El ministro de Justicia y Seguridad, Gustavo Villatoro, pidió a la Asamblea Legislativa aprobar una “Ley de ciberseguridad y seguridad de la información” para regular, vigilar y fiscalizar medidas de ciberseguridad y seguridad de “la información en poder de las instituciones públicas”.

El proyecto establece la creación de una Agencia de Ciberseguridad del Estado (ACE), cuyo director general y representante legal sería nombrado por el presidente de la República.

El proyecto de ley fue entregado el 15 de octubre a la Gerencia de Operaciones Legislativas de la Asamblea Legislativa pero recibido hasta este miércoles 30 de octubre por el pleno, que lo pasó a la Comisión de Seguridad Nacional, la cual fue convocada para el próximo lunes a las 2:00 de la tarde.

Tiene por objeto establecer los principios, el marco legal, la institucionalidad, los lineamientos, así como las políticas de protección que permitan estructurar, regular, vigilar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas.
Gustavo Villatoro, ministro de Seguridad, en carta diputados secretarios.


El Gobierno explica en el proyecto que "existe la amenaza de ciertos comportamientos" que pueden "comprometer la confidencialidad e integridad de la información" –y sus sistemas informáticos– "de los órganos del Estado, sus dependencias, las instituciones autónomas, las autoridades municipales o cualquier otra entidad" estatal. Califica el problema como "riesgo creciente" contra "el bienestar de la ciudadanía y la continuidad de las actividades gubernamentales".

¿Qué atribuciones tendría la Agencia de Ciberseguridad del Estado?
  • Requerir a las entidades del Estado, incluso municipales, información ante un incidente de ciberseguridad, y podrá sancionar a estos "sujetos obligados".
  • Crear un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.
  • Calificar a los “operadores de infraestructuras críticas” junto al aval del presidente de la República.
  • Sancionar a los sujetos obligados (empleados o funcionarios de instituciones públicas).

La propuesta establece la posibilidad de despedir o destituir de su cargo a funcionarios o empleados por infracciones e inhabilitarlos por un periodo de 10 años. También, contempla sanciones entre uno y 10 salarios mínimos, para las infracciones leves; 11 a 50 salarios mínimos para las infracciones graves; y entre 51 y 100 salarios mínimos para infracciones muy graves.

El proyecto contempla infracciones como incumplir lineamientos de ciberseguridad y seguridad de la información, incluso por negligencia; obstaculizar o impedir labores para implementar medidas de ciberseguridad o presentar a la Agencia información incompleta, errónea e inexacta, incumplir prohibiciones de usar sistemas informáticos en tiempo y forma comunicados por la Agencia.