. 45.- Para los fines del numeral uno (1) del artículo cuarenta y cuatro (44) de la
presente ley, se considerará que un incidente de ciberseguridad tiene un impacto
significativo si se cumple al menos una de las siguientes condiciones:
1. El impacto del incidente de ciberseguridad es al menos grave de acuerdo con el
grado de consecuencias determinado en la evaluación del riesgo preparada sobre
la base del artículo cuarenta y seis (46) de la presente ley.
2. Debido al incidente de ciberseguridad, la prestación del servicio esencial no puede
continuar después de haber pasado el tiempo máximo permitido de interrupción
del servicio, de conformidad con un acuerdo de nivel de servicio pertinente o los
requerimientos para la continuidad del servicio.
3. La continuidad del servicio de algún otro proveedor de servicio se interrumpe
debido al incidente de ciberseguridad.
4. Las medidas extraordinarias establecidas en la evaluación de riesgos preparada
en virtud del artículo cuarenta y seis (46) de la presente ley o en otro documento si
lo hubiere, que describe el restablecimiento de la continuidad del servicio o la
seguridad del sistema informático, necesitan aplicarse para resolver el incidente de
ciberseguridad.
5. Los servicios que ofrece la infraestructura crítica o el proveedor de otro servicio o
usuarios del servicio sufren o pueden sufrir daños significativos debido al incidente
de ciberseguridad.

CAPITULO III
AUDITORIAS DE CIBERSEGURIDAD Y EVALUACIONES DE RIESGO

Realización de auditorías de ciberseguridad y evaluaciones de riesgo

Art. 46.- El operador de una infraestructura crítica deberá:


1. Al menos una vez al año o con la frecuencia que le indique la Oficina Salvadoreña
de Ciberseguridad en cualquier caso particular, a partir de su fecha de designación
como infraestructura critica, llevar a cabo auditorias sobre su cumplimiento con
esta ley, sus reglamentos y/o estándares de ciberseguridad aplicables, a ser
llevados a cabo por un auditor aprobado o designado por la Oficina Salvadoreña
de Ciberseguridad; y
2. Al menos una vez al año, a partir de la fecha de su designación como
infraestructura critica, realizar una evaluación de riesgos de ciberseguridad de la
infraestructura critica.
3. Establecer un plan para mitigación de riesgos y solventar las observaciones
resultantes de la auditoria mencionada en el numeral 1 de este artículo.
El operador de la infraestructura critica, a más tardar treinta (30) días después de la
finalización de la auditoria o la evaluación del riesgo de ciberseguridad, proporcionará una
copia del informe resultado de la auditoría o evaluación de riesgos, a la Oficina
Salvadoreña de Ciberseguridad. En caso de incumplimiento a esta obligación, será
sancionado conforme lo descrito en la presente ley.
Cuando la Oficina Salvadoreña de Ciberseguridad comprenda que el informe resultante
de una auditoría indica que cualquier aspecto de la auditoría no se llevó a cabo de manera
satisfactoria, podrá ordenar al operador de la infraestructura crítica que haga que el
auditor lleve a cabo de nuevo una verificación de ese aspecto de la auditoria. En caso de
incumplimiento a esta obligación será sancionado conforme a lo descrito en la presente
ley.
Otros casos en los que se podrá ordenar auditorias

Art. 47.- La Oficina Salvadoreña de ciberseguridad podrá también ordenar una


auditoría de una infraestructura crítica en los siguientes casos:
1) Si el operador de una infraestructura crítica no ha cumplido con una disposición de
la presente ley, sus reglamentos y/o estándares de ciberseguridad aplicables;
2) Si la información proporcionada por el operador de una infraestructura crítica de
conformidad con el artículo cuarenta (40) de la presente ley es falsa, engañosa,
inexacta o incompleta.
En estos casos la auditoria será realizada por un auditor designado por la Oficina
Salvadoreña de Ciberseguridad y el costo de dicha auditoria será asumido por el operador
de la infraestructura critica.
Si el operador de una infraestructura critica realiza un cambio sustancial en el diseño, la
configuración, la seguridad o el funcionamiento de dicha infraestructura, según se indica
en el artículo cuarenta y uno (41), la Oficina Salvadoreña de Ciberseguridad podrá
ordenar al operador que realice otra auditoria o evaluación de riesgo. En caso de
incumplimiento a esta obligación, será sancionado conforme lo descrito en esta ley.
Autorización de auditores

