|
||
| Acuerdo 1502 Por el cual se aprueba la actualización de la Guía de Ciberseguridad y se modifican algunos plazos | ||
| Acuerdo Número:
1502 |
Fecha de expedición:
2 Diciembre, 2021 |
Fecha de entrada en vigencia:
2 Diciembre, 2021 |
|
Sustituye Acuerdo:
19/10/2021 Acuerdo 1463 Por el cual se aprueba la actualización de la Guía de Ciberseguridad |
||
El Consejo Nacional de Operación en uso de sus facultades legales, en especial las conferidas en el Artículo 36 de la Ley 143 de 1994, el Anexo general de la Resolución CREG 025 de 1995 y su Reglamento Interno y según lo definido en la reunión No. 655 del 2 de diciembre de 2021, y |
||
Que el documento CONPES 3701 del 14 de Julio de 2011 estableció los lineamientos de política para la ciberseguridad y ciberdefensa, orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que puedan afectar significativamente al país.
Que el documento CONPES 3701, implicaba un compromiso del Gobierno Nacional por garantizar la seguridad de la información y busca sentar las bases de política para los tópicos de ciberseguridad y ciberdefensa, y las entidades públicas y privadas involucradas tendrán la responsabilidad de desarrollar estas bases y generar mecanismos que permitan garantizar la seguridad de la información a nivel nacional, teniendo en cuenta las normas técnicas y los estándares nacionales e internacionales, así como iniciativas internacionales sobre protección de infraestructura crítica y ciberseguridad.
Que el CNO expidió el Acuerdo 788 del 3 de septiembre de 2015 por el cual se aprobó la Guía de Ciberseguridad, que impulsó el desarrollo de capacidades en los agentes del sector eléctrico para la gestión y respuesta frente al riesgo de ciberataques, ya que se requiere la participación de todos los agentes para una protección adecuada y uniforme del Sistema Interconectado Nacional (SIN).
Que el Documento CONPES 3854 del 11 de abril de 2016 estableció la Política Nacional de Seguridad Digital cuyo objetivo es fortalecer las capacidades de las múltiples partes interesadas para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital, en un marco de cooperación, colaboración y asistencia. Lo anterior, con el fin de contribuir al crecimiento de la economía digital nacional, lo que a su vez impulsará una mayor prosperidad económica y social en el país.
Que la Presidencia de la República y el Ministerio de Defensa establecieron que el sector eléctrico es crítico para el país desde la dimensión digital y lo incluyeron dentro de los sectores estratégicos.
Que el Ministerio de Defensa formuló el Plan Nacional de Protección y Defensa para la Infraestructura Crítica Cibernética de Colombia y el Plan Sectorial de Protección y Defensa de la Infraestructura Crítica Cibernética - ICC.
Que el CNO ha determinado la seguridad digital como un riesgo para la operación confiable y segura del SIN, dado que la probabilidad de ciberataques de alto impacto ha aumentado, como lo demuestran los datos de incidentes en los últimos años como Wanacry, Petya, la filtración de armas cibernéticas de agencias de inteligencia, el acceso a sistemas de operación en el sector eléctrico de Estados Unidos, los ataques a Gran Bretaña y a la red eléctrica de Ucrania; así como la publicación de vulnerabilidades cada vez más frecuentes y de malware especializado diseñado especialmente para atacar tecnologías de operación y protecciones usadas en el sector.
Que el Plan Sectorial de Protección y Defensa para la Infraestructura Crítica Cibernética del Sector Electricidad Colombiano establece como línea estratégica de acción a corto plazo la actualización de la Guía de Ciberseguridad adoptada por el sector de acuerdo con las prácticas comúnmente aceptadas para la protección de éste sector.
Que los resultados de las encuestas sobre ciberseguridad realizadas por el CNO y los análisis realizados en la mesa sectorial de infraestructura critica realizada por el CCOCI y el CNO permitieron definir la hoja de ruta y los tiempos para la implementación de la actualización de la guía de ciberseguridad por parte de los agentes del SIN.
