RESOLUCIÓN 02277 DE 2025

(junio 3)

Diario Oficial No. 53.155 de 20 de junio de 2025

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

Por la cual se actualiza el Anexo 1 de la Resolución número 500 de 2021 y se derogan otras disposiciones relacionadas con la materia.

EL MINISTRO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,

en ejercicio de sus facultades legales, en especial las que le confieren los artículos 17 de la Ley 1341 de 2009, 45 de la Ley 1753 de 2015, 2.2.9.1.1.1 del Decreto número 1078 de 2015 y 5o del Decreto número 1064 de 2020, y

CONSIDERANDO QUE:

Conforme al principio de "masificación del gobierno en línea" hoy Gobierno Digital, consagrado en el numeral 8 del artículo 2o de la Ley 1341 de 2009, las entidades públicas deberán adoptar todas las medidas necesarias para garantizar el máximo aprovechamiento de las Tecnologías de la Información y las Comunicaciones (TIC) en el desarrollo de sus funciones.

De acuerdo con el artículo 2.2.9.1.1.1 del Decreto número 1078 de 2015, "Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones" (DUR-TIC), la Política de Gobierno Digital es entendida como el uso, apropiación y aprovechamiento de las Tecnologías de la Información y las Comunicaciones, con el objetivo de impactar positivamente la calidad de vida de los ciudadanos y, en general, los habitantes del territorio nacional y la competitividad del país, promoviendo la generación de valor público a través de la transformación digital del Estado, de manera proactiva, confiable, articulada y colaborativa entre los grupos de interés y permitir el ejercicio de los derechos de los usuarios del ciberespacio.

De conformidad el artículo 2.2.9.1.1.2 del DUR-TIC, son sujetos obligados a la aplicación de la Política de Gobierno Digital las entidades que conforman la administración pública en los términos del artículo 39 de la Ley 489 de 1998 y los particulares que cumplen funciones administrativas.

El artículo 2.2.9.1.2.1 del DUR-TIC establece que la Política de Gobierno Digital se desarrolla a través de un esquema que articula los elementos que la componen, a saber: gobernanza, innovación pública digital, habilitadores, líneas de acción, e iniciativas dinamizadoras, con el fin de lograr su objetivo.

Según el numeral 3.2 del artículo 2.2.9.1.2.1 del DUR-TIC, el habilitador de Seguridad y Privacidad de la Información de la Política de Gobierno Digital "(…) busca que los sujetos obligados desarrollen capacidades a través de la implementación de los lineamientos de seguridad y privacidad de la información en todos sus procesos, trámites, servicios, sistemas de información, infraestructura y en general, en todos los activos de información, con el fin de preservar la confidencialidad, integridad, disponibilidad y privacidad de los datos".

Por disposición del artículo 2.2.9.1.2.2. del DUR-TIC, el Ministerio de Tecnologías de la Información y las Comunicaciones expedirá y publicará lineamientos, guías y estándares para facilitar la comprensión, sistematización e implementación integral de la Política de Gobierno Digital.

De otra parte, el parágrafo del artículo 16 del Decreto número 2106 de 2019, por el cual se dictan normas para simplificar, suprimir y reformar trámites, procesos y procedimientos innecesarios existentes en la administración pública, señala que las autoridades deberán disponer de una estrategia de seguridad digital, para la gestión documental electrónica y preservación de la información, siguiendo los lineamientos que emita el Ministerio de Tecnologías de la Información y las Comunicaciones.

En concordancia con lo anterior, el CONPES 3995 de 2020 "Política Nacional de Confianza y Seguridad Digital", recomienda al Ministerio de Tecnologías de la Información y las Comunicaciones "6. Expedir los lineamientos y guías que faciliten a las entidades públicas adelantar los procesos de adopción y actualización de tecnologías con el fin de disminuir las vulnerabilidades derivadas de la obsolescencia tecnológica y así favorecer la seguridad digital en el país".

A través de la Resolución número 500 de 2021 se establecieron los lineamientos generales para la implementación del Modelo de Seguridad y Privacidad de la Información (MSPI), la guía de gestión de riesgos de seguridad de la información y el procedimiento para la gestión de los incidentes de seguridad digital, así como estableció los lineamientos y estándares para la estrategia de seguridad digital.

El parágrafo 2 del artículo 5o de la Resolución número 500 de 2021 dispone que el Modelo de Seguridad y Privacidad de la Información (MSPI) señalado en el Anexo 1 será actualizado por el MinTIC a través de las sucesivas versiones de cada uno de los documentos que lo componen y previo informe del equipo técnico, y que la actualización se publicará en la sede electrónica de MinTIC.

A través de la Resolución número 746 de 2022, por la cual se fortalece el Modelo de Seguridad y Privacidad de la Información y se definen lineamientos adicionales a los establecidos en la Resolución número 500 de 2021, se adicionó diferentes disposiciones de la Resolución número 500 de 2021 en consideración a un aumento observado en los incidentes de ransomware sofisticados y de alto impacto contra organizaciones de infraestructura crítica en todo el mundo.

A través del Decreto número 338 de 2022 se adicionó el Titulo 21 a la parte 2 del Libro 2 del DUR TIC, con el fin de establecer los lineamientos generales para fortalecer la gobernanza de la seguridad digital, y crear el Modelo y las instancias de Gobernanza de Seguridad Digital. Así pues, el artículo 2.2.21.1.1.4. establece que "Las autoridades deberán adoptar medidas técnicas, humanas y administrativas para garantizar la gobernanza de la seguridad digital, la gestión de riesgos de seguridad digital, la identificación y reporte de infraestructuras críticas cibernéticas y servicios esenciales, y la gestión y respuesta a incidentes de seguridad digital".