Art. 48.- La Agencia autorizará los auditores que podrán efectuar las labores de
auditoría de ciberseguridad y evaluación de riesgos de una infraestructura crítica. El
proceso de autorización de auditores y las funciones de los auditores estará regido por el
reglamento respectivo que emita la Agencia para tal propósito.
Ejercicios de ciberseguridad

Art. 49.- La Oficina Salvadoreña de Ciberseguridad podrá realizar ejercicios de


ciberseguridad con el fin de verificar el estado de preparación de los operadores de
diferentes infraestructuras criticas para responder a incidentes de ciberseguridad
importantes. El operador participará en los ejercicios de ciberseguridad cuando la Oficina
Salvadoreña de Ciberseguridad lo solicite.

TITULO IV
RESPUESTA A LAS AMENAZAS E INCIDENTES DE LA CIBERSEGURIDAD
CAPITULO I
PREVENCION Y GESTIÓN DE INCIDENTES

Facultades

Art. 50.- Cuando la Oficina Salvadoreña de Ciberseguridad haya recibido


información sobre una amenaza o incidente de ciberseguridad, podrá ejercer o autorizar a
un CSIRT sectorial o nacional para que ejerza las facultades aquí mencionadas y que
sean necesarias para prevenir y gestionar la amenaza o incidente de ciberseguridad en
una infraestructura critica, con el fin de:
1. Evaluar el impacto o el impacto potencial de la amenaza o incidente de
ciberseguridad;
2. Eliminar la amenaza de ciberseguridad o prevenir cualquier impacto o daño
adicional derivado del incidente de ciberseguridad; o
3. Prevenir que un nuevo incidente de ciberseguridad se derive de esa amenaza o
incidente de ciberseguridad.
CAPITULO II
MEDIDAS DE CIBERSEGURIDAD PARA PROTECCION DE INFRAESTRUCTURAS
CRITICAS

Medios para la prevención y gestión de incidentes de la Oficina Salvadoreña de


Ciberseguridad.

Art. 51.- Las facultades mencionadas en el artículo 46; permitirán a la Oficina


Salvadoreña de Ciberseguridad o la entidad que esta designe, tomar las medidas
siguientes para proteger la ciberseguridad de las infraestructuras criticas:

1. Exigir a cualquier persona vinculada a un operador de infraestructura critica que


responda a cualquier interrogante o proporcione una declaración sobre la amenaza
o el incidente de ciberseguridad
2. Exigir a cualquier persona vinculada a un operador de infraestructura critica que
presente cualquier documento, registro físico o electrónico, que se encuentre en su
posesión o que proporcione cualquier información que considere relacionada con
el asunto relevante para la gestión de la amenaza o incidente de ciberseguridad;
3. Inspeccionar, copiar o tomar extracto de dicho registro o documento o de la copia
del registro o documento mencionado en el numeral 2 del presente artículo;
4. Requerir información a cualquier persona que parezca estar familiarizada con los
hechos y circunstancias relacionados con la amenaza o el incidente de
ciberseguridad;
5. Ordenar a cualquier persona vinculada a un operador de infraestructura crítica que
lleve a cabo las medidas correctivas, o que deje de llevar a cabo alguna actividad,
según se le especifique, en relación con un sistema informático del que se tenga
causa razonable para sospechar que fue afectado por el incidente de
ciberseguridad, para minimizar la vulnerabilidad de ciberseguridad en el sistema
informático;
6. Exigir al operador de un sistema informático vinculado a un operador de una
infraestructura crítica que tome cualquier acción para ayudar con la investigación,
incluyendo, pero no limitado a:
a) preservar el estado del sistema informático;
b) monitorear el sistema informático por un periodo de tiempo específico;
c) Realizar un escaneo del sistema informático para detectar vulnerabilidades
de ciberseguridad y evaluar la manera y el alcance de la afectación del
sistema informático por el incidente de ciberseguridad; y
d) Permitir que el personal de la Oficina Salvadoreña de Ciberseguridad o la
entidad que ésta designe conecte cualquier equipo al sistema informático o
instale cualquier programa según sea necesario para el propósito de la
investigación.
7. Ingresar al lugar donde se encuentra el sistema informático que está o estuvo
afectado por un incidente de ciberseguridad de una infraestructura crítica o se crea
tuvo alguna participación en dicho incidente;
8. Acceder, inspeccionar y verificar el funcionamiento de un sistema informático del
que se tenga causa razonable para sospechar que se haya visto afectado por el
incidente de ciberseguridad, se crea que tuvo alguna participación en dicho
incidente o usar o hacer que se use cualquier sistema informático para buscar los
datos contenidos en o disponible para tal sistema informático;
9. Realizar un escaneo de un sistema informático vinculado al operador de una
infraestructura crítica para detectar vulnerabilidades de ciberseguridad en el
mismo;
10. Tomar posesión de cualquier sistema informático u otro equipo vinculado a un
operador de una infraestructura crítica con el fin de realizar un examen o análisis
adicional, con el consentimiento del operador:
a) Para la toma de posesión de un sistema informático según se describe en
este numeral 10, se tendrá en cuenta elementos como: la necesidad para
los fines de la investigación, que no exista un método menos disruptivo
para lograr el propósito de la investigación y que el beneficio supera el
perjuicio causado al operador del sistema.
b) La Oficina Salvadoreña de Ciberseguridad o la entidad que esta designe,
inmediatamente después de completar el examen o análisis adicional del
sistema informático que se tomó posesión, lo devolverá al operador.
11. Hacer una copia de, o extractos de, cualquier registro electrónico o programa
contenido en el sistema informático del cual se tenga causa razonable para
sospechar que está o fue afectado por el incidente de ciberseguridad;
La entrega de la información requerida por la Oficina Salvadoreña de Ciberseguridad
en virtud de sus facultades para investigar y prevenir incidentes de ciberseguridad no
será considerada como una vulneración de la confidencialidad previamente
establecida por las leyes, reglamentos, contratos o códigos de conducta profesionales.
Toda la información que sea entregada o accedida por la Oficina Salvadoreña de
Ciberseguridad o la entidad que esta designe, se considerará reservada y confidencial
según el artículo veintinueve (29) de la presente ley.
CAPITULO III
REGIMEN ESPECIAL PARA AMENAZAS GRAVES
Medidas de carácter especial

Art. 52.- La Oficina Salvadoreña de Ciberseguridad podrá tomar medidas de


carácter especial cuando tenga fuertes indicios de que ello resulta necesario para
prevenir, detener o contrarrestar cualquier amenaza grave e inminente a la prestación de
cualquier servicio esencial en la Republica de El Salvador. Las medidas podrán incluir, sin
limitación alguna:

Exigir a cualquier persona vinculada a un operador de infraestructura crítica que se le


proporcione cualquier información, incluyendo información en tiempo real, que sea
necesaria para identificar, detectar o contrarrestar cualquier amenaza de este tipo;
Exigir a cualquier persona vinculada a un operador de infraestructura crítica, que se le
proporcione información relacionada con el diseño, configuración, operación o la
ciberseguridad de cualquier sistema informático;
Requerir a cualquier persona vinculada a un operador de infraestructura crítica, que se
apliquen medidas como la búsqueda y eliminación de software malicioso de un
sistema informático, la instalación de actualizaciones de software para hacer frente a
la vulnerabilidad de ciberseguridad que la amenaza trata de aprovechar, desconectar
temporalmente de una red los sistemas informáticos afectados y el redireccionamiento
del tráfico de datos mal intencionados hacia un sistema informático designado.
En caso de que el sistema informático se vea en peligro inminente por una amenaza o
incidente de ciberseguridad, que pueda dañarlo o destruirlo significativamente. la
Oficina Salvadoreña de Ciberseguridad puede disponer con carácter inmediato que se
suspenda la utilización de este sistema o cualquiera de sus componentes hasta que
se elimine la causa que lo amenaza.

