2 NORMAS LEGALES Martes 13 de febrero de 2024 / El Peruano

Que, de acuerdo a lo establecido en el artículo 8 del

PODER EJECUTIVO citado Decreto Legislativo, la Presidencia del Consejo de
Ministros, a través de la Secretaría de Gobierno Digital
(actualmente, Secretaría de Gobierno y Transformación
Digital), es el ente rector en materia de gobierno digital
PRESIDENCIA DEL CONSEJO que comprende tecnologías digitales, identidad digital,
interoperabilidad, servicio digital, datos, seguridad digital
DE MINISTROS y arquitectura digital;
Que, el artículo 30 del Decreto Legislativo Nº 1412,
establece que la seguridad digital es el estado de confianza
Decreto Supremo que aprueba el en el entorno digital que resulta de la gestión y aplicación
Reglamento de la Ley Nº 30999, Ley de de un conjunto de medidas proactivas y reactivas frente a
Ciberdefensa los riesgos que afectan la seguridad de las personas, la
prosperidad económica y social, la seguridad nacional y
DECRETO SUPREMO los objetivos nacionales en dicho entorno;
Nº 017-2024-PCM Que, según lo dispuesto en los artículos 31 y 32 del
Decreto Legislativo Nº 1412, el Marco de Seguridad
LA PRESIDENTA DE LA REPÚBLICA Digital del Estado Peruano se constituye en el conjunto
de principios, modelos, políticas, normas, procesos,
CONSIDERANDO: roles, tecnología y estándares mínimos que permitan
preservar la confidencialidad, integridad, disponibilidad
Que, el artículo 44 de la Constitución Política del de la información en el entorno digital administrado por
Perú, establece que son deberes primordiales del las entidades de la Administración Pública; y, cuenta,
Estado, defender la soberanía nacional; garantizar la entre otros, con el ámbito de Defensa, según el cual, el
plena vigencia de los derechos humanos; proteger a Ministerio de Defensa, en el marco de sus funciones y
la población de las amenazas contra su seguridad; y, competencias, dirige, norma, supervisa y evalúa las
promover el bienestar general que se fundamenta en la normas en materia de ciberdefensa;
justicia y el desarrollo integral y equilibrado de la Nación; Que, la Ley Nº 30999, Ley de Ciberdefensa, tiene
Que, el Decreto Legislativo Nº 1412, Decreto como objeto establecer el marco normativo en materia
Legislativo que aprueba la Ley de Gobierno Digital, tiene de ciberdefensa del Estado peruano, regulando las
por objeto establecer el marco de gobernanza del gobierno operaciones militares en y mediante el ciberespacio a
digital para la adecuada gestión de la identidad digital, cargo de los órganos ejecutores del Ministerio de Defensa
servicios digitales, arquitectura digital, interoperabilidad, dentro de su ámbito de competencia; con la finalidad de
seguridad digital y datos, así como el régimen jurídico defender y proteger la soberanía, los intereses nacionales,
aplicable al uso transversal de tecnologías digitales en los activos críticos nacionales y recursos claves para
la digitalización de procesos y prestación de servicios mantener las capacidades nacionales frente a amenazas
digitales por parte de las entidades de la Administración o ataques en y mediante el ciberespacio, cuando estos
Pública en los tres niveles de gobierno; afecten la seguridad nacional;

NLA Normas Legales

Actualizadas
NORMAS LEGALES ACTUALIZADAS
MANTENTE
INFORMADO CON
LO ÚLTIMO EN
NORMAS LEGALES
Utilice estas normas con la certeza de que
están vigentes.

