Lineamientos generales para fortalecer la gobernanza de la seguridad digital, la
identificación de infraestructuras críticas cibernéticas y servicios esenciales, la
gestión de riesgos, y la respuesta a incidentes de seguridad digital

El Gobierno Nacional profirió el Decreto 338 del 8 de marzo de 2022, por el cual se adicionó un nuevo título al Decreto 1078 de 2015, Decreto único del sector TIC, con el fin de fortalecer la gobernanza digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos, y la respuesta a incidentes de seguridad digital.

El Decreto de 338 de 2022 reglamenta parcialmente los artículos 64 de la Ley 1437 de 2011, referente a estándares y protocolos que deben cumplir las entidades públicas en la aplicación de medios electrónicos en procedimientos administrativos, y los artículos 147 y 148 de la Ley 1955 de 2019 sobre transformación digital pública y la política de gobierno digital en lo referente a ciberseguridad.

¿Pará quienes aplica el Decreto 338 de 2022?

Las entidades que conforman la Administración Pública en los términos del artículo 39 de la Ley 489 de 1998 y los particulares que cumplen funciones públicas o administrativas.

Entidades de la rama legislativa, judicial, órganos de control y órganos independientes reconociendo su autonomía frente a la rama administrativa.

Las Personas jurídicas de derecho privado prestadores de servicios que gestionen infraestructuras críticas cibernéticas o presten servicios esenciales podrán aplicar las disposiciones contenidas en este decreto, si no resultan contrarias a su naturaleza o a las normas que regula su actividad o servicio.

¿Cuál es el alcance del Decreto 338 de 2022?

Esta normatividad establece que la gobernanza de la seguridad digital se basará en los principios generales de la función administrativa, de las TIC, del procedimiento administrativo, del tratamiento de datos personales y de la política de Gobierno Digital. Igualmente, introduce como principios especiales, los siguientes:

• Confianza
• Coordinación
• Colaboración entre múltiples partes interesadas
• Cooperación
• Enfoque basado en la gestión de riesgos
• Gratuidad
• Inclusión
• Proporcionalidad
• Salvaguarda de los derechos humanos y valores fundamentales de los ciudadanos
• Uso eficiente de la infraestructura y de los recursos para protección de las infraestructuras críticas cibernéticas y los servicios esenciales

La norma establece un modelo de gobernanza de la seguridad digital, cuyos lineamientos y estándares serán definidos por el MinTIC con el fin de fortalecer la seguridad digital, la protección de las redes, las infraestructuras críticas, los servicios esenciales y los sistemas de información en el ciberespacio. La Coordinación Nacional de Seguridad Digital, el Comité Nacional de Seguridad Digital, los Grupos de Trabajo de Seguridad Digital, las Mesas de Trabajo de Seguridad Digital y los Puestos de Mando Unificado de Seguridad Digital implementarán el modelo, de conformidad con las funciones establecidas en el decreto.

En materia de infraestructuras críticas cibernéticas y servicios esenciales, el MinTIC levantará el inventario de infraestructuras críticas públicas cibernéticas y de servicios esenciales del ciberespacio, el cual se actualizará cada 2 años. En los próximos 12 meses se definirá la metodología para establecer qué infraestructuras son críticas cibernéticas y qué servicios son esenciales. Además, las autoridades que sean titulares de infraestructuras críticas esenciales tendrán una serie de obligaciones acorde con la regulación.

Finalmente, la norma indica que el MinTIC establecerá las variables para definir cuándo se presenta una afectación significativa a las infraestructuras críticas, y se establece un modelo nacional de atención y gestión de incidentes, el cual será ejecutado por el Equipo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT), el Equipo de Respuesta a Incidentes de Seguridad Digital para entidades del sector gobierno (CSIRT GOBIERNO) y el Equipo de Respuesta a Incidentes de Seguridad cibernética de los sectores definidos como críticos o prestadores de servicios esenciales – (CSIRT – SECTORIALES) en los términos del decreto.

Autor: Camilo Millán I [email protected] I TMT