N. ° - La Asamblea Legislativa de La República de El Salvador, Considerando
N. ° - La Asamblea Legislativa de La República de El Salvador, Considerando
N. ° - La Asamblea Legislativa de La República de El Salvador, Considerando
° ____
LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,
CONSIDERANDO:
CONSIDERANDO QUE:
I. Que, en el Artículo 1 de la Constitución de la República reconoce a la persona
humana como el origen y el fin de la actividad del Estado y que es obligación del
Estado asegurar a los habitantes de la República, el goce de la libertad, la salud, la
cultura, el bienestar económico y la justicia social.
IV. Que. es necesario definir una estrategia de ciberseguridad nacional que permita
establecer las acciones pertinentes que mitiguen los riesgos cibernéticos y se
aseguren los sistemas informáticos de tal forma que se brinde confianza a la
población para que pueda utilizar los servicios digitales.
V. Que, es de alta importancia definir una entidad del estado que se encargue de
elaborar las estrategias de ciberseguridad y que coordine todos los esfuerzos para
aumentar las capacidades de ciberseguridad de todas las entidades públicas o
privadas dentro del país.
VI. Que, hay sectores regulados por el estado que han generado normativas
específicas de ciberseguridad y a futuro podrían crearse otras normativas similares
para otros sectores, para lo cual se debe establecer los requisitos mínimos cuyos
efectos sean equivalentes a los de las obligaciones que establece esta ley.
Decreta, la siguiente:
LEY DE CIBERSEGURIDAD
TITULO I
DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
OBJETO Y ÁMBITO DE APLICACIÓN
Objeto de la Ley
Art. 1.- La presente ley tiene por objeto regular las actividades de prevención,
gestión y respuesta a las amenazas e incidentes de ciberseguridad y cualquier otro
aspecto relacionado a la ciberseguridad de las infraestructuras críticas en la Republica de
El Salvador.
Ámbito de aplicación
Art. 2.- La presente ley será aplicable a toda la administración pública y entidades
privadas que administran infraestructuras críticas, así como a las personas naturales o
jurídicas, sean nacionales o extranjeras ubicadas en la Republica de El Salvador o fuera
del territorio nacional pero que sus actividades realizadas por medio de las Tecnologías de
Información y Comunicaciones (TIC) tengan incidencia sobre las personas o instituciones
dentro del territorio nacional.
Definiciones
Art. 3.- En la presente Ley se estipula las siguientes definiciones:
● Servicio esencial: Es todo servicio que resulte ser necesario para la seguridad
nacional, la defensa de la soberanía, la economía del país, las relaciones exteriores, la
salud y el mantenimiento del orden público.
TITULO II
ORGANIZACIÓN Y ADMINISTRACIÓN
CAPÍTULO I
OFICINA SALVADOREÑA DE CIBERSEGURIDAD
Autoridad
Competencia
Art. 5.- La Agencia Nacional de Innovación , Ciencia y Tecnología a través de La
Oficina Salvadoreña de Ciberseguridad es la entidad competente para establecer las
acciones de coordinación nacional para la gestión de la ciberseguridad; elaborar y
ejecutar la estrategia nacional de ciberseguridad; dictar normas para el aseguramiento de
las infraestructuras críticas y verificar su aplicación; así como la emisión de los
reglamentos y políticas relacionadas con la gestión de riesgos cibernéticos y los procesos
de manejo de incidentes de ciberseguridad. También es competente para conocer y hacer
cumplir las sanciones por el incumplimiento de la presente ley.
Atribuciones
Carácter vinculante
Art. 7.- Las decisiones que en materia de ciberseguridad sean tomadas por la
Oficina Salvadoreña de Ciberseguridad, tendrán carácter obligatorio para todos los entes
y órganos de la administración pública, así como las entidades privadas que administran
infraestructuras críticas.
Equipo consultivo
Art. 8.- La Oficina Salvadoreña de Ciberseguridad estará asesorada por un equipo
especializado y consultivo que se denominará Comité de Ciberseguridad, que hará los
análisis y recomendaciones técnicas que sean requeridas para que la Junta Directiva de
la Agencia Nacional de Innovación, Ciencia y Tecnología tenga el soporte necesario para
la toma de decisiones.
Organización
Director de la Oficina
Impedimentos
Designación
Remoción
Art. 13.- El director de la Oficina podrá ser removido o sustituido en sus funciones,
en cualquiera de los casos siguientes:
Atribuciones de la Dirección
CAPÍTULO II
COMITÉ DE CIBERSEGURIDAD
Composición
Art. 19.- Ante la ausencia de un miembro pleno del Comité, a éste lo reemplazará su
suplente; en caso de que ninguno de los dos pueda participar, el encargado de la
coordinación de planificación institucional de la organización a la que representa el
ausente, asumirá la participación, pero no tendrá voto en las decisiones dentro de las
sesiones que participe.
