AyP Digital

Captura de Datos

Software ePaper A&P

Ver todos los servicios
Destacado

ePaper A&P

Gestión documental en la nube. Accede desde cualquier lugar.

Conocer más
Digitalización de Documentos Captura OCR / ICR Fichas Ópticas OMR ePaper A&P Desktop ePaper A&P SaaS
Blog Empresa Contacto
Contáctenos
Ciberseguridad

Marco nacional de ciberseguridad del Perú: Ley de Ciberdefensa, CNSD y cumplimiento en repositorios documentales

Ley 30999, DU 007-2020 y DS 126-2025-PCM: marco legal de ciberseguridad en Perú, obligaciones de notificación y cumplimiento para repositorios documentales.

Sebastián Herrera
11 min de lectura
Compartir:

Puntos Clave

  • El DS 126-2025-PCM (vigente desde el 3 de febrero de 2026) desarrolla el DU 007-2020 y obliga a proveedores de servicios digitales en sectores críticos a notificar incidentes de seguridad al CNSD dentro de las 48 horas desde la identificación del evento.
  • La doble notificación es obligatoria cuando el incidente involucra datos personales: la empresa debe reportar simultáneamente al CNSD (DU 007-2020) y a la ANPDP (DS 016-2024-JUS) en el mismo plazo de 48 horas, con sanciones de hasta 100 UIT (S/ 535,000) por incumplimiento del régimen de datos.
  • El Centro Nacional de Seguridad Digital (CNSD), dependiente de la PCM, es el organismo civil rector de ciberseguridad: coordina la respuesta a incidentes, opera el CSIRT nacional y gestionó más de 8 millones de transacciones de alertas de seguridad digital en 2024.
  • Los repositorios documentales bajo NTP 392.030-2:2015 (microformas digitales) deben implementar controles de seguridad alineados a NTP-ISO/IEC 27002, un requisito normativo que facilita el cumplimiento del marco de confianza digital peruano y reduce la exposición ante el DS 016-2024-JUS.

Perú registró más de 45,500 millones de intentos de ciberataque en 2024, según reportes de FortiGuard Labs de Fortinet. En el primer semestre de 2025, esa misma fuente registró 748 millones de intentos adicionales. Detrás de esos números hay contratos digitalizados, expedientes de salud, legajos de alumnos, pólizas y escrituras que empresas de todo tamaño custodian en repositorios documentales a veces sin saber exactamente qué les exige la ley peruana si esos archivos son comprometidos. La respuesta no está en un manual técnico de amenazas globales: está en cuatro normas concretas que ya son exigibles en el Perú de hoy.

Este artículo explica el marco legal peruano vigente de ciberseguridad —quiénes están obligados, qué deben notificar, a quién, en qué plazo y con qué consecuencias si no lo hacen— con énfasis en lo que significa para repositorios documentales empresariales. No es una guía de amenazas técnicas ni una revisión de tendencias globales: es una lectura del derecho peruano vigente traducida a obligaciones concretas de cumplimiento normativo.

El punto de partida para cualquier empresa es entender que en el Perú coexisten dos marcos paralelos de ciberseguridad con alcances muy distintos. Confundirlos lleva a errores de gestión que pueden resultar costosos: uno regula la defensa nacional en el ciberespacio; el otro crea obligaciones directas, cotidianas y ya exigibles para el sector privado.

El ecosistema normativo de ciberseguridad en Perú: de lo militar a lo civil

Dos marcos paralelos: Ley 30999 versus DU 007-2020

La Ley N° 30999 – Ley de Ciberdefensa (publicada el 27 de agosto de 2019) y su reglamento DS 017-2024-PCM regulan operaciones militares en y mediante el ciberespacio. Su órgano ejecutor es el COCID (Comando Operacional de Ciberdefensa), bajo el Ministerio de Defensa y el JCCFFAA. Este marco se activa cuando las capacidades de protección civil son sobrepasadas, y solo alcanza directamente a empresas privadas que operan activos críticos nacionales en esas circunstancias excepcionales. Para la gestión cotidiana de la seguridad digital empresarial, esta ley no genera obligaciones operativas directas en la mayoría de casos.