INGRESA A NORMAS LEGALES ACTUALIZADAS

https://diariooficial.elperuano.pe/normas/normasactualizadas

Preguntas y comentarios: normasactualizadas@editoraperu.com.pe

 El Peruano / Martes 13 de febrero de 2024 NORMAS LEGALES 3
Que, el artículo 4 de la citada Ley, define a la REGLAMENTO DE LA LEY Nº 30999,
ciberdefensa, como la capacidad militar que permite LEY DE CIBERDEFENSA
actuar frente a amenazas o ataques realizados en
y mediante el ciberespacio cuando estos afecten la TÍTULO PRELIMINAR
seguridad nacional; DISPOSICIONES GENERALES
Que, la Primera Disposición Complementaria Final
de la Ley Nº 30999, dispone que la Presidencia del Artículo I.- Objeto
Consejo de Ministros, en coordinación con el Ministerio El presente reglamento tiene por objeto establecer las
de Defensa, aprueba el reglamento de la Ley; disposiciones normativas para regular las capacidades de
Que, en virtud a los numerales 14 y 17 del inciso 28.1 ciberdefensa, operaciones militares, y uso de la fuerza en
del artículo 28 del Reglamento que desarrolla el Marco y mediante el ciberespacio, entre otras disposiciones para
Institucional que rige el Proceso de Mejora de la Calidad preservar la seguridad nacional, a cargo de los órganos
Regulatoria y establece los Lineamientos Generales para ejecutores del Ministerio de Defensa, dentro de su ámbito
la aplicación del Análisis de Impacto Regulatorio Ex Ante, de competencia, en el marco de la Ley Nº 30999, Ley de
aprobado por Decreto Supremo Nº 063-2021-PCM, la Ciberdefensa (en adelante la Ley).
presente norma se considera excluida del alcance del
AIR Ex Ante por la materia que comprende disposiciones Artículo II.- Finalidad
consistentes en regular las operaciones militares en y El presente reglamento tiene por finalidad garantizar
mediante el ciberespacio para preservar la seguridad que las capacidades nacionales mantengan la continuidad
nacional; de sus operaciones a través de la protección en y mediante
Que, en ese sentido, la Secretaría de Gobierno y el ciberespacio de los activos críticos nacionales, recursos
Transformación Digital de la Presidencia del Consejo de claves, la soberanía y los intereses nacionales frente
Ministros sustenta la necesidad de aprobar el Reglamento amenazas o ataques, cuando estos afecten la seguridad
de la Ley Nº 30999, Ley de Ciberdefensa, el cual tiene nacional.
por objeto establecer las disposiciones normativas para
regular las capacidades de ciberdefensa, operaciones Artículo III.- Marco jurídico aplicable
militares, y uso de la fuerza en y mediante el ciberespacio, Las operaciones militares en y mediante el
entre otras disposiciones para preservar la seguridad ciberespacio, cuando afecten la seguridad nacional, se
nacional, a cargo de los órganos ejecutores del Ministerio sujetan a lo establecido en la Constitución Política del
de Defensa, dentro de su ámbito de competencia; Perú, la legislación nacional y las normas del derecho
De conformidad con lo dispuesto en el numeral 8 internacional que resulten aplicables.
del artículo 118 de la Constitución Política del Perú; la
Ley Nº 29158, Ley Orgánica del Poder Ejecutivo; la Ley Artículo IV. Definiciones
Nº 30999, Ley de Ciberdefensa; y, el Texto Integrado Para efectos de la Ley y el presente reglamento se
del Reglamento de Organización y Funciones de la entiende de forma específica las siguientes definiciones:
Presidencia del Consejo de Ministros, aprobado mediante
Resolución Ministerial Nº 224-2023-PCM; a. Activos Críticos Nacionales (ACN): Es la
establecida en el numeral 3.4 del artículo 3 del Reglamento
DECRETA: para la Identificación, Evaluación y Gestión de Riesgos
de los Activos Críticos Nacionales (ACN), aprobado por
Artículo 1.- Aprobación de Reglamento Decreto Supremo Nº 106-2017-PCM.
Aprobar el Reglamento de la Ley Nº 30999, Ley de
Ciberdefensa, el mismo que consta de un (01) Título b. Acto hostil en el ciberespacio: Es toda acción en
Preliminar, cinco (05) Capítulos en el Título I, dos (02) y mediante el ciberespacio que atenta contra la seguridad
Capítulos en el Título II, dieciséis (16) artículos y dos (02) nacional, soberanía, los intereses nacionales, los ACN/RC.
Disposiciones Complementarias Finales, el cual forma Da derecho al ejercicio de la legítima defensa conforme a
parte integrante del presente Decreto Supremo. las reglas de enfrentamiento establecidas por la autoridad
competente, de acuerdo con la normatividad vigente. Con
Artículo 2.- Publicación frecuencia son no cinéticos, dificultando la determinación
Disponer la publicación del presente Decreto y atribución.
Supremo y el Reglamento aprobado mediante el artículo
precedente, en la Plataforma Digital Única del Estado c. Amenaza en el ciberespacio: Todo acto fuente,
Peruano para Orientación al Ciudadano (www.gob.pe) y circunstancia o evento de origen externo o interno con
en las sedes digitales de la Presidencia del Consejo de la capacidad potencial de generar, a través del uso de
Ministros (www.gob.pe/pcm) y del Ministerio de Defensa sistemas, herramientas cibernéticas o cualquier otro
(www.gob.pe/mindef), el mismo día de su publicación en instrumento en y mediante el ciberespacio, efectos
el Diario Oficial El Peruano. adversos, daños o perjuicios a la seguridad nacional,
soberanía, los intereses nacionales, los ACN/RC
Artículo 3. Financiamiento (Entiéndase también como ciberamenazas).
La implementación y la sostenibilidad de las acciones
involucradas en el Presente Decreto Supremo y el d. Arma cibernética: Agente de software empleado
Reglamento, se financia con cargo a los presupuestos para objetivos de interés militar como parte de una acción
institucionales de los Pliegos involucrados, sin demandar ofensiva en y mediante el ciberespacio. Entiéndase
recursos adicionales al Tesoro Público. también como ciberarma.