CAPITULO IV
DIVULGACION RESPONSABLE DE VULNERABILIDADES
Disposiciones legales

Art. 53.- No se considerará que una persona infringió disposiciones legales sobre la
confidencialidad integridad y disponibilidad de datos y sistemas de información o que
incurrió en un incumplimiento de leyes, reglamentos, contratos y códigos de conducta
profesionales por el hecho de comunicar, publicar o divulgar vulnerabilidades, siempre que
dicha divulgación se haga basándose en la buena fe.

Con la finalidad de asegurar la buena fe de la persona que divulgue una vulnerabilidad


se tomará en cuenta que:

1. Quien descubra una vulnerabilidad en un sistema informático deberá hacerla del


conocimiento del administrador de la infraestructura o del sistema informático
antes de divulgarla.
2. No se haya solicitado recompensa bajo coerción o amenaza de publicación de la
información;
3. Se otorgue un tiempo razonable de al menos quince (15) días para solucionar la
vulnerabilidad antes de publicarla o divulgarla; y
4. La persona que divulga una vulnerabilidad considerará el impacto de dicha
divulgación y tener un cuidado razonable para mitigar el daño que pueda causarse
por tal divulgación, para tal efecto se deberá priorizar la afectación a los usuarios
del servicio.
Las consideraciones y actos sobre la buena fe de las personas que realicen actividades
de búsqueda de vulnerabilidades deberán ser analizadas por la Oficina Salvadoreña de
Ciberseguridad, de tal forma que pueda emitir una resolución que respalde el
comportamiento responsable de las personas y que buscan mejorar la ciberseguridad de
las entidades que prestan servicios digitales, para lo cual el interesado deberá
documentar toda actividad a fin de presentar evidencias que demuestren la buena fé.
Sin perjuicio a lo anteriormente expuesto, las entidades públicas o privadas que perciban
daño a raíz de las actividades de búsqueda, comunicación, publicación o divulgación de
vulnerabilidades en sistemas informáticos, tendrán el derecho de hacer uso de los
instrumentos jurídicos existentes para que a través de los tribunales correspondientes
dilucidar cualquier controversia sobre el hecho.
CAPITULO V
ESTADO DE ALARMA CIBERNETICA
Definición de estado de alarma cibernética

Art. 54.- Un estado de alarma cibernética es un estado durante el cual la


ciberseguridad en los sistemas informáticos de las infraestructuras críticas está
gravemente en peligro, y por lo tanto los intereses de la República de El Salvador pueden
ser violentados o amenazados
Para considerar que las infraestructuras críticas están gravemente en peligro se
tomará en cuenta los siguientes aspectos:
1. Se crea que existe un riesgo de que se cause un daño significativo a una
infraestructura crítica;
2. Se crea que existe un riesgo de interrupción en la prestación de un servicio
esencial a través de un sistema informático;
3. Se crea que existe una amenaza para la integridad nacional, la defensa
nacional, las relaciones exteriores, la economía y las finanzas, la salud, la
seguridad o el orden público de la República del Salvador;
4. La amenaza o incidente de ciberseguridad es de naturaleza grave, en términos
del daño que puede causar a las personas o el número de sistemas de
información que puede afectar o el valor de la información puesta en riesgo.
Declaración del estado de alarma cibernética

Art. 55.- El estado de alarma cibernética será declarado por el Presidente de la


República, por recomendación motivada del Director Ejecutivo de la Agencia Nacional de
Innovación, Ciencia y Tecnología
DEFINIR SI SERA EL DIRECTOR PRESIDENTE O DIRECTOR EJECUTIVO DE LA
AGENCIA