El marco civil es distinto. El Decreto de Urgencia N° 007-2020 creó el Centro Nacional de Seguridad Digital (CNSD) y el Registro Nacional de Incidentes de Seguridad Digital (RNISD), estableciendo obligaciones concretas para proveedores privados de servicios digitales en sectores críticos. Su reglamento, el DS 126-2025-PCM (publicado el 4 de noviembre de 2025 y vigente desde el 3 de febrero de 2026), desarrolla los protocolos y canales de notificación de incidentes. A esto se suma el DS 016-2024-JUS (vigente desde el 30 de marzo de 2025), nuevo reglamento de la Ley de Protección de Datos Personales (Ley 29733), que impone las sanciones más severas para repositorios documentales con datos de personas.

Tabla comparativa: marcos normativos vigentes

Norma Fecha de vigencia Alcance principal Obligación clave Sanción
Ley 30999 + DS 017-2024-PCM Feb. 2024 (reglamento) Ciberdefensa militar / FFAA Operaciones de ciberdefensa nacional No aplica directamente a empresas privadas
DU 007-2020 Ene. 2020 Seguridad digital civil — sectores críticos Notificar incidentes al CNSD en 48 h Vacío sancionador explícito (en discusión regulatoria)
DS 126-2025-PCM 3 feb. 2026 Reglamento del DU 007-2020 Protocolos y canales de notificación al CNSD Ídem DU 007-2020
DS 016-2024-JUS 30 mar. 2025 Protección de datos personales (Ley 29733) Notificar brechas a la ANPDP en 48 h; DPO obligatorio 50–100 UIT (S/ 267,500–535,000)
DS 157-2021-PCM Sep. 2021 Sistema Nacional de Transformación Digital Gestión de riesgos y CSIRT en entidades públicas Administrativo

El Centro Nacional de Seguridad Digital (CNSD): rol en 2026

El CNSD es el organismo civil rector de ciberseguridad, adscrito a la PCM a través de la Secretaría de Gobierno y Transformación Digital. Coordina la respuesta a incidentes de seguridad digital, opera el CSIRT nacional y gestiona el RNISD. En 2024, el CNSD procesó más de ocho millones de transacciones de alertas de seguridad digital en apoyo a entidades del Estado. Para el sector privado obligado, el CNSD es el destino de la notificación de incidentes y la fuente de coordinación técnica cuando un evento supera la capacidad de respuesta interna.

¿A quién aplica? Sectores obligados y responsabilidad

Sectores críticos según el DU 007-2020

El DU 007-2020 define los proveedores de servicios digitales en sectores críticos como los sujetos directos de la obligación de notificación. Los sectores son:

  • Financiero: bancos, financieras, aseguradoras, AFP
  • Servicios básicos: agua, electricidad, gas
  • Salud: clínicas, hospitales, prestadores de salud digital
  • Transporte: operadores de infraestructura de transporte
  • Internet y telecomunicaciones: proveedores de servicios de internet, proveedores de servicios en la nube
  • Educación: universidades, institutos con servicios educativos digitales
  • Actividades críticas: según determinación del CNSD

¿Mi empresa está obligada? Árbol de decisión práctico

Antes de concluir que la norma no aplica, responde estas tres preguntas:

  1. ¿Tu empresa presta servicios digitales en alguno de los sectores listados? Si la respuesta es sí, el DU 007-2020 y el DS 126-2025-PCM son directamente aplicables.
  2. ¿Tu empresa trata datos personales de clientes, empleados o terceros? Si la respuesta es sí, el DS 016-2024-JUS aplica independientemente del sector, y la notificación a la ANPDP es obligatoria ante cualquier brecha de seguridad.
  3. ¿Tu empresa terceriza la digitalización o custodia de documentos a un proveedor externo? La responsabilidad de notificación recae sobre quien determina el fin del tratamiento de los datos —es decir, el cliente que contrató el servicio, no el digitalizador— aunque el proveedor debe colaborar en la investigación y la respuesta al incidente.