Artículo 4.- Refrendo e. Ciberespacio: Comprende el conjunto de redes

El presente Decreto Supremo es refrendado por interconectadas e interdependientes de infraestructura de
el Presidente del Consejo de Ministros y el Ministro de tecnología de la información, que incluyen a internet, las
Defensa. redes de telecomunicaciones, sistemas aislados (redes,
sistemas y dispositivos de almacenamiento de información no
Dado en la Casa de Gobierno, en Lima, a los trece conectados a internet), software, información, los protocolos
días del mes de febrero del año dos mil veinticuatro. de transportes, la energía eléctrica, los sistemas informáticos,
procesadores y controladores integrados, junto con las
DINA ERCILIA BOLUARTE ZEGARRA personas que interactúan con ellos, entiéndase también como
Presidenta de la República entorno digital. Conceptualmente es un ámbito sin un espacio
físico más allá de la jurisdicción de cualquier nación.
LUIS ALBERTO OTÁROLA PEÑARANDA
Presidente del Consejo de Ministros f. Ciberseguridad: Es la establecida en el inciso h) del
artículo 3 del Decreto de Urgencia Nº 007-2020, Decreto
JORGE LUIS CHÁVEZ CRESTA de Urgencia que aprueba el Marco de Confianza Digital y
Ministro de Defensa dispone medidas para su fortalecimiento.
4 NORMAS LEGALES Martes 13 de febrero de 2024 / El Peruano

g. Incidente de seguridad digital: Es la establecida correspondan, los cuales se encuentran delimitados a lo