CAPITULO VI
ESTADO DE EXCEPCIÓN
Declaración de estado de excepción y gestión de riesgos de desastres

Art. 56.- La Agencia Nacional de Innovación, Ciencia y Tecnología recomendará al


Presidente de la República cuando considere que el Estado de alarma cibernética deba
dar lugar a la declaración de uno de los Estados de excepción previstos en la
Constitución. De igual forma comunicará a las instituciones, que conforme a la legislación
vigente encabecen el sistema de prevención, mitigación y respuesta a riesgos o
desastres, cuando interprete que una amenaza, vulnerabilidad o incidente de
ciberseguridad resulta importante para el cumplimiento de las tareas asociadas a ese
sistema.

El reglamento de aplicación de la presente ley aportará la forma y los criterios que


deberá observar la Agencia Nacional de Innovación, Ciencia y Tecnología para
proceder a las comunicaciones referidas en el presente artículo y la información
mínima que cada una deberá contener.
Las decisiones y medidas de carácter general emitidas por la Oficina Salvadoreña de
Ciberseguridad, de conformidad con los artículos cincuenta y cuatro (54) y cincuenta y
cinco (55) de la presente ley, antes de la declaración de estado de excepción, seguirán
siendo efectivas, siempre y cuando dichas medidas no contradigan las medidas
declaradas por el gobierno.

CAPITULO VII
VIGENCIA DEL ESTADO DE ALARMA CIBERNETICA

Entrada en vigor y periodo del estado de alarma cibernética.

Art. 57.- La decisión sobre la declaración del estado de alarma cibernética entrará
en vigor en el momento en que se estipule en dicha decisión y la misma se declarará por
un periodo máximo de tiempo necesario de siete (7) días. El periodo dado puede
prolongarse, pero el periodo total de un estado de alarma cibernética declarado no
excederá de 30 días.
Durante el estado de alarma cibernética el Director Ejecutivo de la Agencia Nacional
de Innovación, Ciencia y Tecnología informará al gabinete de seguridad del Gobierno
sobre los elementos justificativos del estado de alarma cibernética, las acciones
implementadas y sobre el estado de los incidentes, vulnerabilidades y amenazas.
En virtud de la declaración de Estado de alarma cibernética, las medidas establecidas
en los artículos cincuenta y cuatro (54) y cincuenta y cinco (55) dirigidas a los
operadores de infraestructura crítica y a las personas y sistemas informáticos
vinculados a estos, tendrán cumplimiento general extendiéndose a todas las personas
naturales o jurídicas, públicas y privadas.
El estado de alarma cibernética no se declarará en caso de que la amenaza a la
ciberseguridad de las infraestructuras críticas pueda ser evitada por las actividades de
la Oficina Salvadoreña de Ciberseguridad de conformidad con esta ley.
El estado de alarma cibernética terminará después del período dado a menos que el
Director Ejecutivo de la Agencia Nacional de Innovación, Ciencia y Tecnología decida
terminarlo antes, o por declaración de uno de los estados de excepción previstos en la
Constitución de la Republica que así lo disponga.

TITULO V
REGIMEN SANCIONADOR
CAPITULO I
SANCIONES ADMINISTRATIVAS
Facultad sancionadora

Art. 58.- La Agencia Nacional de Innovación, Ciencia y Tecnología como órgano


encargado de velar por el cumplimiento de la presente ley es el responsable por ejercer el
régimen sancionador conforme se describe en el presente capítulo.

