REGLAMENTO DE LA LEY N° 30999, LEY DE CIBERDEFENSA

TÍTULO PRELIMINAR

DISPOSICIONES GENERALES

Artículo I.- Objeto

El presente reglamento tiene por objeto desarrollar el marco normativo contenido en la Ley N° 30999 – Ley de Ciberdefensa, regulando las operaciones militares en y mediante el ciberespacio para preservar la seguridad nacional, a cargo de los órganos ejecutores del Ministerio de Defensa, dentro de su ámbito de competencia.

Artículo II.- Finalidad

El presente reglamento tiene por finalidad la defensa y protección de la soberanía, los intereses nacionales, los activos críticos nacionales y recursos claves, para mantener las capacidades nacionales frente a amenazas o ataques en y mediante el ciberespacio, cuando estos afecten la seguridad nacional.

Artículo III.- Principios que rigen las Operaciones de Ciberdefensa

3.1 Los principios que regulan las operaciones militares en y mediante el ciberespacio, cuando afecten la seguridad nacional, son los siguientes:

a. Principio de legalidad:

Las operaciones militares en y mediante el ciberespacio se enmarcan en la normativa legal vigente; durante el ejercicio de la función militar, el personal militar sujeta su accionar y conducta a lo previsto en la Constitución Política del Perú y la legislación nacional, en observancia de las normas de los Derechos Humanos y el Derecho Internacional Humanitario.

b. Principio de necesidad militar:

Implica la existencia de un equilibrio entre la obtención de una ventaja directa y concreta sobre el adversario en y mediante el ciberespacio y los condicionamientos humanitarios, de forma que no se cause daños desproporcionados en relación con el objetivo de que el adversario se debilite o se rinda. Supone optar por el mal menor para no causar a la parte adversa mayor violencia que la exigida por el desarrollo de las hostilidades.

c. Principio de proporcionalidad:

Implica la autorización de una operación militar cuando sea previsible que no cause daños incidentales entre la población civil o daños a bienes de carácter civil, que sean excesivos en relación con la ventaja militar concreta y prevista. Asimismo, cuando corresponda, es la equivalencia entre la gravedad de la amenaza o resistencia y el nivel de fuerza empleado, debiendo ser ésta el mínimo necesario para alcanzar el objetivo legal buscado.

d. Principio de oportunidad:

Implica la acción oportuna de las Operaciones militares en y mediante el ciberespacio ante amenazas, que de no ser ejecutada de inmediato ocasiona perjuicios vitales.

3.2 Los principios que sustentan las operaciones militares en el ciberespacio sirven de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de la Ley y el presente Reglamento.

Artículo IV. Definición de términos

Para efectos de la Ley y el Reglamento se establecen las siguientes definiciones:

a. Activos Críticos Nacionales:

Es la establecida en el inciso 3.4 del artículo 3 del Decreto Supremo N° 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.

b. Acto Hostil en el Ciberespacio:

Es toda acción en y mediante el ciberespacio que atenta contra la seguridad nacional, soberanía, los intereses nacionales, los ACN/RC. Da derecho al ejercicio de la legítima defensa conforme a las reglas de enfrentamiento establecidas por la autoridad competente. Con frecuencia son no cinéticos, dificultando la determinación y atribución.

c. Amenaza en el Ciberespacio:

Todo acto fuente, circunstancia o evento de origen externo o interno con la capacidad potencial de generar, a través del uso de sistemas, herramientas cibernéticas o cualquier otro instrumento en y mediante el ciberespacio, efectos adversos, daños o perjuicios a la seguridad nacional, soberanía, los intereses nacionales, los ACN/RC. Entiéndase también como ciberamenazas.

d. Arma Cibernética:

Agente de software empleado para objetivos de interés militar como parte de una acción ofensiva en y mediante el ciberespacio. Entiéndase también como ciberarma.

e. Ciberespacio:

Comprende el conjunto de redes interconectadas e interdependientes de infraestructura de tecnología de la información y datos almacenados, que incluyen a la Internet, las redes de telecomunicaciones, los sistemas informáticos, procesadores y controladores integrados, junto con los usuarios que interactúan con ellos, entiéndase también como entorno digital. Conceptualmente es un ámbito sin un espacio físico más allá de la jurisdicción de cualquier nación.

f. Ciberseguridad:

Es la establecida en el inciso h) del artículo 3 del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

g. Incidente de Seguridad Digital:

Es la establecida en el inciso e) del artículo 3 del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

h. Intención Hostil en el Ciberespacio:

