Toda la Norma Ver Imagen del D.O.


Fecha de Publicación: 14/03/2025
Página: 3
Carilla: 3 

PODER EJECUTIVO
CONSEJO DE MINISTROS


                               Decreto 66/025

Determínanse los cometidos de la Dirección de Seguridad de la Información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento.
(1.034*R)

MINISTERIO DEL INTERIOR
 MINISTERIO DE RELACIONES EXTERIORES
  MINISTERIO DE ECONOMÍA Y FINANZAS
   MINISTERIO DE DEFENSA NACIONAL
    MINISTERIO DE EDUCACIÓN Y CULTURA
     MINISTERIO DE TRANSPORTE Y OBRAS PÚBLICAS
      MINISTERIO DE INDUSTRIA, ENERGÍA Y MINERÍA
       MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
        MINISTERIO DE SALUD PÚBLICA
         MINISTERIO DE GANADERÍA, AGRICULTURA Y PESCA
          MINISTERIO DE TURISMO
           MINISTERIO DE VIVIENDA Y 
            ORDENAMIENTO TERRITORIAL
             MINISTERIO DE DESARROLLO SOCIAL
              MINISTERIO DE AMBIENTE

                                         Montevideo, 20 de Febrero de 2025

   VISTO: lo dispuesto en los artículos 55 de la Ley N° 18.046, de 24 de octubre de 2006 en la redacción dada por el artículo 118 de la Ley N° 18.172, de 31 de agosto de 2007; 119 de la Ley N° 18.172, de 31 de agosto de 2007, en la redacción dada ulteriormente por el artículo 5° de la Ley N° 20.075, de 20 de octubre de 2022; 73 de la Ley N° 18.362, de 6 de octubre de 2008; artículo 149 de la Ley N° 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley N° 19.924, de 18 de diciembre de 2020; y los artículos 78 a 84 de la Ley N° 20.212, de 6 de noviembre de 2023;

   RESULTANDO: I) que las disposiciones citadas regulan distintos aspectos vinculados al funcionamiento, cometidos y organización en materia de seguridad de la información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, a través de su Dirección de Seguridad de la Información;

   II) que, asimismo, se establece la creación y los cometidos del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), el que tiene por objetivo el regular la protección de los activos de información crítica del Estado;

   CONSIDERANDO: I) que, a través del Decreto N° 451/009, de 28 de setiembre de 2009, se reguló el funcionamiento, organización y cometidos asignados al CERTuy; y por Decreto N° 452/009, de la misma fecha, se reglamentó el artículo 55 de la Ley N° 18.046, de 24 de octubre de 2006, en la redacción dada por el artículo 118 de la Ley N° 18.172, de 31 de agosto de 2007, por el que se asignó a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento el cometido de concebir y desarrollar una política nacional en temas de seguridad de la información;

   II) que, el artículo 149 de la Ley N° 18.719, de 27 de diciembre de 2010, en la redacción dada por el artículo 84 de la Ley N° 19.924, de 18 de diciembre de 2020, asignó a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento nuevos cometidos dirigidos a la protección de la ciberseguridad a nivel nacional, la fiscalización y auditoría de cumplimiento, en entidades estatales y privadas, vinculadas a servicios o sectores críticos del país, y al CERTuy, los de centralizar y coordinar la respuesta a incidentes informáticos, y realizar las tareas preventivas que correspondan para la protección de los activos indicados;

   III) que, el artículo 38 de la Ley N° 19.670, de 15 de octubre de 2018 estableció la competencia del CERTuy para coordinar junto a la Unidad Reguladora y de Control de Datos Personales (URCDP) el curso de acción ante la ocurrencia de vulneraciones de seguridad en responsables o encargados de una base de datos o de tratamiento, aplicable a los sectores público y privado;

   IV) que, los artículos 78 a 84 de la Ley N° 20.212, de 6 de noviembre de 2023 establecieron obligaciones en materia de ciberseguridad para las entidades públicas y las entidades privadas vinculadas a servicios o sectores críticos del país, atribuyendo a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento la potestad de adoptar medidas respecto a las entidades que las incumplan, y creando el Registro Nacional de Incidentes de Ciberseguridad;

   V) que, en el marco de la adopción de medidas de seguridad por parte de entidades públicas y privadas que realicen tratamiento de datos personales al amparo de lo establecido en el artículo 10° de la Ley N° 18.331, de 11 de agosto de 2008, el artículo 3° del Decreto N° 64/020, de 17 de febrero de 2020 estableció que para dicha adopción se valorarán estándares nacionales e internacionales en materia de seguridad de la información, tales como el Marco de Ciberseguridad elaborado por Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento;

   VI) que, en consecuencia, razones de juridicidad y conveniencia ameritan adecuar el funcionamiento del CERTuy y reglamentar los cometidos asignados a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, a ser cumplidos por su Dirección de Seguridad de la Información;

   ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas y en el artículo 168 numeral 4° de la Constitución de la República;

                      EL PRESIDENTE DE LA REPÚBLICA
                    -actuando en Consejo de Ministros-

                                 DECRETA:

                   Capítulo I - Disposiciones generales

Artículo 1

   Ámbito objetivo. La Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, a través de la Dirección de Seguridad de la información, tendrá los siguientes cometidos en materia de seguridad de la información y ciberseguridad a nivel nacional:

a) Establecer y dirigir políticas y procedimientos, metodologías y
   mejores prácticas en el ámbito de su competencia.
b) Dictar las regulaciones pertinentes y elevar al Poder Ejecutivo las
   propuestas de reglamentación en la materia.
c) Fiscalizar, auditar su cumplimiento y brindar apoyo en las etapas de
   implementación de las políticas, metodologías, mejores prácticas y
   regulaciones indicadas en los apartados anteriores.
d) Centralizar y coordinar la respuesta a incidentes informáticos, y
   realizar tareas preventivas que correspondan para la protección de los
   activos de información críticos definidos en el presente Decreto. Este
   cometido será ejercido a través del CERTuy.
e) Requerir informaciones complementarias vinculadas a la ocurrencia de
   incidentes de seguridad, las medidas adoptadas y a la aplicación de la
   normativa en materia de ciberseguridad en general.
f) Oficiar como único interlocutor nacional en las comunicaciones con
   organismos nacionales e internacionales en materia de seguridad de la
   información y ciberseguridad.
g) Asesorar al Poder Ejecutivo sobre la normativa y proyectos de ley, en
   sus diferentes etapas, que refieran total o parcialmente a seguridad
   de la información y ciberseguridad.


   LACALLE POU LUIS; NICOLÁS MARTINELLI; OMAR PAGANINI; AZUCENA ARBELECHE; ARMANDO CASTAINGDEBAT; PABLO DA SILVEIRA; JOSE LUIS FALERO; ELISA FACIO; MARIO ARIZTI; JOSÉ SATDJIAN; FERNANDO MATTOS; EDUARDO SANGUINETTI; RAÚL LOZANO; ALEJANDRO SCIARRA; ROBERT BOUVIER.
Ayuda