‍

Cómo cumplir con las nuevas obligaciones del Decreto N° 66/025 en ciberseguridad

La ciberseguridad se ha convertido en una prioridad estratégica para las organizaciones de todos los sectores, y en Uruguay, el reciente Decreto N° 66/025 refuerza esta necesidad al establecer nuevas obligaciones para entidades públicas y sectores críticos. Este marco normativo busca proteger los activos de información críticos y garantizar la continuidad de los servicios esenciales del país.

En este artículo, te explicamos los puntos clave del decreto, sus implicancias y cómo los servicios especializados de Nextfense pueden ayudarte a cumplir con estas normativas.

¿Qué es el Decreto N° 66/025 y a quiénes aplica?

El Decreto N° 66/025, promulgado el 20 de febrero de 2025, establece un marco regulatorio en ciberseguridad que aplica a:

• Entidades públicas.
•  Entidades privadas vinculadas a sectores críticos, como:
•  Salud
•  Energía
•  Telecomunicaciones
•  Transporte
• Banca y servicios financieros
• Agua potable, agroindustria, defensa, entre otros.

El objetivo principal del decreto es fortalecer la protección de los activos de información críticos, prevenir incidentes de ciberseguridad y garantizar la resiliencia de los servicios esenciales.

‍

Principales obligaciones del Decreto N° 66/025

Las organizaciones alcanzadas por el decreto deben cumplir con una serie de medidas específicas, entre las que destacan:

1. Adoptar medidas de seguridad eficaces: implementar controles y procedimientos para proteger los activos de información críticos.

2.  Seguir estándares nacionales e internacionales en ciberseguridad.
   ‍
3. Realizar auditorías de ciberseguridad: evaluar periódicamente el estado de los sistemas de información.

4.  Identificar vulnerabilidades y riesgos para mitigarlos.
   ‍
5. Reportar incidentes de ciberseguridad: informar al CERTuy (Centro Nacional de Respuesta a Incidentes de Seguridad Informática) sobre cualquier incidente en un plazo de 24 horas.

6. Designar un responsable de Seguridad de la Información: nombrar a un profesional interno o externo que lidere la estrategia de ciberseguridad de la organización.

7. Cumplir con el Marco de Ciberseguridad: adoptar el marco desarrollado por AGESIC y alcanzar el nivel de madurez asignado.

¿Qué pasa si no cumples con el decreto?

El incumplimiento de las obligaciones establecidas en el Decreto N° 66/025 puede tener consecuencias graves, como:

• Sanciones legales: La Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) puede apercibir a las entidades incumplidoras.
•  Pérdida de confianza: Los clientes, socios y ciudadanos pueden perder la confianza en tu organización.
•  Riesgos operativos: La falta de medidas de seguridad aumenta la vulnerabilidad frente a ciberataques, lo que puede comprometer la continuidad de los servicios.

¿Cómo puede ayudarte Nextfense a cumplir con el Decreto N° 66/025?

En Nextfense, somos expertos en ciberseguridad y contamos con un portafolio de servicios diseñado para ayudarte a cumplir con las nuevas normativas. Aquí te explicamos cómo podemos apoyarte:

1. Auditorías de ciberseguridad

Realizamos auditorías exhaustivas para evaluar el estado de tus sistemas de información, identificar vulnerabilidades y garantizar el cumplimiento del Marco de Ciberseguridad. Nuestro enfoque incluye:

• Revisión de políticas y procedimientos.
•  Análisis de infraestructura tecnológica.
•  Identificación de brechas de seguridad y recomendaciones de mejora.

2. Virtual CISO (Chief Information Security Officer)

Si tu organización no cuenta con un CISO interno, te ofrecemos un Virtual CISO, un servicio que proporciona liderazgo estratégico en ciberseguridad. Este profesional externo:

• Diseña e implementa políticas de seguridad.
•  Supervisa el cumplimiento normativo.
•  Actúa como enlace con AGESIC y el CERTuy.

3. Gestión de incidentes y respuesta

Te ayudamos a prepararte para responder de manera rápida y efectiva ante incidentes de ciberseguridad. Nuestros servicios incluyen:

• Desarrollo de planes de respuesta a incidentes.
•  Análisis forense para identificar la causa raíz de los problemas.
•  Asistencia en la comunicación y reporte al CERTuy.

4. Evaluación de vulnerabilidades

Identificamos y priorizamos los riesgos en tus sistemas para que puedas mitigarlos antes de que se conviertan en incidentes. Este servicio es clave para proteger tus activos críticos y garantizar la continuidad operativa.

5. Hardening de sistemas

Fortalecemos la seguridad de tus sistemas y aplicaciones mediante la configuración de controles avanzados, reduciendo la superficie de ataque y minimizando riesgos.

‍

Conclusión: Cumple con el Decreto N° 66/025 y protege tu organización

El Decreto N° 66/025 marca un antes y un después en la ciberseguridad en Uruguay, estableciendo un marco claro para proteger los activos de información críticos. Cumplir con estas normativas no solo es una obligación legal, sino también una oportunidad para fortalecer la seguridad y resiliencia de tu organización.

En Nextfense, estamos aquí para ayudarte a navegar este nuevo panorama regulatorio y garantizar que tu organización esté preparada para enfrentar los desafíos de la ciberseguridad.

‍

¿Necesitas ayuda para cumplir con el Decreto N° 66/025?

📞 Contáctanos hoy mismo para una consulta personalizada.

🛡️ Protege tu organización con nuestros expertos en ciberseguridad.