en el inciso e) del artículo 3 del Decreto de Urgencia Nº que dispone el artículo 51 de la Carta de las Naciones
007-2020, Decreto de Urgencia que aprueba el Marco de Unidas, la ley de Ciberdefensa y las normas del Derecho
Confianza Digital y dispone medidas para su fortalecimiento. Internacional de los Derechos Humanos y del Derecho
Internacional Humanitario y demás normativa del derecho
h. Infraestructura: Es la establecida en el inciso 3.3, internacional aplicable.
del artículo 3, del Decreto Supremo Nº 106-2017-PCM,
Decreto Supremo que aprueba el Reglamento para la u. Vulnerabilidades cibernéticas: Debilidad o ausencia
Identificación, Evaluación y Gestión de Riesgos de los de capacidad para la defensa cibernética que puede ser
Activos Críticos Nacionales. utilizada por una amenaza. Esto comprende, pero no se
limita a, un diseño deficiente, errores de configuración
i. Intención hostil en el ciberespacio: Es toda acción o técnicas de codificación, debilidades tecnológicas o
que evidencia la voluntad o preparación para ejecutar políticas de seguridad inadecuadas e inseguras.
un acto hostil en o mediante el ciberespacio que atente
contra la seguridad nacional, la soberanía, los intereses Artículo V. Acrónimos
nacionales, los ACN/RC. Al igual que los actos hostiles Para efectos del presente reglamento se aplican los
son con frecuencia no cinéticos, lo que dificulta su siguientes acrónimos:
determinación y atribución.
a. ACN: Activos críticos nacionales
j. Legítima defensa: Es el derecho que tiene el Estado, b. RC: Recursos clave
mediante el empleo de los componentes de ciberdefensa c. REN: Reglas de enfrentamiento
de los órganos ejecutores del Ministerio de Defensa, de d. JCCFFAA: Jefe del Comando Conjunto de las
usar la fuerza en y mediante el ciberespacio para impedir, Fuerzas Armadas
contener y/o neutralizar un acto o intención hostil, que e. COCID: Comando Operacional de Ciberdefensa
atente o ponga en riesgo la Seguridad Nacional.
TÍTULO I
k. Marco de Seguridad Digital del Estado Peruano: DE LA CIBERDEFENSA
Es la establecida en el artículo 31 del Decreto Legislativo
Nº 1412, que aprueba la Ley de Gobierno Digital. CAPÍTULO I
DEL MINISTERIO DE DEFENSA
l. Operaciones militares en el ciberespacio: Es el
empleo de las capacidades de ciberdefensa por parte Artículo 1.- Rol del Ministerio de Defensa en la
de los órganos ejecutores del Ministerio de Defensa, Ciberdefensa
de acuerdo con sus funciones y en el ámbito de sus Para la gestión del marco de Seguridad Digital del
respectivas competencias, contra las amenazas o ataques Estado Peruano, en el ámbito de la defensa, el Ministerio
que atenten contra la seguridad nacional, la soberanía, los de Defensa, dentro del alcance de sus funciones y
intereses nacionales y/o los ACN/RC. Entiéndase también competencias dirige, norma, supervisa y evalúa las
como ciberoperaciones. disposiciones en materia de ciberdefensa.
El Ministerio de Defensa, es la entidad encargada
m. Operador de los Activos Críticos Nacionales - de gestionar la ciberdefensa. Asimismo, dicta políticas
ACN: Es la establecida en el inciso 3.6, del artículo 3, del y lineamientos para el planeamiento y conducción de
Decreto Supremo Nº 106-2017-PCM, Decreto Supremo que operaciones militares en y mediante el ciberespacio
aprueba el Reglamento para la Identificación, Evaluación y conforme a la Política de Seguridad y Defensa Nacional
Gestión de Riesgos de los Activos Críticos Nacionales. aprobada por el Consejo de Seguridad y Defensa Nacional
y de manera articulada con los objetivos de seguridad
n. Recursos Claves: Es la establecida en el inciso nacional y con la Política Nacional de Transformación
3.13 del artículo 3 del Decreto Supremo Nº 106-2017- Digital, aprobada mediante el Decreto Supremo Nº 085-
PCM, Decreto Supremo que aprueba el Reglamento para 2023-PCM u otra norma que lo sustituya.
la Identificación, Evaluación y Gestión de Riesgos de los
Activos Críticos Nacionales. CAPÍTULO II
DE LOS ÓRGANOS EJECUTORES DEL MINISTERIO
o. Reglas de enfrentamiento: Se entiende de acuerdo DE DEFENSA EN MATERIA DE CIBERDEFENSA
con lo establecido en el artículo 10 del presente reglamento.
Artículo 2.- Órganos Ejecutores del Ministerio de
