Aprueban el Reglamento de la Ley de Ciberdefensa

El 02 de agosto de 2023, la Secretaría de Gobierno y Transformación Digital (“SGTD”) presentó el Proyecto del Reglamento de la Ley N.° 30999 - Ley de Ciberdefensa (“el Proyecto del Reglamento”) el mismo que buscaba establecer un marco normativo sólido en ciberdefensa del Estado Peruano.

El día 14 de febrero, mediante Decreto Supremo ha sido publicado el Reglamento de la Ley Nº 30999, Ley de Ciberdefensa (el “Reglamento”), con los mismos objetivos y fines que el proyecto de dicha norma previamente presentado; buscando establecer el marco normativo de ciberdefensa del Estado Peruano  y regular las operaciones militares que se desarrollan en este ámbito, protegiendo la soberanía, los intereses nacionales, los activos críticos nacionales y recursos claves para mantener las capacidades nacionales frente a amenazas o ataques en y mediante el ciberespacio, entre otras disposiciones para preservar la seguridad nacional.

El Reglamento incluye definiciones importantes como Activos Críticos Nacionales (ACN), arma cibernética o ciberarma, incidentes de seguridad digital, seguridad nacional y vulnerabilidades cibernéticas; haciendo referencias cruzadas con otras normas ya vigentes / aprobadas como el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales, el Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento; y, la Ley de Gobierno Digital. Asimismo, el Reglamento establece que el Ministerio de Defensa, como órgano encargado de gestionar la ciberdefensa, dicta políticas y lineamientos para el planeamiento y conducción de operaciones militares en y mediante en el ciberespacio conforme a la Política de Seguridad y Defensa Nacional vigente y siguiendo con los objetivos de seguridad nacional y con la Política Nacional de Transformación Digital. 

Entre los puntos más relevantes incluidos por el Reglamento se encuentran los siguientes:

1. Capacidades de Ciberdefensa: El Reglamento incluye las capacidades con las que debe contar el Comando Operacional de Ciberdefensa y los Componentes de Ciberdefensa de las Instituciones Armadas: (i) capacidad de defensa, (ii) capacidad de explotación, (iii) capacidad de respuesta, (iv) capacidad de investigación digital o Investigación Forense Digital. Las capacidades esenciales antes detalladas que se deben desarrollar y fortalecer en materia de ciberdefensa, se delimitan en medidas pasivas de ciberdefensa (monitoreo de redes, actualizaciones de seguridad y operativas, establecimiento de políticas) y medidas activas (detección de amenazas en el ciberespacio, aplicación de acciones de defensa).
2. Uso de la Fuerza en y mediante el Ciberespacio: El Reglamento incluye de manera detallada la oportunidad en que los componentes de ciberdefensa usan la fuerza, dejado constancia que será únicamente para neutralizar o degradar capacidades adversarias sin transgredir los límites del derecho internacional y los derechos humanos y a través del Jefe del Comando Conjunto de las Fuerzas Armadas. Asimismo, se establece que la autorización para el uso de la fuerza en las operaciones militares en y mediante el ciberespacio que atente contra la seguridad nacional está sujeta a disposición expresa, por parte del Presidente de la República, y se ejecuta a través de los procedimientos establecidos para las otras operaciones militares, conforme a la normativa establecida para tal fin.
3. Reglas de enfrentamiento: El Reglamento establece que el Jefe del Comando Conjunto de las Fuerzas Armadas emite instrucciones mediante las cuales se mantiene el control sobre el uso de la fuerza por parte de las Fuerzas Armadas durante la ejecución de las operaciones militares en y mediante el ciberespacio ante un acto hostil e intención hostil que afecten la seguridad nacional. Estas reglas de enfrentamiento comprenden finalidades legales, militares y policiales.
4. Seguridad de Activos Críticos Nacionales: El Reglamento reconoce la importancia de los activos críticos nacionales en el ciberespacio, entendiéndose a aquellos como los recursos, infraestructuras y sistemas que son esenciales e imprescindibles para mantener y desarrollar las capacidades nacionales, o que están destinados a cumplir dicho fin. Al respecto, el Reglamento establece que la seguridad digital de estos activos se ve afectada con ataques directos o inminentes a sus recursos, infraestructura y sistema en sus componentes digitales por la materialización de riesgos derivados de amenazas y vulnerabilidades en y mediante el ciberespacio, y que generen como consecuencia daños a la persona, prosperidad económica, social y la seguridad nacional. Sobre ello, el Reglamento incluye los responsables y etapas para la protección de los activos críticos nacionales.