Si las tres respuestas son “no”, la Ley 30999 podría activarse solo si tus activos digitales son calificados como activos críticos nacionales en una situación de crisis, algo que corresponde únicamente a grandes operadores de infraestructura. Para la mayoría de empresas, el riesgo práctico proviene del DS 016-2024-JUS, que aplica a cualquier entidad que trate datos personales.

La obligación de notificación en 48 horas: protocolo, canales y plazos

¿Qué es un “incidente de seguridad digital” según el DU 007-2020?

El DU 007-2020 define un incidente de seguridad digital como todo evento que afecta la confidencialidad, integridad o disponibilidad de los activos digitales de una organización o que compromete los servicios que esta presta. Esto incluye accesos no autorizados, exfiltración de datos, ransomware que cifra repositorios, denegación de servicio que interrumpe operaciones y cualquier evento que ponga en riesgo la continuidad o la integridad de la información gestionada.

Cronograma normativo: desde la detección hasta la notificación

El plazo de 48 horas no comienza cuando el incidente ocurre, sino cuando la organización lo identifica. Este es un punto técnico con implicaciones prácticas importantes:

  • Hora 0: El equipo de TI o el responsable de seguridad detecta el evento y lo clasifica como incidente.
  • Primeras horas: Activación del plan de respuesta, contención inicial, preservación de evidencia.
  • Máximo hora 48: Notificación formal al CNSD a través del RNISD y, si hay datos personales involucrados, a la ANPDP.

El DS 016-2024-JUS aclara que la notificación a la ANPDP es obligatoria incluso cuando el incidente está bajo control al momento de reportar. No hay excusa de “lo resolvimos antes de las 48 horas” para evadir la notificación: si hubo brecha de datos personales, la ANPDP debe ser informada.

Doble notificación obligatoria: CNSD más ANPDP

Cuando un incidente involucra tanto la seguridad digital de servicios críticos como datos personales —lo que ocurre en la mayoría de eventos que afectan repositorios documentales— ambas notificaciones son obligatorias y simultáneas, no secuenciales. Una no exime la otra:

  • CNSD (DU 007-2020 / DS 126-2025-PCM): Notificación a través del portal del RNISD para incidentes que afectan la prestación de servicios digitales en sectores críticos.
  • ANPDP (DS 016-2024-JUS): Notificación a la Autoridad Nacional de Protección de Datos Personales cuando el incidente compromete datos de personas naturales. Si el evento afecta directamente a los titulares de datos, estos también deben ser notificados.

Contenido mínimo del reporte

Aunque el DS 126-2025-PCM desarrolla los formularios específicos, un reporte de incidente al CNSD y a la ANPDP debe contener como mínimo:

  • Descripción del incidente: tipo, vector de ataque identificado, sistemas afectados
  • Fecha y hora de detección
  • Alcance estimado: número de registros o usuarios afectados
  • Medidas de contención adoptadas
  • Plan de recuperación y cronograma estimado
  • Datos del responsable de seguridad (DPO u oficial equivalente)

Sanciones y vacío normativo: qué está claro y qué aún no

Multas confirmadas bajo el DS 016-2024-JUS

El régimen sancionador más claro para repositorios documentales empresariales proviene del DS 016-2024-JUS. La ANPDP puede imponer multas de entre 50 UIT (S/ 267,500) y 100 UIT (S/ 535,000) por brechas derivadas de medidas de seguridad insuficientes o por no notificar dentro del plazo. No es un riesgo teórico: en 2025 la ANPDP realizó 760 inspecciones, un incremento del 67 % respecto al año anterior.