p. Riesgo de Seguridad Digital: Es la establecida Defensa y componentes de ciberdefensa
en el inciso g) del artículo 3 del Decreto de Urgencia Los órganos ejecutores del Ministerio de Defensa
Nº 007-2020, Decreto de Urgencia que aprueba el están constituidos por el Ejército, la Marina de Guerra,
Marco de Confianza Digital y dispone medidas para su la Fuerza Aérea, y el Comando Conjunto de las Fuerzas
fortalecimiento. Armadas.
La ciberdefensa comprende al COCID, y a sus
q. Sector Responsable: Es la establecida en el inciso componentes de ciberdefensa que son: el componente
3.5, del artículo 3, del Decreto Supremo Nº 106-2017- de Ciberdefensa del Ejército del Perú, componente
PCM, Decreto Supremo que aprueba el Reglamento para de Ciberdefensa de la Marina de Guerra del Perú y
la Identificación, Evaluación y Gestión de Riesgos de los componente de Ciberdefensa de la Fuerza Aérea del
Activos Críticos Nacionales. Perú, los cuales ejecutan operaciones de ciberdefensa en
y mediante el ciberespacio.
r. Seguridad Digital: Es la establecida en el artículo
30 del Decreto Legislativo Nº 1412, que aprueba la Ley de Artículo 3.- Responsabilidades del Comando
Gobierno Digital. Operacional de Ciberdefensa
Son responsabilidades del COCID los siguientes:
s. Seguridad nacional: Es la situación en la cual el
Estado tiene garantizada su independencia, soberanía a. Planear, organizar y conducir las operaciones
e integridad y, la población los derechos fundamentales militares en y mediante el ciberespacio, ejerciendo el
establecidos en la Constitución. Esta situación contribuye comando y control de las operaciones de ciberdefensa
a la consolidación de la paz, al desarrollo integral y a la conjuntas.
justicia social, basada en los valores democráticos y en el b. Proteger sus sistemas de información y el segmento
respeto a los derechos humanos. del ciberespacio asignado.
c. Gestionar el registro de incidentes, el intercambio
t. Uso de la fuerza: Entiéndase por uso de la fuerza, de información sobre ataques informáticos y patrones de
a la actuación que realizan las Fuerzas Armadas, en y amenazas entre los componentes de ciberdefensa de las
mediante el ciberespacio, con los medios y métodos que Instituciones Armadas. Dicho registro es interno y de uso
 El Peruano / Martes 13 de febrero de 2024 NORMAS LEGALES 5
exclusivo del COCID, y tiene relevancia únicamente para para recolectar, analizar y preservar evidencias sobre
las operaciones que realicen las Fuerzas Armadas. actos maliciosos en el ciberespacio, recurriendo a medidas
d. Otras que se asignen en la normativa legal sobre pasivas y activas. Esta capacidad de ciberdefensa se
la materia. ejerce de acuerdo a las competencias asignadas, la cual
no se vincula ni contrapone con la Investigación Digital que
Artículo 4.- Responsabilidades de los componentes pueda realizar cualquier otra entidad pública o privada.
de ciberdefensa de las Instituciones Armadas
Son responsabilidades de los componentes de CAPÍTULO IV
ciberdefensa de las Instituciones Armadas las siguientes: OPERACIONES MILITARES EN Y MEDIANTE
EL CIBERESPACIO
a. Planear, organizar y conducir a su nivel las
operaciones militares en y mediante el ciberespacio, Artículo 7.- De las Operaciones Militares en y
ejerciendo el comando y control de las operaciones de mediante el ciberespacio
ciberdefensa propias. Comprende el conjunto de acciones orientadas,
b. Proteger sus sistemas de información y el segmento planificadas, organizadas y coordinadas para ser
del ciberespacio propio o asignado. ejecutadas en y mediante el ciberespacio, con la finalidad
c. Alistar integralmente a las unidades a su cargo, para de generar los efectos militares deseados para la
el eficiente desempeño de sus funciones. seguridad nacional.
d. Desarrollar y mantener un óptimo nivel de sus Con el empleo de las capacidades de ciberdefensa
capacidades de ciberdefensa. en las operaciones militares, articuladas sistémicamente
e. Otras que se asignen en la normativa legal sobre por los componentes de ciberdefensa, de acuerdo
la materia. a sus funciones y en el ámbito de sus respectivas
competencias, contra las amenazas o ataques cuando
CAPÍTULO III estos afecten la Seguridad Nacional. Entiéndase también
CAPACIDADES DE CIBERDEFENSA como ciberoperaciones.