Que el 3 de octubre de 2019 se expidió el Acuerdo 1241, por el cual se aprobó la actualización de la Guía de Ciberseguridad, el cual sustituyó el Acuerdo 788 de 2015.
Que desde el 7 de enero de 2020 la OMS declaró el brote del coronavirus COVID19 como una emergencia de salud pública de importancia internacional y desde el mes de marzo, debido a la declaratoria de emergencia sanitaria por la pandemia COVID19, el Gobierno Nacional expidió reglamentación con el objetivo de adoptar medidas preventivas de aislamiento y cuarentena para todo el territorio nacional, restringiendo el derecho de libre circulación, lo cual ha impactado las actividades logísticas y el cumplimiento de algunos plazos previstos en el Acuerdo 1241 de 2019, por lo que se expidió el Acuerdo 1347 el 16 de septiembre de 2020, que sustituyó el Acuerdo 1241.
Que el Comité de Ciberseguridad en la reunión extraordinaria 2 del 1 de diciembre de 2021 recomendó la expedición del presente Acuerdo, en el que se modifica el numeral 4.3 del Anexo 2 de la Guía de Ciberseguridad se modifica el artículo 8, se incluyó el plazo de cumplimiento de la Guía de Ciberseguridad de los agentes nuevos y de los agentes existentes con nuevos activos, y se amplian los plazos de las siguientes actividades a partir del 3 de octubre de 2019, fecha de expedición del Acuerdo 1241, así:
Ampliación plazo de 18 a 36 meses:
• Actualización de inventario de ciberactivos.
• Actualización de análisis de riesgos y vulnerabilidades.
• Actualización del nivel de gestión de ciberseguridad.
• Definición de los perímetros de seguridad electrónica para los ciberactivos.
• Plan de recuperación para ciberactivos.
• Primera ejecución del plan de sensibilización y entrenamiento para el personal relacionado con ciberactivos.
Ampliación plazo de 24 a 36 meses:
• Plan de seguridad electrónica de ciberactivos.
• Plan de seguridad física para ciberactivos.
• Implementación de los controles en los perímetros de seguridad electrónicos y físicos de acuerdo con los planes desarrollados.
• Implementación de monitoreo básico de eventos sobre los ciberactivos críticos.
Ampliación plazo de 30 a 42 meses
• Implementar la Guía de Ciberseguridad para el 50% de los ciberactivos críticos
Ampliación plazo de 42 a 54 meses
• Implementar la Guía de Ciberseguridad para el 75% de los ciberactivos críticos
Ampliación plazo de 48 a 60 meses
• Implementar la Guía de Ciberseguridad para el 100% de los ciberactivos críticos
Que mediante el Acuerdo 1465 de 2021 (Reglamento Interno del CNO) se creó el Comité de Ciberseguridad, cuyas funciones están asociadas al seguimiento del cumplimiento del presente Acuerdo.
Que entre otras funciones, el Comité de Ciberseguridad debe: Analizar y hacer comentarios a las normas que en materia de ciberseguridad se expidan por parte de las diferentes autoridades, para consulta o en firme, de forma que se garantice la operación del sistema eléctrico de forma confiable y segura con criterios de eficiencia económica, e identificar las necesidades y hacer las recomendaciones al CNO sobre aspectos tecnológicos relacionados con la ciberseguridad con criterios de eficiencia económica y en coordinación con el Comité de Operación y el Comité de Supervisión.
Que el documento CONPES 3701 del 14 de Julio de 2011 estableció los lineamientos de política para la ciberseguridad y ciberdefensa, orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que puedan afectar significativamente al país.