Vacío reconocido: sanciones por incumplimiento del DU 007-2020

El DU 007-2020 y su reglamento DS 126-2025-PCM aún no definen con precisión las sanciones pecuniarias por no notificar al CNSD. Analistas legales especializados en derecho digital reconocen este vacío normativo, que se encuentra en discusión regulatoria. Esto no significa que el incumplimiento sea inocuo: puede derivar en:

  • Responsabilidad civil frente a los afectados por el incidente
  • Bloqueo de servicios o inhabilitación para operar en sectores regulados
  • Pérdida de licencias sectoriales o acreditaciones
  • Sanciones SBS para entidades financieras conforme a la Resolución SBS N° 504-2021, que posee un régimen sancionador más desarrollado

El sector financiero: un régimen más claro

Las entidades supervisadas por la SBS están sujetas al DU 007-2020 y a la Resolución SBS N° 504-2021, que establece requerimientos específicos de gestión de riesgos de seguridad de la información y ciberseguridad con un régimen sancionador sectorial más definido. Para bancos y aseguradoras, el incumplimiento tiene consecuencias regulatorias concretas que van más allá del vacío del DU 007-2020.

Controles de seguridad de la información: qué la ley exige implementar

Los tres pilares: confidencialidad, integridad, disponibilidad

El DU 007-2020, el DS 016-2024-JUS y la NTP-ISO/IEC 27002 convergen en el mismo modelo: proteger los activos digitales desde tres dimensiones. Para un repositorio documental, esto se traduce en:

  • Confidencialidad: Solo personas autorizadas acceden a los documentos. Control de identidades, gestión de privilegios, cifrado en tránsito y en reposo.
  • Integridad: Los documentos no pueden ser alterados sin registro. Hash criptográfico, firma digital, auditoría de cambios.
  • Disponibilidad: El repositorio es accesible cuando se necesita. Respaldos verificados, planes de recuperación, redundancia.

Matriz de controles mínimos por tipo de repositorio documental

Control Qué protege Medida mínima exigible
Control de acceso Confidencialidad Autenticación con usuario y clave, gestión de roles, revocación inmediata al desvincularse
Cifrado Confidencialidad e integridad TLS en tránsito; cifrado AES-256 o equivalente en reposo para datos sensibles
Respaldo verificado Disponibilidad Copias periódicas con prueba de restauración documentada; almacenamiento fuera de línea
Registro de auditoría Integridad y trazabilidad Registros de acceso, modificación y descarga; retención mínima alineada al ciclo documental
Gestión de incidentes Los tres pilares Plan documentado y aprobado; responsable designado; canal de comunicación interno
Actualizaciones de seguridad Disponibilidad e integridad Parcheo periódico de sistemas; inventario de activos con estado de actualización

NTP-ISO/IEC 27002 como referencia normativa peruana

La NTP-ISO/IEC 27002, adoptada por el organismo de normalización peruano, es la norma técnica de controles de seguridad de la información que el marco peruano referencia para repositorios documentales. Los sistemas de producción y custodia de microformas bajo NTP 392.030-2:2015 deben implementar medidas de seguridad conforme a esta norma, lo que significa que quien produce microformas digitales certificadas ya está obligado a incorporar controles alineados al mismo estándar que el DU 007-2020 y el DS 016-2024-JUS demandan. Este es un punto técnico relevante: la certificación de un Organismo de Producción de Microformas bajo NTP 392.030-2:2015 —verificada por organismos de certificación reconocidos como SGS— implica que los controles de seguridad del proceso de digitalización fueron evaluados contra ese estándar, lo que facilita la trazabilidad hacia el cumplimiento del marco de confianza digital.

Plan de respuesta a incidentes: de la prevención a la notificación

El DS 016-2024-JUS establece la obligación de contar con un documento de seguridad formalmente aprobado, con protocolos de acceso, control de privilegios, registros de auditoría y verificación periódica. Esto no es opcional ni solo para grandes empresas: aplica a cualquier organización que trate datos personales. Para un repositorio documental empresarial, este documento de seguridad es la base del plan de respuesta a incidentes.