Faltas administrativas

Art. 59.- Las faltas administrativas estarán catalogadas como leves, graves y muy
graves, dependiendo de si la falta pueda ocasionar un posible impacto al sistema
informático de la infraestructura critica o a los usuarios de los servicios.
Se considerarán faltas administrativas leves las siguientes:

1. No cumplir con designar un punto de contacto único para una infraestructura


crítica;
2. No cumplir con notificar un cambio de operador de una infraestructura crítica;
3. No participar en un ejercicio de ciberseguridad requerido por la Oficina
Salvadoreña de ciberseguridad;
Se considerarán faltas administrativas graves las siguientes:

1. No cumplir con una comunicación de entrega de información requerida por la


Oficina Salvadoreña de Ciberseguridad;
2. No cumplir con una notificación de cambios sustanciales en una infraestructura
crítica;
3. No cumplir con llevar a cabo auditorías o la evaluación de riesgos sobre su
cumplimiento con esta ley;
4. No remitir la auditoría o la evaluación del riesgo de ciberseguridad a la Oficina
Salvadoreña de Ciberseguridad en los plazos establecidos;
5. No llevar a cabo las auditorías o la evaluación de riesgo de manera satisfactoria;
6. Realizar un cambio sustancial a una infraestructura crítica y no llevar a cabo la
auditoría o evaluación de riesgo;
7. Obstruir o impedir que se lleve a cabo una auditoría o evaluación de riesgos;
8. No cumplir con las disposiciones de los reglamentos dictados por la Oficina
Salvadoreña de Ciberseguridad.
Se considerarán faltas administrativas muy graves las siguientes:

1. No cumplir con notificar los incidentes de ciberseguridad a la Oficina Salvadoreña


de Ciberseguridad;
2. No cumplir con notificar los incidentes de ciberseguridad a las personas
posiblemente afectadas;
3. No cumplir con establecer mecanismos técnicos y procedimentales con el fin de
detectar amenazas e incidentes de ciberseguridad;
4. No cumplir con enviar a la Oficina Salvadoreña de Ciberseguridad un informe que
incluye información sobre las causas de un incidente de ciberseguridad, el tiempo
dedicado a su resolución, las medidas aplicadas y el impacto de este;
5. No cumplir con una orden emitida por la Oficina Salvadoreña de Ciberseguridad
con la finalidad de prevenir, detectar o contrarrestar cualquier amenaza o incidente
de ciberseguridad;
6. Obstruir a la Oficina Salvadoreña de Ciberseguridad o a quien ésta designe para
hacer cumplir cualquier medida emitida a fin de identificar, detectar o contrarrestar
cualquier amenaza de ciberseguridad;
7. No cumplir con una orden de prohibición de utilizar un sistema informático o
cualquiera de sus partes en caso de que la Oficina Salvadoreña de Ciberseguridad
los haya notificado;

Excepción a la imposición de sanción.

Art. 60.- El operador de una infraestructura crítica no será responsable de una falta
administrativa en caso de que pueda demostrar haber hecho todo lo posible y lo que es
posible exigir para evitar el incumplimiento de las obligaciones establecidas por esta ley,
para lo cual deberá presentar las pruebas de descargo a la Agencia Nacional de
Innovación, Ciencia y Tecnología en un periodo de tiempo máximo de diez (10) días
hábiles. La Agencia analizará las pruebas de descargó y emitirá la resolución respectiva a
favor o en contra del operador de la infraestructura critica.

De las sanciones

Art. 61.- A quienes incurran en las faltas administrativas mencionas en el Art. 59 de