Teniendo en cuenta que el Modelo de Seguridad y Privacidad de la Información (MSPI), previsto en el Anexo 1 de la Resolución número 500 de 2021, está soportado en la norma ISO 27001 versión 2013 y que esta fue actualizada en febrero de 2022, se hace necesario actualizar el Anexo 1 de la Resolución número 500 de 2021, así como derogar todos aquellos lineamientos, guías y estándares que son contrarios a esta norma técnica, y que fueron expedidos como desarrollo del habilitador de Seguridad y Privacidad de la Información por el Ministerio de Tecnologías de la Información y las Comunicaciones.

De conformidad con lo previsto en la Sección 3 del Capítulo 1 de la Resolución MinTIC 1857 de 2023, las disposiciones de que trata la presente resolución fueron publicadas en el sitio web del Ministerio de Tecnologías de la Información y las Comunicaciones durante el período comprendido entre el 20 de septiembre de 2024 y el 14 de octubre de 2024, y posteriormente, entre el 28 de febrero de 2025 y el 15 de marzo de 2025, con el fin de recibir opiniones, sugerencias o propuestas alternativas por parte de los ciudadanos y grupos de interés.

En mérito de lo expuesto,

RESUELVE:

ARTÍCULO 1o. ACTUALIZACIÓN DEL ANEXO 1 DE LA RESOLUCIÓN NÚMERO 500 DE 2021. Actualícese el Anexo 1 de la Resolución número 500 de 2021, por la cual se establecen los lineamientos y estándares para la estrategia de seguridad digital y se adopta el modelo de seguridad y privacidad como habilitador de la política de Gobierno Digital, el cual será publicado en la sede electrónica del Ministerio de Tecnologías de la Información y las Comunicaciones, a más tardar quince (15) días siguientes a la expedición de la presente resolución.

ARTÍCULO 2o. VIGENCIA Y DEROGATORIAS. La presente resolución rige a partir de la fecha de su publicación en el Diario Oficial, modifica el Anexo 1 de la Resolución número 500 de 2021, y deroga las siguientes disposiciones:

2.1. Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información. Guía No 21 Versión 1.0 del 12/31/2014 y subsiguientes versiones. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

2.2. Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información. Versión 4.0 del 28/10/2021 y subsiguientes versiones. Disponible en: https://gobiernodigital.mintic.gov.co/692/articles-237908_maestro_mspi.pdf

2.3. Modelo de Seguridad y Privacidad de la Información versión 3.0.2 del 29/07/2016 y subsiguientes versiones. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf

2.4. Modelo de Seguridad y Privacidad de la Información versión 4.0 del 22/02/2021 y subsiguientes versiones. Disponible en:https://gobiernodigital.mintic.gov. co/692/articles-162623_recurso_1.pdf

2.5. Documento Maestro del Modelo de Seguridad y Privacidad de la Información versión 4.0 del 28/10/2021 y subsiguientes versiones. Disponible en: https://gobiernodigital.mintic.gov.co/692/articles-237872_maestro_mspi.pdf

2.6. Guía Roles y responsabilidades versión 4.0 del 28/10/2021 y subsiguientes versiones. Disponible en: https://gobiernodigital.mintic.gov.co/692/articles-237904_maestro_mspi.pdf

2.7. Guía No. 4 Roles y responsabilidades versión 1.0 del 25/04/2016 y subsiguientes versiones. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_G4_Roles_responsabilidades.pdf

2.8. Instrumento de Autoevaluación del Modelo de Seguridad y Privacidad de la Información del 21/11/2022 y subsiguientes versiones. Disponible en: https://gobiernodigital.mintic.gov.co/692/articles-273158_recurso_1.zip

2.9. Guía Indicadores de Gestión de Seguridad de la Información versión 4.0 del 28/10/2021 y subsiguientes versiones. Disponible en:https://gobiernodigital. mintic.gov.co/seguridadyprivacidad/704/articles-237905_maestro_mspi.pdf

2.10. Guía No 9 de indicadores de gestión para la seguridad de la información versión 3.0 del 22/05/2015 y subsiguientes versiones. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_G9_Indicadores_Gestion_Seguridad.pdf

2.11. Política General de Seguridad de la Información del 4/11/2022 y subsiguientes versiones. Disponible en: https://gobiernodigital.mintic.gov.co/692/articles-272947_recurso_1.zip

2.12. Guía No 5 para la Gestión y Clasificación de Activos de Información. Versión 1.0.0 del 15/03/2016 y subsiguientes versiones. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

2.13. Guía No 12 Seguridad en la Nube versión 1.0.1 del 14/03/2016 y subsiguientes versiones. Disponible en: https://www.mintic.gov.co/gestionti/615/articles-5482_G12_Seguridad_Nube.pdf

2.14. Guía No 12 Seguridad en la Nube versión 1.0.1 del 14/03/2016 y subsiguientes versiones. Disponible en: https://gobiernodigital.mintic.gov.co/692/articles-150518_G12_Seguridad_Nube.pdf

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 3 de junio de 2025.

El Ministro de Tecnologías de la Información y las Comunicaciones,

Julián Molina Gómez.