Puerto Rico Promulga la Ley de Ciberseguridad: Ley 40-2024

Introducción

El 18 de enero de 2024, el Gobernador de Puerto Rico firmó la Ley 40-2024, estableciendo un marco integral para fortalecer la ciberseguridad en el sector público y las entidades privadas que manejan recursos gubernamentales. Esta ley, conocida como la “Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico”, introduce medidas para proteger la información, prevenir ataques cibernéticos y garantizar el cumplimiento de estándares modernos de seguridad.

Aspectos Claves de la Ley 40-2024

Creación del Rol de Oficial Principal de Seguridad de la Información (CISO)

La ley crea el puesto de CISO, adscrito a la Oficina de Servicios de Innovación y Tecnología de Puerto Rico (PRITS), responsable de:

• Desarrollar estándares mínimos de ciberseguridad.

• Coordinar respuestas ante vulnerabilidades y ataques.

• Implementar la política de “confianza cero,” que asegura estrictos controles de acceso y verificaciones constantes.

Prohibición de Pagos de Rescate

Se prohíbe a las entidades gubernamentales y contratistas realizar pagos en casos de ransomware, salvo excepciones aprobadas en emergencias críticas.

Obligaciones para Empresas y Contratistas

La ley establece requisitos obligatorios para empresas que trabajen con el gobierno o gestionen datos públicos, tales como:

• Cumplir estándares de seguridad establecidos por PRITS, incluyendo encriptación y autenticación multifactorial.

• Reportar incidentes cibernéticos a la Oficina de Evaluación de Incidentes Cibernéticos dentro de las 48 horas.

(Consulte nuestros servicios de auditorías de cumplimiento para garantizar que su empresa esté preparada para estos requisitos).

Oficina de Evaluación de Incidentes Cibernéticos

Este nuevo organismo será responsable de:

• Supervisar y responder a amenazas cibernéticas.

• Investigar incidentes en sistemas gubernamentales.

• Colaborar con entidades locales y federales para mitigar riesgos.

Capacitación y Educación Obligatoria

La ley exige que los empleados gubernamentales y contratistas participen en capacitaciones anuales en ciberseguridad. Además, se promueve la educación pública para aumentar la conciencia sobre amenazas digitales.

(Descubra cómo nuestros programas de capacitación en ciberseguridad pueden fortalecer la seguridad de su equipo).

Sanciones por Incumplimiento

El incumplimiento de la Ley 40-2024 puede resultar en:

• Multas por cada día de incumplimiento.

• Penalidades de hasta $5,000 por negligencia grave.

• Restricciones para participar en futuros contratos gubernamentales.

Por Qué Esta Ley Es Importante

Con más de 12.4 millones de ciberataques confirmados en Puerto Rico en 2022, esta ley aborda una necesidad crítica de proteger datos y sistemas clave. Empresas locales que interactúan con el gobierno deben adoptar prácticas sólidas de seguridad para evitar riesgos y mantener la confianza de sus socios y clientes.

Cómo Puede Ayudar MZLS

En MZLS, somos su socio estratégico para navegar los retos legales y regulatorios de la ciberseguridad. Ofrecemos:

• Auditorías de Cumplimiento: Verifique que sus operaciones cumplan con la Ley 40-2024.

• Planificación de Respuesta a Incidentes: Prepare su organización para enfrentar amenazas cibernéticas.

• Gestión de Contratos Gubernamentales: Asegure que sus acuerdos cumplan con las normativas de ciberseguridad.

(Consulte nuestros servicios especializados para adaptarse a las exigencias de esta nueva ley).

Conclusión

La Ley 40-2024 redefine el estándar de seguridad digital en Puerto Rico. Para empresas y contratistas gubernamentales, comprender e implementar sus disposiciones es esencial para proteger operaciones y evitar sanciones.

Contáctenos hoy para asegurar que su negocio cumpla con los nuevos estándares de ciberseguridad.