Artículo 5.- De las medidas pasivas y activas de CAPÍTULO V

ciberdefensa DEL USO DE LA FUERZA EN Y MEDIANTE EL
CIBERESPACIO
5.1 Medidas pasivas en ciberdefensa: conjunto de
actividades de prevención, protección y resiliencia del Artículo 8.- Del uso de la fuerza en las operaciones
ciberespacio propio y/o asignado. Son de aplicación de Ciberdefensa
constante y generalizada, abarcando al personal, medios y
sistemas propios o asignados. Involucra, pero no se limita 8.1 Los componentes de ciberdefensa de las Instituciones
al monitoreo de redes propias o asignadas, mantenimiento Armadas recurren al uso de la fuerza en y mediante el
de sistemas informáticos, actualizaciones de seguridad y ciberespacio para degradar o neutralizar las capacidades y
operativas, establecimiento de políticas, disposiciones, formas de acción del adversario, que afecten la libertad de
procedimientos y reglas de seguridad institucional, acción propia en el ciberespacio, ante la necesidad militar
robustecimiento en la infraestructura cibernética propia y para la Defensa y la seguridad nacional.
la concientización en materia de ciberdefensa, entre otras. 8.2 El uso de la fuerza en y mediante el ciberespacio sólo
5.2 Medidas activas en ciberdefensa: conjunto se atribuye a los componentes mencionados en el párrafo
de actividades de naturaleza proactiva, reactiva o de precedente en operaciones militares bajo la conducción
recuperación, en o mediante el ciberespacio propio, del JCCFFAA, de conformidad con lo dispuesto en las
asignado y/o de interés. Estas medidas se aplican ante la normas de Derecho Internacional de Derechos Humanos,
necesidad militar para la defensa y la seguridad nacional. del Derecho Internacional Humanitario y demás normativa
Involucra, pero no se limita al análisis de vulnerabilidades, del derecho internacional aplicable.
una intensa labor de detección, evaluación, identificación
y reconocimiento de actos hostiles o amenazas en el Artículo 9.- Autorización para el uso de la fuerza
ciberespacio; o la aplicación de acciones cibernéticas La autorización para el uso de la fuerza en las
sobre medios o sistemas que constituyen una amenaza, operaciones militares en y mediante el ciberespacio
para degradar o neutralizar sus capacidades y formas que atente contra la seguridad nacional está sujeta
de acción, a fin de impedir que estas puedan afectar la a disposición expresa, por parte del Presidente de la
libertad de acción en el ciberespacio propio, asignado y/o República, Jefe Supremo de las Fuerzas Armadas, que
de interés, entre otras. se efectúa por medio de Resolución Suprema refrendada
por el Ministro de Defensa, y se ejecuta a través de los
Artículo 6.- Capacidades de ciberdefensa de los procedimientos establecidos para las otras operaciones
Órganos Ejecutores del Ministerio de Defensa militares, conforme a la normativa establecida para tal fin.
En el ámbito de sus competencias, el COCID y los
Componentes de Ciberdefensa de las Instituciones Artículo 10.- Reglas de enfrentamiento
Armadas cuentan con las capacidades siguientes: Son instrucciones emitidas por el JCCFFAA, mediante
los cuales se mantiene el control sobre el uso de la fuerza
a. Capacidad de Defensa: consiste en la prevención, por parte de las Fuerzas Armadas durante la ejecución de
protección y resiliencia de las diferentes plataformas las operaciones militares en y mediante el ciberespacio
tecnológicas o sistemas de información ante amenazas ante un acto hostil e intención hostil que afecten la
cibernéticas, actos hostiles u otros incidentes de seguridad seguridad nacional. Se aprueban por Resolución Suprema
digital; recurriendo a medidas pasivas y activas. refrendada por el Ministro de Defensa.
b. Capacidad de explotación: consiste en la búsqueda,
identificación, reconocimiento, vigilancia y seguimiento de Artículo 11.- Finalidades de las reglas de
ciberamenazas en y mediante el ciberespacio; recurriendo enfrentamiento
a medidas pasivas y activas. Las REN comprenden las siguientes finalidades:
c. Capacidad de respuesta: consiste en limitar o negar,
temporal o permanentemente, el uso del ciberespacio del a. Legal.- Las REN constituyen un medio para asegurar
objetivo militar mediante la degradación o neutralización que la actuación militar se sujete al marco jurídico vigente,
de sus sistemas, impactando en sus capacidades; tanto nacional como internacional durante la ejecución de
recurriendo a medidas activas. las operaciones militares en y mediante el ciberespacio.
d. Capacidad de investigación digital o Investigación b. Militar.- Las REN sirven de guía a los comandantes
Forense Digital: consiste en el análisis de evidencia en lo referido al uso de la fuerza, durante la ejecución de
digital con la finalidad de determinar su funcionalidad, las operaciones militares en y mediante el ciberespacio,
comportamiento, origen e impacto; así como su explotación estableciendo límites a su accionar.
futura a través de un proceso de ingeniería inversa. c. Política.- Las REN son una forma de asegurar que
Engloba técnicas de investigación y análisis forense digital las Fuerzas Armadas actúen según los lineamientos
6 NORMAS LEGALES Martes 13 de febrero de 2024 / El Peruano