Es toda acción que evidencia la voluntad o preparación para ejecutar un acto hostil en o mediante el ciberespacio que atente contra la seguridad nacional, la soberanía, los intereses nacionales, los ACN/RC. Al igual que los actos hostiles son con frecuencia no cinéticos, lo que dificulta su determinación y atribución.

i. Marco de Seguridad Digital del Estado Peruano:

Es la establecida en el artículo 31 del Decreto Legislativo N° 1412, que aprueba la Ley de Gobierno Digital.

j. Operaciones Militares en el ciberespacio:

Es el empleo de las capacidades de ciberdefensa por parte de los órganos ejecutores del Ministerio de Defensa, de acuerdo con sus funciones y en el ámbito de sus respectivas competencias, contra las amenazas o ataques en y mediante el ciberespacio que atenten contra la seguridad nacional, la soberanía, los intereses nacionales y/o los ACN/RC. Entiéndase también como ciberoperaciones.

k. Recursos Claves:

Es la establecida en el inciso 3.13 del artículo 3 del Decreto Supremo N° 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.

l. Riesgo de Seguridad Digital:

Es la establecida en el inciso g) del artículo 3 del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

m. Seguridad Digital:

Es la establecida en el artículo 31 del Decreto Legislativo N° 1412, que aprueba la Ley de Gobierno Digital.

n. Seguridad Nacional: Es la situación en la cual el Estado tiene garantizada su independencia, soberanía e integridad y, la población los derechos fundamentales establecidos en la Constitución. Esta situación contribuye a la consolidación de la paz, al desarrollo integral y a la justicia social, basada en los valores democráticos y en el respeto a los derechos humanos.

o. Uso de la fuerza:

Entiéndase por uso de la fuerza, a la actuación que realizan las Fuerzas Armadas, en y mediante el ciberespacio, con los medios y métodos que correspondan, los cuales se encontrarán delimitados a lo que dispone el artículo 51 de la Carta de las Naciones Unidas, la ley de Ciberdefensa y las normas del Derecho Internacional de los Derechos Humanos y del Derecho Internacional Humanitario que sean aplicables.

p. Vulnerabilidades Cibernéticas:

Debilidad o ausencia de capacidad para la defensa cibernética que puede ser utilizada por una amenaza. Esto comprende, pero no se limita a, un diseño deficiente, errores de configuración o técnicas de codificación, debilidades tecnológicas o políticas de seguridad inadecuadas e inseguras.

Artículo V. Acrónimos

Para efectos del presente Reglamento se aplican los siguientes acrónimos:

a. ACN:

Activos críticos nacionales

b. RC:

Recursos clave

c. REN:

Reglas de enfrentamiento

d. JCFFAA:

Jefe del Comando Conjunto de las Fuerzas Armadas

e. COCID:

Comando Operacional de Ciberdefensa

TÍTULO I. DE LA CIBERDEFENSA

CAPÍTULO I. DEL MINISTERIO DE DEFENSA

Artículo 1.- Rol del Ministerio de Defensa en la Ciberdefensa

Para la gestión del Marco de Seguridad Digital del Estado Peruano, en el ámbito de la defensa, el Ministerio de Defensa, dentro del alcance de sus funciones y competencias dirige, norma, supervisa y evalúa las disposiciones en materia de ciberdefensa. El Ministerio de Defensa, es el órgano encargado de gestionar la ciberdefensa. Asimismo, dicta políticas y lineamientos para el planeamiento y conducción de operaciones militares en y mediante en el ciberespacio conforme a la Política de Seguridad y Defensa Nacional aprobada por el Consejo de Seguridad y Defensa Nacional y de manera articulada con los objetivos de seguridad nacional y con la Política Nacional de Transformación Digital.

CAPÍTULO II. DE LOS ÓRGANOS EJECUTORES DEL MINISTERIO DE DEFENSA EN MATERIA DE CIBERDEFENSA

Artículo 2.- Órganos Ejecutores del Ministerio de Defensa y componentes de ciberdefensa

La Ciberdefensa comprende al COCID, y a sus componentes de ciberdefensa que son: el Componente de Ciberdefensa del Ejército del Perú, Componente de Ciberdefensa de la Marina de Guerra del Perú y Componente de Ciberdefensa de la Fuerza Aérea del Perú, los cuales ejecutan operaciones de ciberdefensa en y mediante el ciberespacio.