Art. 20.- El mecanismo de funcionamiento de las sesiones, actas y seguimiento de
acuerdos estará bajo el mecanismo administrativo.
Art. 21.- Las decisiones del Comité serán tomadas por mayoría simple y
considerando que toda decisión que sea tomada por el Comité deberá ser debidamente
motivada.
Delegados observadores
CAPÍTULO III
COORDINACIONES CON OTROS ORGANISMOS Y RESPONSABILIDADES DE LA
CIBERSEGURIDAD
Art. 24.- Los entes y órganos del estado podrán crear de forma individual o conjunta
equipos de respuesta a incidentes cibernéticos (CSIRT) sectoriales, los cuales
coordinarán con la dependencia especifica dentro de la Agencia Nacional de Innovación,
Ciencia y Tecnología, los objetivos de velar por la ciberseguridad, el cumplimiento de la
presente ley, los reglamentos de aplicación, así como de las normativas dictadas por la
Oficina Salvadoreña de Ciberseguridad, en el marco de sus respectivos sectores.
Los CSIRT sectoriales serán aprobados por la Agencia Nacional de Innovación, Ciencia y
Tecnología y los requisitos para su implementación, así como su funcionamiento, estará
regulado en el reglamento respectivo que para este propósito emita la Agencia.
Colaboración de las entidades de persecución penal con la ciberseguridad
Art. 25.- Toda autoridad competente que en el curso de una investigación de un
ciberdelito considere que el mismo puede constituir una amenaza de ciberseguridad, debe
informar de manera inmediata a la Oficina Salvadoreña de Ciberseguridad y brindar la
colaboración pertinente
De las responsabilidades
Art. 26.- Cada uno de los entes y órganos del sector público es responsable de la
prevención, detección, respuesta y recuperación de los incidentes de ciberseguridad del
que sea víctima, así como de la implementación de las posibles soluciones frente a
futuras amenazas e incidentes. En caso de incumplimiento, el responsable podrá ser
sometido a los procesos sancionadores administrativos correspondientes,
independientemente de las acciones civiles y penales que pudiera generar su actuar.
Responsabilidad del proceso sancionador
CAPÍTULO IV
CONFIDENCIALIDAD Y EL DEBER DE SECRETO
Confidencialidad
CAPÍTULO V
ESTRATEGIA NACIONAL DE CIBERSEGURIDAD
La Estrategia
Art. 32.- La Estrategia Nacional de Ciberseguridad, y en adelante denominada
Estrategia, dará respuesta a la Política Nacional de Ciberseguridad a través de acciones
concretas y designaciones por parte de cada uno de los miembros que participen en el
entorno de Ciberseguridad. En ella se establecerán metas medibles y alcances tanto de
beneficiarios, tiempos de ejecución, inversión, e instrumentos tanto legales, tecnológicos y
normativos que se requieran.
Proceso de elaboración de la Estrategia
Art. 33.- El borrador de la Estrategia será elaborado y presentado por el Comité de
Ciberseguridad a la Oficina Salvadoreña de Ciberseguridad, que la someterá a
consideración de la Junta Directiva de la Agencia, y que a su vez someterá a consulta
pública el documento de la Estrategia, para obtener aportaciones de todos los sectores de
la sociedad. Una vez se hayan incorporado las observaciones pertinentes provenientes de
la consulta pública, la Estrategia deberá ser ratificada por la Junta Directiva de la Agencia
Nacional de Innovación, Ciencia y Tecnología para que sea aprobada.
TITULO III
DE LAS INFRAESTRUCTURAS CRITICAS
CAPITULO I
FUNDAMENTOS Y DESIGNACIÓN
CAPITULO II
ENTREGA DE INFORMACION
Entrega de información.
Art. 40.- Si la Oficina Salvadoreña de Ciberseguridad tiene motivos para creer que
un sistema informático puede cumplir los criterios de una infraestructura crítica, podrá
requerir que cualquier persona que parezca estar ejerciendo control sobre dicho sistema
informático, le proporcione dentro de un periodo razonable de 30 días hábiles la
información relevante relacionada con ese sistema informático, con el fin de determinar si
reúne los criterios para ser definido como una infraestructura crítica.