políticos del nivel estratégico, vinculados al estado final de ciberseguridad del operador del ACN/RC, en
deseado. coordinación con la Presidencia del Consejo de Ministros,
a través de la Secretaría de Gobierno y Transformación
Artículo 12.- Requerimiento, autorización Digital o la que haga sus veces.
o negación e implementación de las reglas de 15.3 En un tercer momento, a su solicitud, cuando la
enfrentamiento capacidad de ciberseguridad de los Operadores de los
ACN/RC, el sector responsable y la DINI sea sobrepasada,
12.1 Cuando resulte necesario, el comandante el Ministerio de Defensa, a través del Comando Conjunto
militar que conduce las operaciones en y mediante el de las Fuerzas Armadas y el COCID complementa las
ciberespacio, puede requerir ante su superior inmediato capacidades de ciberseguridad con sus capacidades de
la implementación, modificación o cancelación de ciberdefensa.
alguna REN, a través del mecanismo de solicitud formal 15.4 En un cuarto momento, la Secretaría de Gobierno
establecido por el JCCFFAA. y Transformación Digital o la que haga sus veces, a
12.2 El comando superior que recibe la solicitud de través del Centro Nacional de Seguridad Digital, en el
implementación, modificación o cancelación de alguna marco de sus competencias establecidas en el Decreto
REN se encuentra facultado para autorizar o denegar de Urgencia Nº 007-2020, ejerce sus propias facultades
dicha solicitud, empleando los mecanismos formales y/o acude a la asistencia nacional e internacional en
establecidos por el JCCFFAA. Asimismo, el comando materia de Seguridad Digital cuando las capacidades
superior que recibe la solicitud, se encuentra facultado a de ciberseguridad y ciberdefensa nacionales hayan sido
incorporar restricciones adicionales a las REN liberadas. sobrepasadas. La asistencia internacional complementa
las capacidades de Ciberseguridad de los operadores
Artículo 13.- De la responsabilidad y su exención de los ACN/RC, el sector responsable, la DINI y las
Los supuestos de exención de responsabilidad penal capacidades de ciberdefensa de los órganos ejecutores
derivados del uso de la fuerza durante las operaciones del Ministerio de Defensa.
militares en y mediante el ciberespacio en aplicación
de la Ley Nº 30999, Ley de Ciberdefensa y el presente Artículo 16.- Sobre el Protocolo de escalamiento,
reglamento son regulados conforme con lo establecido en coordinación, intercambio y activación de incidentes
los incisos 8 y 11 del artículo 20 del Código Penal. de seguridad digital