Que el documento CONPES 3701, implicaba un compromiso del Gobierno Nacional por garantizar la seguridad de la información y busca sentar las bases de política para los tópicos de ciberseguridad y ciberdefensa, y las entidades públicas y privadas involucradas tendrán la responsabilidad de desarrollar estas bases y generar mecanismos que permitan garantizar la seguridad de la información a nivel nacional, teniendo en cuenta las normas técnicas y los estándares nacionales e internacionales, así como iniciativas internacionales sobre protección de infraestructura crítica y ciberseguridad.
Que el CNO expidió el Acuerdo 788 del 3 de septiembre de 2015 por el cual se aprobó la Guía de Ciberseguridad, que impulsó el desarrollo de capacidades en los agentes del sector eléctrico para la gestión y respuesta frente al riesgo de ciberataques, ya que se requiere la participación de todos los agentes para una protección adecuada y uniforme del Sistema Interconectado Nacional (SIN).
Que el Documento CONPES 3854 del 11 de abril de 2016 estableció la Política Nacional de Seguridad Digital cuyo objetivo es fortalecer las capacidades de las múltiples partes interesadas para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital, en un marco de cooperación, colaboración y asistencia. Lo anterior, con el fin de contribuir al crecimiento de la economía digital nacional, lo que a su vez impulsará una mayor prosperidad económica y social en el país.
Que la Presidencia de la República y el Ministerio de Defensa establecieron que el sector eléctrico es crítico para el país desde la dimensión digital y lo incluyeron dentro de los sectores estratégicos.
Que el Ministerio de Defensa formuló el Plan Nacional de Protección y Defensa para la Infraestructura Crítica Cibernética de Colombia y el Plan Sectorial de Protección y Defensa de la Infraestructura Crítica Cibernética - ICC.
Que el CNO ha determinado la seguridad digital como un riesgo para la operación confiable y segura del SIN, dado que la probabilidad de ciberataques de alto impacto ha aumentado, como lo demuestran los datos de incidentes en los últimos años como Wanacry, Petya, la filtración de armas cibernéticas de agencias de inteligencia, el acceso a sistemas de operación en el sector eléctrico de Estados Unidos, los ataques a Gran Bretaña y a la red eléctrica de Ucrania; así como la publicación de vulnerabilidades cada vez más frecuentes y de malware especializado diseñado especialmente para atacar tecnologías de operación y protecciones usadas en el sector.
Que el Plan Sectorial de Protección y Defensa para la Infraestructura Crítica Cibernética del Sector Electricidad Colombiano establece como línea estratégica de acción a corto plazo la actualización de la Guía de Ciberseguridad adoptada por el sector de acuerdo con las prácticas comúnmente aceptadas para la protección de éste sector.
Que los resultados de las encuestas sobre ciberseguridad realizadas por el CNO y los análisis realizados en la mesa sectorial de infraestructura critica realizada por el CCOCI y el CNO permitieron definir la hoja de ruta y los tiempos para la implementación de la actualización de la guía de ciberseguridad por parte de los agentes del SIN.
Que el 3 de octubre de 2019 se expidió el Acuerdo 1241, por el cual se aprobó la actualización de la Guía de Ciberseguridad, el cual sustituyó el Acuerdo 788 de 2015.
Que desde el 7 de enero de 2020 la OMS declaró el brote del coronavirus COVID19 como una emergencia de salud pública de importancia internacional y desde el mes de marzo, debido a la declaratoria de emergencia sanitaria por la pandemia COVID19, el Gobierno Nacional expidió reglamentación con el objetivo de adoptar medidas preventivas de aislamiento y cuarentena para todo el territorio nacional, restringiendo el derecho de libre circulación, lo cual ha impactado las actividades logísticas y el cumplimiento de algunos plazos previstos en el Acuerdo 1241 de 2019, por lo que se expidió el Acuerdo 1347 el 16 de septiembre de 2020, que sustituyó el Acuerdo 1241.
