Concepto Jurídico Ministerio de Defensa Nacional al Proyecto de Ley número 10 de 2023 Senado, por medio del cual se crea la Agencia Nacional de Seguridad Digital y se crean otras disposiciones
| Fecha de publicación | 06 Octubre 2023 |
| Número de Gaceta | 1418 |
Página 18 Viernes, 6 de octubre de 2023 Gaceta del Congreso 1418
CONCEPTOS JURÍDICOS
CONCEPTO JURÍDICO MINISTERIO DE DEFENSA NACIONAL AL PROYECTO DE LEY
NÚMERO 10 DE 2023 SENADO
por medio del cual se crea la Agencia Nacional de Seguridad Digital y se crean otras disposiciones.
Bogotá D.C., 05de octubre de 2023
Senador
IIVVÁÁ
N
N NNAAMM
E
E VVÁÁSSQQUUEE
Z
Z
Presidente
Senado de la República
Ciudad
AAssuunnttoo::
Observaciones al Proyecto de Ley No.010 de 2023 Senado
Respetado presidente:
De manera atenta el Ministerio de Defensa Nacional remite observaciones al P
Prrooyyeecctt
o
o dd
e
e LLee
y
y
NNoo
.
. 0011
0
0 dd
e
e 220022
3
3 SSeennaaddoo
“Por medio del cual se crea la Agencia Nacional de Seguridad Digital
y se crean otras disposiciones”, en los términos que se exponen a continuación.
11..OObbjjeett
o
o
Esta iniciativa legislativa tiene por objeto la creación de una Agencia Nacional de Seguridad
Digital (ANSD) como entidad nacional de la Rama Ejecutiva adscrita al Ministerio de Tecnologías
de la Información y las Comunicaciones, descentralizada y de naturaleza especial, con
personería jurídica, autonomía administrativa, financiera y patrimonio propio. Esta Entidad
tendría la autoridad para la formulación y aplicación de y políticas públicas en materia de
seguridad digital y ciberdefensa nacional en Colombia.
22..FFuunnddaammeennttoo
s
s CCoonnssttiittuucciioonnaallee
s
s
y
y LLeeggaallee
s
s
CCoonnssttiittuucciióó
n
n PPoollííttiicc
a
a dd
e
e CCoolloommbbiiaa
““AArrttííccuull
o
o 22..
Son Þnes esenciales del Estado: servir a la comunidad, promover la
prosperidad general y garantizar la efectividad de los principios, derechos y deberes
consagrados en la Constitución; facilitar la participación de todos en las decisiones que
los afectan y en la vida económica, política, administrativa y cultural de la Nación;
defender la independencia nacional, mantener la integridad territorial y asegurar la
convivencia pacíÞca y la vigencia de un orden justo.
.
”
”
““AArrttííccuull
o
o 1155..
Todas las personas tienenderecho a su intimidad personal y familiar y a su
buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen
derecho a conocer, actualizar y rectiÞcar las informaciones que se hayan recogido sobre
ellas en bancos de datos y en archivos de entidades públicas y privadas. En la
recolección, tratamiento y circulación de datos se respetarán la libertad y demás
garantías consagradas en la Constitución. La correspondencia y demás formas de
comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas
mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para
efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención
del Estado podrá exigirse la presentaciónde libros de contabilidad y demás documentos
privados, en los términos que señale la ley.”
““AArrttííccuull
o
o 115500..
Corresponde al Congreso hacer las leyes. Por medio de ellas ejerce las
siguientes funciones:
(...)
7. Determinar la estructura de la administración nacional y crear, suprimir o fusionar
ministerios, departamentos administrativos, superintendencias, establecimientos
públicos y otras entidades del orden nacional, señalando sus objetivos y estructura
orgánica; reglamentar la creación y funcionamiento de las Corporaciones Autónomas
Regionales dentro de un régimen de autonomía; así mismo, crear o autorizar la
constitución de empresas industriales y comerciales del estado y sociedades de
economía mixta.”
““AArrttííccuull
o
o 115544
.
.
Las leyes pueden tener origen en cualquiera de las Cámaras a propuesta
de sus respectivos miembros, del Gobierno Nacional, de las entidades señaladas en el
artículo 156, o por iniciativa popular en los casos previstos en la Constitución.