Checklist accionable: 10 pasos para documentar un plan de respuesta

  1. Designar al responsable de seguridad (DPO u oficial equivalente) con funciones y accesos formalizados por escrito.
  2. Inventariar los activos digitales del repositorio: bases de datos, servidores, accesos en la nube, copias de seguridad.
  3. Clasificar la información según sensibilidad: datos personales, información confidencial empresarial, documentos públicos.
  4. Definir el equipo de respuesta a incidentes: quién lidera, quién notifica, quién coordina con TI y quién comunica hacia el exterior.
  5. Establecer el canal de comunicación interno para reportar eventos sospechosos al responsable de seguridad, con tiempo de respuesta definido.
  6. Documentar el proceso de detección y análisis: qué herramientas monitorean el repositorio, con qué frecuencia se revisan los registros de auditoría.
  7. Establecer el procedimiento de contención: pasos específicos para aislar sistemas comprometidos sin destruir evidencia.
  8. Preparar los formularios de notificación al CNSD (vía RNISD) y a la ANPDP, con los datos de contacto actualizados.
  9. Definir el plan de recuperación: orden de restauración, criterios de reanudación del servicio, comunicación a usuarios afectados.
  10. Revisar y aprobar formalmente el plan al menos una vez al año y después de cada incidente significativo, dejando registro de la aprobación.

Casos por sector: cómo aplica el marco a empresas reales

Sector financiero. Un banco o aseguradora que sufre un ataque con ransomware sobre su repositorio de contratos digitalizados enfrenta un escenario de triple notificación: al CNSD en 48 horas (DU 007-2020), a la SBS según la Resolución N° 504-2021, y a la ANPDP si el incidente compromete datos de clientes (DS 016-2024-JUS). Sus repositorios de estados de cuenta, pólizas y contratos deben cumplir simultáneamente el marco regulatorio SBS y el marco civil de confianza digital. La ausencia de un plan de respuesta documentado puede agravar significativamente las consecuencias regulatorias en la supervisión posterior.

Sector salud. Clínicas privadas y hospitales que gestionan historias clínicas digitales bajo la NTS 139-MINSA tienen la mayor exposición bajo el DS 016-2024-JUS porque los datos de salud son considerados datos sensibles con protección reforzada. Un evento de ransomware que cifre el repositorio clínico activa la notificación al CNSD (si la clínica califica como prestadora de servicios de salud digital), a la ANPDP y, potencialmente, la comunicación directa a cada paciente cuyos datos fueron comprometidos. Las sanciones en este sector pueden alcanzar el tope de 100 UIT.

Sector educativo universitario. Las universidades privadas con expedientes SUNEDU y sistemas de matrícula en línea son alcanzadas por el DU 007-2020 como prestadoras de servicios educativos digitales. La exposición de legajos de alumnos —DNI, notas, datos de contacto— activa el doble canal de notificación CNSD más ANPDP. Si la institución terceriza la digitalización de expedientes físicos a un proveedor certificado bajo NTP 392.030-2:2015, la responsabilidad de notificación sigue recayendo en la universidad como titular del tratamiento de datos, aunque el proveedor debe colaborar en la respuesta al incidente.

Sector inmobiliario y notarial. Inmobiliarias y notarías que gestionan contratos, escrituras y poderes en formato digital no quedan expresamente en los sectores críticos del DU 007-2020, pero el DS 016-2024-JUS les aplica íntegramente por tratar datos personales de compradores, vendedores y otorgantes. Si un ataque expone escrituras con datos de identificación de personas naturales, la notificación a la ANPDP es obligatoria. Cuando la digitalización está tercerizada, la responsabilidad de notificación recae en quien determina el fin del tratamiento, no en el digitalizador.

Sector minero y energético. Empresas concesionarias que manejan repositorios de contratos de exploración, planos técnicos y expedientes de licencias pueden ser calificadas como operadores de activos críticos nacionales bajo la Ley 30999. En ese escenario, la ciberdefensa militar puede activarse como último recurso si sus sistemas son comprometidos a escala y las capacidades civiles resultan insuficientes, aunque en la gestión cotidiana les aplican las mismas obligaciones del DU 007-2020 y el DS 016-2024-JUS que al resto.