Que el Comité de Ciberseguridad en la reunión extraordinaria 2 del 1 de diciembre de 2021 recomendó la expedición del presente Acuerdo, en el que se modifica el numeral 4.3 del Anexo 2 de la Guía de Ciberseguridad se modifica el artículo 8, se incluyó el plazo de cumplimiento de la Guía de Ciberseguridad de los agentes nuevos y de los agentes existentes con nuevos activos, y se amplian los plazos de las siguientes actividades a partir del 3 de octubre de 2019, fecha de expedición del Acuerdo 1241, así:
Ampliación plazo de 18 a 36 meses:
• Actualización de inventario de ciberactivos.
• Actualización de análisis de riesgos y vulnerabilidades.
• Actualización del nivel de gestión de ciberseguridad.
• Definición de los perímetros de seguridad electrónica para los ciberactivos.
• Plan de recuperación para ciberactivos.
• Primera ejecución del plan de sensibilización y entrenamiento para el personal relacionado con ciberactivos.
Ampliación plazo de 24 a 36 meses:
• Plan de seguridad electrónica de ciberactivos.
• Plan de seguridad física para ciberactivos.
• Implementación de los controles en los perímetros de seguridad electrónicos y físicos de acuerdo con los planes desarrollados.
• Implementación de monitoreo básico de eventos sobre los ciberactivos críticos.
Ampliación plazo de 30 a 42 meses
• Implementar la Guía de Ciberseguridad para el 50% de los ciberactivos críticos
Ampliación plazo de 42 a 54 meses
• Implementar la Guía de Ciberseguridad para el 75% de los ciberactivos críticos
Ampliación plazo de 48 a 60 meses
• Implementar la Guía de Ciberseguridad para el 100% de los ciberactivos críticos
Que mediante el Acuerdo 1465 de 2021 (Reglamento Interno del CNO) se creó el Comité de Ciberseguridad, cuyas funciones están asociadas al seguimiento del cumplimiento del presente Acuerdo.
Que entre otras funciones, el Comité de Ciberseguridad debe: Analizar y hacer comentarios a las normas que en materia de ciberseguridad se expidan por parte de las diferentes autoridades, para consulta o en firme, de forma que se garantice la operación del sistema eléctrico de forma confiable y segura con criterios de eficiencia económica, e identificar las necesidades y hacer las recomendaciones al CNO sobre aspectos tecnológicos relacionados con la ciberseguridad con criterios de eficiencia económica y en coordinación con el Comité de Operación y el Comité de Supervisión.
Aprobar la Guía de Ciberseguridad como se presenta en el Anexo del presente Acuerdo y aprobar la modificación de algunos plazos.
Los agentes generadores, transmisores, distribuidores y el operador del Sistema Interconectado Nacional deberán hacer la actualización y notificación del responsable de ciberseguridad, en un plazo máximo de (6) seis meses contados a partir del 3 de octubre de 2019, de acuerdo con lo previsto en la Guía de Ciberseguridad.
Los agentes generadores, transmisores y distribuidores nuevos y existentes, y el operador del Sistema, deberán cumplir con la obligación de hacer la actualización y notificación del responsable de ciberseguridad, según lo previsto en el numeral 5.3.2 del Anexo del presente Acuerdo.
• Política o lineamiento de ciberseguridad: 12 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2020).
• Actualización de inventario de ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Actualización de análisis de riesgos y vulnerabilidades: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Actualización del nivel de gestión de ciberseguridad: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de sensibilización y entrenamiento para el personal relacionado con ciberactivos: 12 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2020).
• Definición de los perímetros de seguridad electrónica para los ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de gestión de incidentes de ciberseguridad: 12 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2020).
Parágrafo: los agentes generadores, transmisores y distribuidores nuevos deberán dar cumplimiento a las actividades previstas en el presente artículo en un plazo de doce (12) meses, contados a partir de la fecha del registro como agentes del mercado ante el ASIC.