Artículo 3.- Responsabilidades del Comando Operacional de Ciberdefensa

Son responsabilidades del COCID los siguientes:

a. Planear, organizar y conducir a nivel operacional las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa conjuntas.

b. Proteger sus sistemas de información y el segmento del ciberespacio asignado.

c. Garantizar la libertad de acción conjunta en y mediante el ciberespacio de las fuerzas militares asignadas, así como negar la misma al adversario; empleando los componentes de ciberdefensa de las Instituciones Armadas.

d. Gestionar el registro de incidentes, el intercambio de información sobre ataques informáticos y patrones de amenazas entre los componentes de ciberdefensa de las Instituciones Armadas. Dicho registro es interno y de uso exclusivo del Comando Operacional de Ciberdefensa, y tiene relevancia únicamente para las operaciones que realicen las Fuerzas Armadas.

e. Otras que se asignen en la normativa legal sobre la materia.

Artículo 4.- Responsabilidades de los Componentes de Ciberdefensa de las Instituciones Armadas

Son responsabilidades de los Componentes de Ciberdefensa de las Instituciones Armadas los siguientes:

a. Planear, organizar y conducir a nivel táctico las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa propias.

b. Proteger sus sistemas de información y el segmento del ciberespacio propio o asignado.

c. Alistar integralmente a las unidades a su cargo, para el eficiente desempeño de sus funcione

s. d. Desarrollar y mantener un óptimo nivel de sus capacidades de ciberdefensa.

e. Garantizar la libertad de acción en y mediante el ciberespacio propio o asignado, así como negar la misma a los adversarios.

f. Otras que se asignen en la normativa legal sobre la materia.

CAPÍTULO III. CAPACIDADES DE CIBERDEFENSA

Artículo 5.- De las medidas pasivas y activas de Ciberdefensa

5.1 Medidas pasivas en ciberdefensa:

Conjunto de actividades de prevención, protección y resiliencia del ciberespacio propio y/o asignado. Son de aplicación constante y generalizada, abarcando al personal, medios y sistemas propios o asignados. Involucra, pero no se limita a, el monitoreo de redes propias o asignadas, mantenimiento de sistemas informáticos, actualizaciones de seguridad y operativas, establecimiento de políticas, disposiciones, procedimientos y reglas de seguridad institucional, robustecimiento en la infraestructura cibernética propia y la concientización en materia de ciberdefensa, entre otras.

5.2 Medidas activas en ciberdefensa:

Conjunto de actividades de naturaleza proactiva, reactiva o de recuperación, en o mediante el ciberespacio propio, asignado y/o de interés. Estas medidas se aplican ante la necesidad militar para la defensa y la Seguridad Nacional. Involucra, pero no se limita a, el análisis de vulnerabilidades, una intensa labor de detección, evaluación, identificación y reconocimiento de actos hostiles o amenazas en el ciberespacio; o la aplicación de acciones cibernéticas sobre medios o sistemas que constituyen una amenaza, para degradar o neutralizar sus capacidades y formas de acción, a fin de impedir que estas puedan afectar la libertad de acción en el ciberespacio propio, asignado y/o de interés, entre otras.

Artículo 6.- Capacidades de Ciberdefensa de los Órganos Ejecutores del Ministerio de Defensa

En el ámbito de sus competencias, el COCID y los Componentes de Ciberdefensa de las Instituciones Armadas cuentan con las capacidades siguientes:

 a. Capacidad de Defensa:

Consiste en la prevención, protección y resiliencia de las diferentes plataformas tecnológicas o sistemas de información ante amenazas cibernéticas, actos hostiles u otros incidentes de seguridad digital; recurriendo a medidas pasivas y activas.

b. Capacidad de Explotación:

Consiste en la búsqueda, identificación, reconocimiento, vigilancia y seguimiento de ciberamenazas en y mediante el ciberespacio; recurriendo a medidas pasivas y activas.

c. Capacidad de Respuesta:

Consiste en limitar o negar, temporal o permanentemente, el uso del ciberespacio del objetivo militar mediante la degradación o neutralización de sus sistemas, impactando en sus capacidades; recurriendo a medidas activas.

d. Capacidad de Investigación Digital:

Consiste en el análisis de evidencia digital con la finalidad de determinar su funcionalidad, comportamiento, origen e impacto; así como su explotación futura a través de un proceso de ingeniería inversa. Engloba técnicas de investigación y análisis forense digital para recolectar, analizar y preservar evidencias sobre actos maliciosos en el ciberespacio, recurriendo a medidas pasivas y activas. Entiéndase también como Investigación Forense Digital. Esta capacidad de ciberdefensa se ejerce de acuerdo a las competencias asignadas, la cual no se vincula ni contrapone con la Investigación Digital que pueda realizar cualquier otra entidad pública o privada.