La respuesta dada a la Oficina Salvadoreña de Ciberseguridad en el marco de este
artículo comprenderá al menos la siguiente información:
1. La función que el sistema cumple;
2. Las personas u otros sistemas informáticos que son atendidos por dicho sistema;
3. Información relacionada con el diseño del sistema informático;
4. Información sobre la configuración y seguridad del sistema informático;
5. Información sobre el diseño, la operación, la configuración y la seguridad de
cualquier otro sistema informático bajo su control que esté interconectado o que se
comunique con el sistema
6. Cualquier otra información que la Oficina Salvadoreña de Ciberseguridad pueda
requerir para determinar si el sistema informático cumple con los criterios de una
infraestructura crítica o el nivel de ciberseguridad de este.
La entrega de la información requerida por la Oficina Salvadoreña de Ciberseguridad para
determinar si un sistema informático cumple los criterios de una infraestructura crítica no
será considerada como una vulneración de la confidencialidad previamente establecida
por leyes, reglamentos, contratos o códigos de conducta profesionales. En caso de
incumplimiento a esta obligación será sancionado conforme a lo descrito en la presente
ley.
Notificación de cambios.
Art. 43.- Cuando haya algún cambio en la propiedad legal o en beneficio (incluida
cualquier parte de dicha propiedad) de una infraestructura crítica, el nuevo operador de la
infraestructura crítica informará a la Oficina Salvadoreña de Ciberseguridad del cambio en
la propiedad a más tardar siete (7) días hábiles después de la fecha de ese cambio de
titularidad.
Deber de informar sobre incidentes de ciberseguridad con respecto a la
infraestructura critica.
Art. 45.- Para los fines del numeral uno (1) del artículo cuarenta y cuatro (44) de la
presente ley, se considerará que un incidente de ciberseguridad tiene un impacto
significativo si se cumple al menos una de las siguientes condiciones:
1. El impacto del incidente de ciberseguridad es al menos grave de acuerdo con el
grado de consecuencias determinado en la evaluación del riesgo preparada sobre
la base del artículo cuarenta y seis (46) de la presente ley.
2. Debido al incidente de ciberseguridad, la prestación del servicio esencial no puede
continuar después de haber pasado el tiempo máximo permitido de interrupción
del servicio, de conformidad con un acuerdo de nivel de servicio pertinente o los
requerimientos para la continuidad del servicio.
3. La continuidad del servicio de algún otro proveedor de servicio se interrumpe
debido al incidente de ciberseguridad.
4. Las medidas extraordinarias establecidas en la evaluación de riesgos preparada
en virtud del artículo cuarenta y seis (46) de la presente ley o en otro documento si
lo hubiere, que describe el restablecimiento de la continuidad del servicio o la
seguridad del sistema informático, necesitan aplicarse para resolver el incidente de
ciberseguridad.
5. Los servicios que ofrece la infraestructura crítica o el proveedor de otro servicio o
usuarios del servicio sufren o pueden sufrir daños significativos debido al incidente
de ciberseguridad.
CAPITULO III
AUDITORIAS DE CIBERSEGURIDAD Y EVALUACIONES DE RIESGO
Art. 48.- La Agencia autorizará los auditores que podrán efectuar las labores de
auditoría de ciberseguridad y evaluación de riesgos de una infraestructura crítica. El
proceso de autorización de auditores y las funciones de los auditores estará regido por el
reglamento respectivo que emita la Agencia para tal propósito.
Ejercicios de ciberseguridad
TITULO IV
RESPUESTA A LAS AMENAZAS E INCIDENTES DE LA CIBERSEGURIDAD
CAPITULO I
PREVENCION Y GESTIÓN DE INCIDENTES
Facultades
CAPITULO IV
DIVULGACION RESPONSABLE DE VULNERABILIDADES
Disposiciones legales
Art. 53.- No se considerará que una persona infringió disposiciones legales sobre la
confidencialidad integridad y disponibilidad de datos y sistemas de información o que
incurrió en un incumplimiento de leyes, reglamentos, contratos y códigos de conducta
profesionales por el hecho de comunicar, publicar o divulgar vulnerabilidades, siempre que
dicha divulgación se haga basándose en la buena fe.
CAPITULO VI
ESTADO DE EXCEPCIÓN
Declaración de estado de excepción y gestión de riesgos de desastres
CAPITULO VII
VIGENCIA DEL ESTADO DE ALARMA CIBERNETICA
Art. 57.- La decisión sobre la declaración del estado de alarma cibernética entrará
en vigor en el momento en que se estipule en dicha decisión y la misma se declarará por
un periodo máximo de tiempo necesario de siete (7) días. El periodo dado puede
prolongarse, pero el periodo total de un estado de alarma cibernética declarado no
excederá de 30 días.
Durante el estado de alarma cibernética el Director Ejecutivo de la Agencia Nacional
de Innovación, Ciencia y Tecnología informará al gabinete de seguridad del Gobierno
sobre los elementos justificativos del estado de alarma cibernética, las acciones
implementadas y sobre el estado de los incidentes, vulnerabilidades y amenazas.