• Plan de seguridad electrónica de ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de seguridad física para ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de recuperación para ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• La primera ejecución del plan de sensibilización y entrenamiento para el personal relacionado con ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
Parágrafo: los agentes generadores, transmisores y distribuidores nuevos, deberán dar cumplimiento a las actividades previstas en el presente artículo en un plazo de doce (12) meses, contados a partir de la fecha del registro como agentes del mercado ante el ASIC.
Los agentes generadores, transmisores, distribuidores y el operador del Sistema Interconectado Nacional deberán realizar las siguientes actividades, según los criterios de la Guía de Ciberseguridad:
• La implementación de los controles en los perímetros de seguridad electrónicos y físicos según los planes desarrollados: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• La implementación de monitoreo básico de eventos sobre los ciberactivos críticos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
Parágrafo: los agentes generadores, transmisores y distribuidores nuevos, o existentes con nuevos activos críticos, deberán dar cumplimiento a las actividades previstas en el presente artículo en los siguientes plazos:
. Doce (12) meses, contados a partir de la fecha del registro como agentes del mercado ante el ASIC, para los nuevos agentes.
. Doce (12 meses) contados a partir de la fecha de puesta en operación del nuevo activo crítico, para los agentes existentes con nuevos activos críticos.
a. Para el 50% de sus ciberactivos críticos, en un plazo máximo de (42) cuarenta y dos meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de abril de 2023).
b. Para el 75% de sus ciberactivos críticos, en un plazo máximo de (54) cincuenta y cuatro meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de abril de 2024).
c. Para el 100% de sus ciberactivos críticos, en un plazo máximo de (60) sesenta meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2024).
Parágrafo Primero: Los agentes generadores, transmisores y distribuidores existentes deberán cumplir con la implementación de la Guía de Ciberseguridad para los nuevos activos críticos, en un plazo de doce (12) meses contados a partir de la fecha de puesta en operación del activo crítico, cuando esta fecha sea posterior al 3 de octubre de 2023.
Parágrafo Segundo: Los agentes generadores, transmisores y distribuidores nuevos deberán dar cumplimiento a la implementación de la Guía de Ciberseguridad para los ciberactivos críticos, en un plazo de doce (12) meses contados a partir de la fecha de registro como agente del mercado ante el ASIC, cuando la fecha de puesta en operación del activo crítico sea posterior al 3 de octubre de 2023.
El CNO desarrollará actividades de sensibilización, comunicación, entrenamiento y socialización de la Guía de Ciberseguridad del CNO y de los procesos de seguridad cibernética.
El cumplimiento de los aspectos solicitados en la Guía deberá demostrarse a través de una comunicación de la empresa confirmando la realización de la auditoría interna. La primera auditoría interna se deberá hacer entre el mes de enero de 2021 y el mes de abril del 2022. Las siguientes auditorías internas deberan realizarse cada 2 años.
El Comité de Ciberseguridad hará un informe de seguimiento semestral de los compromisos previstos en este Acuerdo, con base en un formato que se enviará a los agentes para su diligenciamiento.
Parágrafo: El informe de seguimiento será presentado al CNO.
El presente Acuerdo rige a partir de la fecha de su expedición y sustituye el Acuerdo 1463 de 2021.
Aprobar la Guía de Ciberseguridad como se presenta en el Anexo del presente Acuerdo y aprobar la modificación de algunos plazos.
Los agentes generadores, transmisores, distribuidores y el operador del Sistema Interconectado Nacional deberán hacer la actualización y notificación del responsable de ciberseguridad, en un plazo máximo de (6) seis meses contados a partir del 3 de octubre de 2019, de acuerdo con lo previsto en la Guía de Ciberseguridad.
Los agentes generadores, transmisores y distribuidores nuevos y existentes, y el operador del Sistema, deberán cumplir con la obligación de hacer la actualización y notificación del responsable de ciberseguridad, según lo previsto en el numeral 5.3.2 del Anexo del presente Acuerdo.
• Política o lineamiento de ciberseguridad: 12 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2020).