CAPÍTULO IV. OPERACIONES MILITARES EN Y MEDIANTE EL CIBERESPACIO

Artículo 7.- De las Operaciones Militares en y mediante el ciberespacio

Es el eficiente y eficaz empleo de las capacidades de ciberdefensa, articuladas sistémicamente por los Componentes de Ciberdefensa, de acuerdo a sus funciones y en el ámbito de sus respectivas competencias, contra las amenazas o ataques en y mediante el ciberespacio, cuando estos afecten la Seguridad Nacional. Entiéndase también como ciberoperaciones. Comprende el conjunto de acciones orientadas, planificadas, organizadas y coordinadas para ser ejecutadas en y mediante el ciberespacio, con la finalidad de generar los efectos militares deseados para la Seguridad Nacional.

CAPÍTULO V. DEL USO DE LA FUERZA EN Y MEDIANTE EL CIBERESPACIO

Artículo 8.- Del uso de la fuerza en las operaciones de Ciberdefensa

8.1 Los Componentes de Ciberdefensa de las Instituciones Armadas recurren al uso de la fuerza en y mediante el ciberespacio para degradar o neutralizar las capacidades y formas de acción del adversario, que afecten la libertad de acción propia en el ciberespacio, ante la necesidad militar para la Defensa y la Seguridad Nacional.

8.2 El uso de la fuerza en y mediante el ciberespacio sólo se atribuye a los componentes mencionados en el párrafo precedente en operaciones militares bajo la conducción del JCCFFAA, de conformidad con lo dispuesto en las normas de derecho internacional de derechos humanos y del derecho internacional humanitario.

Artículo 9.- De la Legítima Defensa Es el derecho que tiene el Estado, mediante el empleo de los componentes de ciberdefensa de las Instituciones Armadas, de emplear la fuerza en y mediante el ciberespacio para impedir, contener y/o neutralizar un acto o intención hostil, que atente o ponga en riesgo la Seguridad Nacional.

Artículo 10.- Autorización para el uso de la fuerza La autorización para el uso de la fuerza en las operaciones militares en y mediante del ciberespacio que atente con la seguridad nacional está sujeta a disposición expresa, por parte del señor Presidente de la República, Jefe Supremo de las Fuerzas Armadas, y se ejecuta a través de los procedimientos establecidos para las otras operaciones y acciones militares, conforme a la normativa establecida para tal fin.

Artículo 11.- Reglas de enfrentamiento Son instrucciones emitidas por el Jefe del Comando Conjunto de las Fuerzas Armadas, mediante los cuales se mantiene el control sobre el uso de la fuerza por parte de las Fuerzas Armadas durante la ejecución de las operaciones militares en y mediante el ciberespacio ante un acto hostil e intención hostil que afecten la seguridad nacional.

Artículo 12.- Finalidades de las reglas de enfrentamiento Las REN comprenden las siguientes finalidades:

a. Legal.  

Las REN constituyen un medio para asegurar que la actuación militar se sujete al marco jurídico vigente, tanto nacional como internacional durante la ejecución de las operaciones militares en y mediante el ciberespacio.

b. Militar.

Las REN sirven de guía a los comandantes en lo referido al uso de la fuerza, durante la ejecución de las operaciones militares en y mediante el ciberespacio estableciendo límites a su accionar.

c. Política.

Las REN son una forma de asegurar que las Fuerzas Armadas actúen según los lineamientos políticos del nivel estratégico, vinculados al estado final deseado.

Artículo 13.- Requerimiento, autorización o negación e implementación de REN

13.1 Cuando resulte necesario, el comandante militar que conduce las operaciones en y mediante el ciberespacio, puede requerir ante su superior inmediato la implementación, modificación o cancelación de alguna REN, a través del mecanismo de solicitud formal establecido por el JCCFFAA.

13.2 El comando superior que recibe la solicitud de implementación, modificación o cancelación de alguna REN se encuentra facultado para autorizar o denegar dicha solicitud, empleando los mecanismos formales establecidos por el JCCFFAA. Asimismo, el comando superior que recibe la solicitud, se encuentra facultado a incorporar restricciones adicionales a las REN liberadas.

Artículo 14.- De la responsabilidad y su exención Los supuestos de exención de responsabilidad penal derivados del uso de la fuerza durante las operaciones militares en y mediante el ciberespacio en aplicación de la Ley N° 30999, Ley de Ciberdefensa y el presente reglamento son regulados conforme a lo establecido en los numerales 3, 8 y 11 del artículo 20 del Código Penal, y en la Ley N° 27936, en materia de legítima defensa y cumplimiento del deber.