TÍTULO II 16.1 El Protocolo de escalamiento, coordinación,

DE LA SEGURIDAD DE LOS ACTIVOS CRÍTICOS intercambio y activación, debe incluir los procedimientos
NACIONALES Y RECURSOS CLAVES detallados, criterios y condiciones para la identificación
y cambio de momento a los cuales se refiere el artículo
CAPÍTULO I precedente, así como la asignación de responsabilidades
DE LA PROTECCIÓN DE CONTROL y la cadena de autoridad apropiada, de acuerdo a la
DE LOS ACN/RC normativa legal vigente.
16.2 El Protocolo de escalamiento, coordinación,
Artículo 14.- Protección y control de los activos intercambio y activación debe ser legible para humanos y
críticos nacionales y recursos claves en y mediante adecuados para su uso mediante plataformas digitales o
el ciberespacio aplicaciones informáticas que automaticen el intercambio
de información.
14.1 Se considera que la seguridad digital de los ACN/ 16.3 La Presidencia del Consejo de Ministros, a través
RC es afectada cuando se genera un ataque directo o de la Secretaría de Gobierno y Transformación Digital o
inminente a sus recursos, infraestructura y sistema en sus la que haga sus veces, elabora y emite el Protocolo de
componentes digitales, por la materialización de riesgos escalamiento, coordinación, intercambio y activación
derivados de amenazas y vulnerabilidades en y mediante de incidentes de seguridad digital de los ACN/RC, de
el ciberespacio, y que generen como consecuencia conformidad con lo establecido en el artículo 13 de la Ley.
daños a la persona, prosperidad económica, social y la 16.4 Cuando algún incidente de seguridad digital
seguridad nacional. comprometa los ACN/RC, se ejecuta el Protocolo de
14.2 En el ámbito de la seguridad nacional, cuando escalamiento, coordinación, intercambio y activación a
la capacidad de protección en el ciberespacio de los través de las Directivas y/o lineamientos emitidos por la
operadores de los ACN/RC, del sector responsable de cada Secretaría de Gobierno y Transformación Digital o la que
uno de ellos y/o de la Dirección Nacional de Inteligencia haga sus veces.
(DINI) sean sobrepasados, la protección y control de los 16.5 El referido protocolo se ejecuta con la
mismos está a cargo del COCID, siguiendo el protocolo comunicación directa e inmediata desde la Presidencia
señalado en el artículo 16 del presente reglamento, con la del Consejo de Ministros, a través de la Secretaría de
finalidad de mantener las capacidades nacionales. Gobierno y Transformación Digital o la que haga sus veces,
al titular o representante del sector correspondiente.
CAPÍTULO II
DE LOS PROTOCOLOS DE ESCALAMIENTO, DISPOSICIONES COMPLEMENTARIAS
COORDINACIÓN, INTERCAMBIO Y ACTIVACIÓN FINALES
PARA LA PROTECCIÓN DE LOS ACN/RC
Primera. Entrenamiento de capacidades en
Artículo 15.- De los responsables y etapas para la ciberdefensa
protección de los ACN/RC Los Órganos Ejecutores del Ministerio de Defensa
La protección de los ACN/RC en y mediante el establecen de manera permanente ejercicios en
ciberespacio se realiza a través de los siguientes ciberdefensa con la finalidad de entrenar las capacidades
responsables y etapas: en ciberdefensa.

15.1 En un primer momento, la ciberseguridad Segunda. Protocolo de escalamiento,

del ACN/RC está a cargo de su propio operador para coordinación, intercambio y activación de incidentes
preservar la Seguridad Digital, en cumplimiento de la de seguridad digital
normatividad vigente en seguridad y confianza digital; La Presidencia del Consejo de Ministros, a través de la
asimismo, coordina con el sector responsable y la Secretaría de Gobierno y Transformación Digital o la que
Presidencia del Consejo de Ministros, a través de la haga sus veces, emite los protocolos de escalamiento,
Secretaría de Gobierno y Transformación Digital o la que coordinación, intercambio y activación de incidentes de
haga sus veces. seguridad digital de los ACN/RC, en un plazo no mayor
15.2 En un segundo momento, a su solicitud, cuando a ciento ochenta (180) días hábiles contados a partir del
se presente un incidente que no pueda ser gestionado día siguiente de la publicación del presente Reglamento.
por el operador o supere sus capacidades, la Dirección
Nacional de Inteligencia (DINI) complementa la capacidad 2261522-1