esta ley, la Agencia Nacional de Innovación, Ciencia y Tecnología, sin perjuicio de las
sanciones civiles y penales que correspondan, sancionará con una multa equivalente a un
monto entre los 20 y los 200 salarios mínimos del sector público observando el principio
de proporcionalidad de las sanciones.
Para las faltas leves la sanción será de 20 salarios mínimos, para las faltas graves de 50
salarios mínimos y para las faltas muy graves de 100 salarios mínimos.
El pago de la sanción no implica la convalidación de la situación irregular debiendo el
infractor cesar de inmediato los actos que dieron lugar a la sanción.
Las sanciones se incrementarán por situaciones agravantes, como la reincidencia en la
misma falta, no cumplir con las indicaciones emanadas de la Oficina Salvadoreña de
Ciberseguridad posterior a haber sido sancionado el operador de la infraestructura critica,
actuaciones premeditadas o cualquier otra causal que resulte en mayor riesgo, siendo los
incrementos de la siguiente manera:
a) Aumento del 50% de la sanción para faltas administrativas leves
b) Aumento del 50% de la sanción para faltas administrativas graves
c) Aumento del 100% de la sanción para faltas administrativas muy graves
Los montos de las sanciones serán cobrados por la Oficina Salvadoreña de
Ciberseguridad. Los ingresos de estas sanciones pasaran a formar parte de su
presupuesto operativo.
El monto de las sanciones deberá abonarse a más tardar treinta (30) días después de
la entrada en vigor de la decisión de su imposición y será aumentado mensualmente
en un tres (3%) por ciento del monto original, cada vez, si en el plazo previsto para su
pago no hubiese sido canceladas por el imputado.
Prescripción de las sanciones

Art. 62.- Las faltas impuestas por esta ley prescriben a los tres (3) años de la
ocurrencia del evento.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente
a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya
transcurrido el plazo para recurrirla.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está
paralizado durante más de seis (6) meses por causa no imputable al infractor.
Recurso de reconsideración
Art. 63.- Quienes sean sancionados por la Oficina Salvadoreña de Ciberseguridad
de las faltas administrativas contenidas en esta ley, podrán ejercer un recurso de
reconsideración con las formalidades y plazos establecidos en la ley de Procedimientos
Administrativos, ante el mismo órgano que dictó la decisión. El recurso de reconsideración
será interpuesto ante la Junta Directiva de la Agencia Nacional de Innovación, Ciencia y
Tecnología.
Recurso contencioso administrativo

Art. 64.- El recurso contencioso administrativo a las sanciones impuestas se hará


según lo establecido en la ley de jurisdicción contencioso administrativo (Decreto 760 de
fecha 8 de noviembre de 2017).

CAPITULO II
SANCIONES PENALES
Sanciones al desacato durante un estado de alarma cibernética

Art. 65.- Toda persona que violente o vulnere las directrices o instrucciones
emanadas por la Oficina Salvadoreña de Ciberseguridad durante un estado de alarma
cibernética, atentando así contra los intereses fundamentales y seguridad de la nación,
será sancionada por la Agencia Nacional de Innovación, Ciencia y Tecnología, de acuerdo
con lo siguiente:
El desacato de una persona debido a su negligencia que no haya tenido como
consecuencia perjuicios, con multa equivalente entre cien ($100) dólares a quinientos
($500) dólares y/o prisión de entre tres (3) meses y un (1) año, considerando las razones
de negligencia o imprudencia que determinaron la inobservancia.
El desacato de una persona en que se verifique la materialización de algún perjuicio será
castigado por la Agencia Nacional de Innovación, Ciencia y Tecnología, con las penas que
van desde las destinadas al acceso ilícito a aquellas reservadas para los crímenes y
delitos contra la nación cometidos a través de un sistema informático, electrónico o de
telecomunicaciones contemplados en la ley especial contra los delitos informáticos y
conexos, considerando la intención y la gravedad del perjuicio causado.

TITULO VI
DISPOSICIONES FINALES

Reglamento de aplicación

Art. 66.- En un plazo no mayor de ciento ochenta días seis meses de la entrada en
vigor de la presente ley, el Presidente de la República promulgará el decreto que
establecerá el reglamento de aplicación de la presente ley.
Dentro de los ciento ochenta días después de instalada la primera Junta del Comité de
Ciberseguridad, la Oficina Salvadoreña de Ciberseguridad deberá emitir el respectivo
reglamento orgánico.

Aplicar lo estipulado en la ley de la agencia


Art. 67.- Esta ley entrará en vigor noventa (90) días después de la fecha de su
publicación en el diario oficial según lo establecido en la Constitución de la República.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los ____
días del mes de _________ del año dos mil veintidos.-

También podría gustarte