• Actualización de inventario de ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Actualización de análisis de riesgos y vulnerabilidades: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Actualización del nivel de gestión de ciberseguridad: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de sensibilización y entrenamiento para el personal relacionado con ciberactivos: 12 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2020).
• Definición de los perímetros de seguridad electrónica para los ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de gestión de incidentes de ciberseguridad: 12 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2020).
Parágrafo: los agentes generadores, transmisores y distribuidores nuevos deberán dar cumplimiento a las actividades previstas en el presente artículo en un plazo de doce (12) meses, contados a partir de la fecha del registro como agentes del mercado ante el ASIC.
• Plan de seguridad electrónica de ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de seguridad física para ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• Plan de recuperación para ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• La primera ejecución del plan de sensibilización y entrenamiento para el personal relacionado con ciberactivos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
Parágrafo: los agentes generadores, transmisores y distribuidores nuevos, deberán dar cumplimiento a las actividades previstas en el presente artículo en un plazo de doce (12) meses, contados a partir de la fecha del registro como agentes del mercado ante el ASIC.
Los agentes generadores, transmisores, distribuidores y el operador del Sistema Interconectado Nacional deberán realizar las siguientes actividades, según los criterios de la Guía de Ciberseguridad:
• La implementación de los controles en los perímetros de seguridad electrónicos y físicos según los planes desarrollados: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
• La implementación de monitoreo básico de eventos sobre los ciberactivos críticos: 36 meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2022).
Parágrafo: los agentes generadores, transmisores y distribuidores nuevos, o existentes con nuevos activos críticos, deberán dar cumplimiento a las actividades previstas en el presente artículo en los siguientes plazos:
. Doce (12) meses, contados a partir de la fecha del registro como agentes del mercado ante el ASIC, para los nuevos agentes.
. Doce (12 meses) contados a partir de la fecha de puesta en operación del nuevo activo crítico, para los agentes existentes con nuevos activos críticos.
a. Para el 50% de sus ciberactivos críticos, en un plazo máximo de (42) cuarenta y dos meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de abril de 2023).
b. Para el 75% de sus ciberactivos críticos, en un plazo máximo de (54) cincuenta y cuatro meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de abril de 2024).
c. Para el 100% de sus ciberactivos críticos, en un plazo máximo de (60) sesenta meses contados a partir del 3 de octubre de 2019 (fecha de cumplimiento: 3 de octubre de 2024).
Parágrafo Primero: Los agentes generadores, transmisores y distribuidores existentes deberán cumplir con la implementación de la Guía de Ciberseguridad para los nuevos activos críticos, en un plazo de doce (12) meses contados a partir de la fecha de puesta en operación del activo crítico, cuando esta fecha sea posterior al 3 de octubre de 2023.
Parágrafo Segundo: Los agentes generadores, transmisores y distribuidores nuevos deberán dar cumplimiento a la implementación de la Guía de Ciberseguridad para los ciberactivos críticos, en un plazo de doce (12) meses contados a partir de la fecha de registro como agente del mercado ante el ASIC, cuando la fecha de puesta en operación del activo crítico sea posterior al 3 de octubre de 2023.
El CNO desarrollará actividades de sensibilización, comunicación, entrenamiento y socialización de la Guía de Ciberseguridad del CNO y de los procesos de seguridad cibernética.
El cumplimiento de los aspectos solicitados en la Guía deberá demostrarse a través de una comunicación de la empresa confirmando la realización de la auditoría interna. La primera auditoría interna se deberá hacer entre el mes de enero de 2021 y el mes de abril del 2022. Las siguientes auditorías internas deberan realizarse cada 2 años.
El Comité de Ciberseguridad hará un informe de seguimiento semestral de los compromisos previstos en este Acuerdo, con base en un formato que se enviará a los agentes para su diligenciamiento.
Parágrafo: El informe de seguimiento será presentado al CNO.
El presente Acuerdo rige a partir de la fecha de su expedición y sustituye el Acuerdo 1463 de 2021.