No obstante, sólo podrán ser dictadas o reformadas por iniciativa del Gobierno las leyes
a que se reÞeren los numerales 3, 7, 9, 11 y 22 y los literales a, b y e, del numeral 19 del
artículo 150; las que ordenen participaciones en las rentas nacionales o transferencias
de las mismas; las que autoricen aportes o suscripciones del Estado a empresas
industriales o comerciales y las que decreten exenciones de impuestos, contribuciones
o tasas nacionales.”
LLee
y
y EEssttaattuuttaarrii
a
a 115588
1
1 dd
e
e 22001122
Su objeto es desarrollar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectiÞcar su información personal, desarrolló un marco jurídico que incluye el
reconocimiento de los datos e información personal como bien jurídico tutelado.
LLee
y
y 112277
3
3 dd
e
e 22000099
Por medio de la cual se modiÞcó el Código Penal, se creó un nuevo bien jurídico tutelado,
denominado “de la protección de la información y de los datos” el cual consagró varias
modalidades ciber delictuales.
33..AAnntteecceeddeennttee
s
s
La masiÞcación en el uso de tecnologías de información y comunicaciones tanto en el sector
público como en el privado ha mostrado que genera riesgos asociadoscon el manejo de datos
sensibles, como los datos personales y de identiÞcación, que de no protegerse de manera
adecuada pueden afectar los derechos fundamentales de las personas, las infraestructuras
críticas cibernéticas y los intereses nacionales del país, tanto a nivel nacional e internacional,
incluso poniendo en riesgo la seguridad nacional por la ejecución de actividades de espionaje y
ciberataques llevados a cabo por agentes externos (otros países, grupos organizados o sujetos
individuales). En razón de lo anterior, tales riesgos y amenazas deben abordarse de forma
integral.
Para prevenir y mitigar estos riesgos, distintos países han tomado medidas institucionales
creando entidadesque establezcan políticas y acciones que propendan por la seguridad digital
de sus países, como el caso de España que cuenta con el Instituto Nacional de Ciberseguridad
(Incibe), Alemania con la OÞcina Federal Alemana para la Seguridad de la Información (BSI),
Canadá con el Canadian Center for Cyber Security (Cyber Center) y Estados Unidos con la
Agencia de Seguridad Nacional - Cybersecurity and Infrastructure Security Agency (CISA),
entidad independiente dentro del Departamento de Seguridad Nacional de los Estados Unidos
(Department of Homeland Security).
Al respecto, es pertinente indicar que un proyecto de ley con igualtemática fue radicado en la
legislatura anterior con el N° 331 de 2023 de Senadoy fue archivada sin discusión. El objetivo
de dicho proyecto consistía de igual manera en la creación de la Agencia Nacional de Seguridad
Digital, estableciendo sus funciones y dictando otras disposiciones sobre la materia. En cuanto
al contenido de dicha iniciativa, éste no es distinto al proyecto de estudio actual.
Por otro lado, también resulta adecuado mencionar que en el Plan Nacional de Desarrollo
recientemente tramitadoen el Congreso de la República y que fue sancionado como la Ley 2294
de 2023, se buscaba otorgar facultades extraordinarias al presidente de la República con el
objeto establecer la institucionalidad para coordinar, deÞnir y hacer seguimiento a las políticas
de seguridad digital.
Dado que dichas facultades extraordinarias no fueron otorgadas, el Ministerio de Tecnologías
de la Información y las Comunicaciones radicó junto a otros congresistas el Proyecto de Ley N°
023 de 2023 en la Cámara de Representantes “Por la cual se crea la agencia nacional de
seguridad digital y asuntos espaciales y se Þjan algunas competencias especíÞcas”, con el
objetivo de crear la institucionalidad para coordinar, deÞnir y hacer seguimiento a las políticas
de seguridad digital y del sector espacial implementadas por las entidades públicas y las
personas naturales y jurídicas de derecho privado, denominada a Agencia Nacional de
Seguridad Digital y Asuntos Espaciales.