En virtud de la declaración de Estado de alarma cibernética, las medidas establecidas
en los artículos cincuenta y cuatro (54) y cincuenta y cinco (55) dirigidas a los
operadores de infraestructura crítica y a las personas y sistemas informáticos
vinculados a estos, tendrán cumplimiento general extendiéndose a todas las personas
naturales o jurídicas, públicas y privadas.
El estado de alarma cibernética no se declarará en caso de que la amenaza a la
ciberseguridad de las infraestructuras críticas pueda ser evitada por las actividades de
la Oficina Salvadoreña de Ciberseguridad de conformidad con esta ley.
El estado de alarma cibernética terminará después del período dado a menos que el
Director Ejecutivo de la Agencia Nacional de Innovación, Ciencia y Tecnología decida
terminarlo antes, o por declaración de uno de los estados de excepción previstos en la
Constitución de la Republica que así lo disponga.
TITULO V
REGIMEN SANCIONADOR
CAPITULO I
SANCIONES ADMINISTRATIVAS
Facultad sancionadora
Faltas administrativas
Art. 59.- Las faltas administrativas estarán catalogadas como leves, graves y muy
graves, dependiendo de si la falta pueda ocasionar un posible impacto al sistema
informático de la infraestructura critica o a los usuarios de los servicios.
Se considerarán faltas administrativas leves las siguientes:
Art. 60.- El operador de una infraestructura crítica no será responsable de una falta
administrativa en caso de que pueda demostrar haber hecho todo lo posible y lo que es
posible exigir para evitar el incumplimiento de las obligaciones establecidas por esta ley,
para lo cual deberá presentar las pruebas de descargo a la Agencia Nacional de
Innovación, Ciencia y Tecnología en un periodo de tiempo máximo de diez (10) días
hábiles. La Agencia analizará las pruebas de descargó y emitirá la resolución respectiva a
favor o en contra del operador de la infraestructura critica.
De las sanciones
Art. 62.- Las faltas impuestas por esta ley prescriben a los tres (3) años de la
ocurrencia del evento.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente
a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya
transcurrido el plazo para recurrirla.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está
paralizado durante más de seis (6) meses por causa no imputable al infractor.
Recurso de reconsideración
Art. 63.- Quienes sean sancionados por la Oficina Salvadoreña de Ciberseguridad
de las faltas administrativas contenidas en esta ley, podrán ejercer un recurso de
reconsideración con las formalidades y plazos establecidos en la ley de Procedimientos
Administrativos, ante el mismo órgano que dictó la decisión. El recurso de reconsideración
será interpuesto ante la Junta Directiva de la Agencia Nacional de Innovación, Ciencia y
Tecnología.
Recurso contencioso administrativo
CAPITULO II
SANCIONES PENALES
Sanciones al desacato durante un estado de alarma cibernética
Art. 65.- Toda persona que violente o vulnere las directrices o instrucciones
emanadas por la Oficina Salvadoreña de Ciberseguridad durante un estado de alarma
cibernética, atentando así contra los intereses fundamentales y seguridad de la nación,
será sancionada por la Agencia Nacional de Innovación, Ciencia y Tecnología, de acuerdo
con lo siguiente:
El desacato de una persona debido a su negligencia que no haya tenido como
consecuencia perjuicios, con multa equivalente entre cien ($100) dólares a quinientos
($500) dólares y/o prisión de entre tres (3) meses y un (1) año, considerando las razones
de negligencia o imprudencia que determinaron la inobservancia.
El desacato de una persona en que se verifique la materialización de algún perjuicio será
castigado por la Agencia Nacional de Innovación, Ciencia y Tecnología, con las penas que
van desde las destinadas al acceso ilícito a aquellas reservadas para los crímenes y
delitos contra la nación cometidos a través de un sistema informático, electrónico o de
telecomunicaciones contemplados en la ley especial contra los delitos informáticos y
conexos, considerando la intención y la gravedad del perjuicio causado.
TITULO VI
DISPOSICIONES FINALES
Reglamento de aplicación
Art. 66.- En un plazo no mayor de ciento ochenta días seis meses de la entrada en
vigor de la presente ley, el Presidente de la República promulgará el decreto que
establecerá el reglamento de aplicación de la presente ley.
Dentro de los ciento ochenta días después de instalada la primera Junta del Comité de
Ciberseguridad, la Oficina Salvadoreña de Ciberseguridad deberá emitir el respectivo
reglamento orgánico.
DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los ____
días del mes de _________ del año dos mil veintidos.-