TÍTULO II. DE LA SEGURIDAD DE LOS ACTIVOS CRÍTICOS NACIONALES Y RECURSOS CLAVES

CAPÍTULO I. DE LA PROTECCIÓN DE CONTROL DE LOS ACN/RC

Artículo 15.- Protección y control de los activos críticos nacionales y recursos claves en y mediante el ciberespacio

15.1 Se considera que la seguridad digital de los ACN/RC es afectada cuando se genera un ataque directo o inminente a sus recursos, infraestructura y sistema en sus componentes digitales, por la materialización de riesgos derivados de amenazas y vulnerabilidades en y mediante el ciberespacio, y que generen como consecuencia daños a la persona, prosperidad económica, social y la seguridad nacional.

15.2 En el ámbito de la seguridad nacional, cuando la capacidad de protección en el ciberespacio de los operadores de los ACN/RC, del sector responsable de cada uno de ellos y/o de la Dirección Nacional de Inteligencia sean sobrepasados, la protección y control de los mismos estará a cargo del COCID siguiendo el protocolo descrito en artículo 17 del presente reglamento, con la finalidad de mantener las capacidades nacionales.

CAPÍTULO I.I DE LOS PROTOCOLOS DE ESCALAMIENTO, COORDINACIÓN, INTERCAMBIO Y ACTIVACIÓN PARA LA PROTECCIÓN DE LOS ACN/RC

Artículo 16.- De los responsables y etapas para la protección de los ACN/RC La protección de los ACN/RC en y mediante el ciberespacio se realiza a través de los siguientes responsables y etapas:

16.1 En un primer momento, la ciberseguridad del ACN/RC está a cargo de su propio operador para preservar la Seguridad Digital, en cumplimiento de la normatividad vigente en Seguridad y Confianza Digital; asimismo, coordina con el Sector Responsable y la Presidencia del Consejo de Ministros, a través del Secretaría de Gobierno y Transformación Digital.

16.2 En un segundo momento, a su solicitud, cuando se presente un incidente que no pueda ser gestionado por el operador o supere sus capacidades, la Dirección Nacional de Inteligencia (DINI) complementa la capacidad de ciberseguridad del operador del ACN/RC, en coordinación con la Presidencia del Consejo de Ministros, a través del Secretaría de Gobierno y Transformación Digital.

16.3 En un tercer momento, cuando la capacidad de ciberseguridad de los Operadores de los ACN/RC, el sector responsable y la DINI sea sobrepasada, el Ministerio de Defensa, a través del Comando Conjunto de las Fuerzas Armadas y el COCID complementa las capacidades de ciberseguridad con sus capacidades de ciberdefensa.

16.4 En un cuarto momento, la Secretaria de Gobierno y Transformación Digital, a través del Centro Nacional de Seguridad Digital puede acudir a la asistencia internacional en materia de Seguridad Digital cuando las capacidades de ciberseguridad y ciberdefensa nacionales hayan sido sobrepasadas. La asistencia internacional complementa las capacidades de Ciberseguridad de los operadores de los ACN/RC, el sector responsable, la DINI y las capacidades de Ciberdefensa del MINDEF.

Artículo 17.- Sobre el Protocolo de escalamiento, coordinación, intercambio y activación de incidentes de seguridad digital

17.1 El Protocolo de escalamiento, coordinación, intercambio y activación, debe incluir los procedimientos detallados, criterios y condiciones para la identificación y cambio de momento a los cuales se refiere el artículo precedente del presente reglamento, así como la asignación de responsabilidades y la cadena de autoridad apropiada, de acuerdo a la normativa legal vigente.

17.2 El Protocolo de escalamiento, coordinación, intercambio y activación debe ser legible para humanos y adecuados para su uso mediante plataformas digitales o aplicaciones informáticas que automaticen el intercambio de información.

17.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital elabora y emite el Protocolo de escalamiento, coordinación, intercambio y activación de incidentes de seguridad digital de los ACN/RC, de conformidad con lo establecido en el artículo 13 de la Ley.

17.4 Cuando algún incidente de seguridad digital comprometa los ACN/RC, se ejecuta el Protocolo de escalamiento, coordinación, intercambio y activación a través de las Directivas y/o lineamientos emitidos por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital.

17.5 El referido protocolo se ejecuta con la comunicación directa e inmediata desde la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital al titular o representante del sector correspondiente.

DISPOSICIÓN COMPLEMENTARIA FINAL ÚNICA

Entrenamiento de capacidades en ciberdefensa Los Órganos Ejecutores del Ministerio de Defensa establecen de manera permanente ejercicios en ciberdefensa con la finalidad de entrenar las capacidades en ciberdefensa. La Secretaría de Gobierno y Transformación Digital, a través del Centro Nacional de Seguridad Digital realiza entrenamientos de forma periódica en coordinación con el COCID y sus componentes de ciberdefensa.