BLOG
Irreductibles para una Ley en Ciberseguridad
abril, 2, 2024
6 minutos de lectura
El Sector Privado y el CERC consolidan análisis a las iniciativas existentes
¿Qué debe tener una ley?
- La ciberseguridad debe atenderse como una responsabilidad compartida, por lo que su marco regulatorio NO debe reducirla a una capacidad exclusiva del Estado. De ahí que se debe incluir a la academia, la sociedad civil, la industria de ciberseguridad, tanto en la generación de la ley, así como sujetos de ésta, previendo el cuidado de infraestructuras críticas, gestión de riesgos, concientización y cultura de la ciberseguridad.
- Enfocarse en establecer protocolos mínimos para afrontar ataques y amenazas más que sancionar a la sociedad, para lo cual se deberán establecer obligaciones claras y concretas en la materia. El objetivo de la ley no debe ser controlar a la sociedad sino procurar lo necesario para que todos gocemos de un ciberespacio seguro.
- Tomar en consideración los compromisos adoptados por México en la materia, así como atender a las mejores prácticas internacionales y sus definiciones, por lo que habrá de establecer obligaciones, estándares, requisitos, protocolos, establecimiento de certificaciones, etc.
- Es necesaria una estructura institucional multidisciplinaria con los recursos necesarios y el marco regulatorio pertinente para su eficacia. Así como, el establecimiento claro y definido de la competencia de las autoridades.
- Articular, de manera transversal, con otras entidades encargadas del proceso de implementación de políticas públicas sobre ciberseguridad, como lo son el IFT y el INAI.
- Procurar una mayor coordinación y la homologación con otros ordenamientos existentes como: i) Ley de General de Protección de Datos Personales en Posesión de Sujetos Obligados; ii) Ley General de Protección de Datos Personales en Posesión de Sujetos Privados; iii) Disposiciones acordadas en acuerdos comerciales internacionales como: T-MEC, TIPAT, y Alianza del Pacífico; iv) Estrategia Digital Nacional y el Acuerdo de Políticas y Disposiciones para uso de TICs en la APF.
- No militarizar el ciberespacio. Por lo que para cualquier intervención de este tipo siempre debe cumplirse con las condiciones y requisitos de la Constitución y la Ley de Seguridad Nacional.
- Debe respetar los derechos humanos, se destacan en la materia los derechos a la privacidad, intimidad, identidad, la protección de los datos personales, la propiedad y la libertad de las personas en sus diversas vertientes. Por lo que debe evitar censurar e intervenir de forma excesiva tales derechos. Por ejemplo, se deben omitir registros innecesarios que pudieran invadir la privacidad de las personas u omitir obligaciones para los ciudadanos que pudieran inhibir la libertad de expresión.
- Los delitos que contemple la ley deberán estar delimitados y descritos adecuadamente. La ley deberá establecer figuras delictivas especializadas en ciberseguridad.
- Dejar de manifiesto que la Ley tiene asidero constitucional, ¿Cómo? pudiera ser pertinente que en la exposición de motivos se refiera a la facultad del Congreso de la Unión para legislar sobre tecnologías de la información y la comunicación, radiodifusión, telecomunicaciones, incluida la banda ancha e internet, contenida en la fracción XVII del artículo 73 fundamental; así como establecer entre los objetivos de la ley el garantizar el desenvolvimiento seguro en el ciberespacio que surge de dichas tecnologías, garantizando con ello el derecho a su acceso, el derecho a la información, el derecho a no ser molestado en su persona o posesiones, entre otros derechos.
- Del punto anterior derivaría el que la Ley de Ciberseguridad debe ser Federal, tal como sucede con la Ley Federal de Telecomunicaciones y Radiodifusión, lo que no significa que no tenga aplicación en los Estados, sino que su aplicación es por parte de autoridades federales, por lo que las asambleas legislativas, por ejemplo, no podrán legislar respecto de ciberdelitos.
- Sin embargo, de estimarse que la ciberseguridad es una materia donde existe la concurrencia, es necesario dejar perfectamente establecidas en una ley general las competencias de los diferentes órdenes de gobierno, para que de esta forma tanto Entidades Federativas como Municipios estén en posibilidad de, por un lado, legislar en la materia respetando los lineamientos de la ley y, perseguir e investigar los delitos. Pero es de destacar que algo que caracteriza a todos los proyectos de iniciativas analizados es que no contienen una correcta distribución de competencias.
- Adicionalmente, es importante considerar que en el Senado se encuentran otras iniciativas en materia de ciberseguridad, destacándose principalmente las siguientes: (i) del senador Miguel Ángel Mancera (PRD), del 02 de septiembre de 2020; y (ii) de la senadora Lucia Trasviña (Morena) del 06 de abril de 2021; las cuales no han sido dictaminadas.
- Habría que revisar si existe la posibilidad de que se realice un dictamen de Comisiones que considere las iniciativas por parte del Congreso.
*Recomendaciones a septiembre de 2023.
Mantén tu protección al máximo
Despliegue
Centro de tecnologías
Inventario
Cumplimiento
IR Management Tool
Insights
Batuta AI
ZeroAPT
Threat Intel
SOC
Forensics
¿Listo para desbloquear el poder del control?
Agenda una llamada con un experto de Batuta
Solicita una demo