44..CCoonnssiiddeerraacciioonneess
Sobre la iniciativa legislativa en estudio, se precisa señalar que actualmente el país tiene
deÞnidos los conceptos ciberseguridad y ciberdefensa, por lo tanto, desde el sector defensa
actualmente se tienen instituciones con capacidades para enfrentar lasamenazas cibernéticas
que permiten desarrollar políticas de prevención y control, ante el incremento de amenazas
informáticas. Es así que ante lanecesidad de realizar una adecuada gestión y reaccionar ante
los incidentes cibernéticos de modo centralizado, se viene implementando el Equipo de
Respuesta a Incidentes de Seguridad -CSIRT del sector Gobierno, el cual realiza seguimiento
de manera uniÞcada a las principales tipologías de ciber incidentes que atentan contra las
infraestructuras digitales y críticas del Gobierno, así como la gestión de riesgos, servicios
proactivos, reactivos y de gestión de la seguridad básicos a todas las entidades del Estado.
Sobre lo anterior, es recomendable que se realice una validación de las definiciones
establecidas en el artículo 3 del proyecto de ley, teniendo en cuenta que en éste se da un
glosario de conceptos tales como ciberataque, ciberdefensa, ciberespacio, incidente, entre
otras, para que las mismas se correspondan o relaciones con las definiciones actualmente
vigentes en instrumentos normativos sobre la materia, tales como el Decreto 338 del 2022 de
MinTIC “( … ) Lineamientos generales para fortalecerla gobernanza de la seguridad digital, se
crea el modelo y las instancias de gobernanza de Seguridad Digital y se dictan otras
disposiciones (…)”.
Por otra parte, está establecido el ColCERT
1
a cargo del Ministerio de Tecnologías de la
Información y lasComunicaciones, el cual tiene como misión identificar infraestructuras críticas,
gestionar sus riesgos de ciberseguridad, ofrecer a las empresas del sector público y privado,
información preventiva sobre amenazas y vulnerabilidades, apoyo y asesoría en la gestión de
los incidentes de ciberseguridad, que garanticen la continuidad de las operaciones y servicios a
la ciudadanía colombiana, además de actuar como punto único de contacto y coordinación para
responder de manera rápida y eficiente a incidentes y vulnerabilidades de Seguridad Digital.
Citado grupo puede coordinar con las instancias responsables de la Seguridad Digital, entre
otros: el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) sectoriales
públicos y/o privados, la comparticiónde información, para la gestión de amenazas e incidentes
de Seguridad Digital Nacional.
Aunado a lo anterior, las capacidades de Ministerio de Defensa también parecen compensarse
con los objetivos del proyecto de ley, toda vez que cuenta con capacidades institucionales como
las del Comando Conjunto Cibernético que se desempeña como unidad élite en aspectos
relacionados con la Ciberseguridad y Ciberdefensa, incluida la protección de las Infraestructuras
Críticas Cibernéticas Nacionales, desarrollando operaciones militares en el ciberespacio para
defender la soberanía, la independencia, la integridad territorial y el orden constitucional,
contribuyendo a generar un ambiente de paz, seguridad y defensa nacional.
Ahora bien, en lo que respecta a la Policía Nacional, el Centro Cibernético Policial (CECIP),
dependencia de la Dirección de Investigación Criminal e INTERPOL, es la encargada de
investigar los delitos informáticos y apoyar la investigación criminal de los fenómenos en el
ciberespacio, a través del análisis de información, atención de incidentes cibernéticos y el
desarrollo de estrategias, programas, acciones y proyectos de ciberseguridad. Así mismo,
desarrolla actividades de coordinación con el sector público, privado y agencias internacionales,
con el fin de articular y fortalecer las capacidades cibernéticas para la atención de incidentes
cibernéticos, de acuerdo con las políticas públicas, modelos y protocolos establecidos por el
Gobierno Nacional mediante la celebración de convenios, acuerdos decooperación y alianzas
estratégicas.
Igualmente, esta dependencia tiene 21 años de experiencia en la temática y un reconocimiento
importante por parte de otras instituciones del país, además de un componente de prevención
orientado a la ciudadanía, resaltando el CAI Virtual como punto de atención 24/7 el cual brinda
asesoría en atención y gestión de incidentes informáticos, gestión para el análisis de código
malicioso (MALWARE), generación de alertas preventivas en redes sociales, concientización en
nuevas modalidades, buscando una cultura en materia de cibercrimen, gestión en el bloqueo
de páginas MASI y juegos ilegales de azar en línea, componente preventivo que va de la mano
de la actividad investigativa sobre los delitos que se cometen en los ambientes virtuales.
1Grupo de Respuesta a Emergencias Cibernéticas de Colombia.
Para continuar leyendo
Solicita tu prueba