La ESNACIB 2026-2028 y el camino regulatorio futuro

La Estrategia Nacional de Ciberseguridad 2026-2028 (ESNACIB) fue publicada por la Secretaría de Gobierno y Transformación Digital el 15 de agosto de 2025 para consulta pública. A la fecha de este artículo (junio de 2026), no se ha podido confirmar su aprobación como Decreto Supremo: es un documento orientador, no una norma vinculante. Debe leerse como señal de la dirección regulatoria, no como obligación exigible.

Sus ocho pilares estratégicos son: gobernanza y liderazgo; protección de infraestructura crítica y activos digitales; regulación y cumplimiento; gestión de riesgos y respuesta a incidentes; lucha contra el cibercrimen; consolidación de la ciberdefensa; investigación, innovación y cultura; cooperación internacional.

El pilar de regulación y cumplimiento es el más relevante para el sector privado: anticipa mayor exigencia para empresas que prestan servicios digitales, con énfasis en estándares técnicos, auditorías y marcos de certificación. Si la ESNACIB se aprueba como política nacional, el marco civil del DU 007-2020 probablemente incorporará obligaciones más detalladas de gestión de riesgos, planes de continuidad y auditorías periódicas. Prepararse ahora —documentando el plan de respuesta, alineando controles a la NTP-ISO/IEC 27002 y designando al responsable de seguridad— es más eficiente que reaccionar cuando las exigencias se endurezcan.

El marco normativo peruano de ciberseguridad ya está vigente y ya genera obligaciones concretas para repositorios documentales empresariales. Cuatro normas estructuran el sistema: la Ley 30999 para la defensa nacional en el ciberespacio, el DU 007-2020 y su reglamento DS 126-2025-PCM para las obligaciones cotidianas del sector privado en sectores críticos, y el DS 016-2024-JUS como instrumento sancionador más inmediato para cualquier entidad que trate datos personales. La obligación de notificar en 48 horas, la doble notificación al CNSD y a la ANPDP cuando hay datos personales involucrados, y el requisito de contar con un documento de seguridad formalmente aprobado no son aspiraciones futuras: son exigencias del derecho peruano vigente. Los repositorios documentales digitales construidos sobre estándares técnicos robustos —como los controles de seguridad que referencia la NTP 392.030-2:2015 para microformas— tienen una base sólida para alinear su operación al marco de confianza digital, pero ningún estándar técnico reemplaza la responsabilidad de tener un plan documentado, un responsable designado y los canales de notificación preparados antes de que ocurra el incidente.

Etiquetas

ciberseguridad marco-normativo-peru cumplimiento-digital proteccion-datos gestion-documental

Preguntas Frecuentes

Están obligados los proveedores de servicios digitales que operan en sectores definidos como críticos por el DU 007-2020: finanzas, servicios básicos (agua, electricidad, gas), salud, transporte, internet, educación y actividades críticas. Desde el 3 de febrero de 2026, el reglamento DS 126-2025-PCM desarrolla los protocolos y canales de notificación. Si tu empresa presta servicios digitales en alguno de esos sectores, la obligación de reportar al CNSD en 48 horas ya es exigible. Empresas fuera de esos sectores también pueden estar obligadas a notificar a la ANPDP si el incidente involucra datos personales, bajo el DS 016-2024-JUS.
Son dos marcos con alcances distintos que coexisten. La Ley N° 30999 de Ciberdefensa (2019) y su reglamento DS 017-2024-PCM regulan operaciones militares en el ciberespacio a cargo del Ministerio de Defensa y el COCID; se activan cuando las capacidades civiles de protección son sobrepasadas y solo alcanzan directamente a empresas privadas que operan activos críticos nacionales en esas circunstancias. El DU 007-2020 y su reglamento DS 126-2025-PCM son el marco civil: crean el CNSD, el RNISD y las obligaciones cotidianas de seguridad digital para el sector privado en sectores críticos. Para la mayoría de empresas privadas, es el DU 007-2020 y el DS 016-2024-JUS los que generan obligaciones directas de gestión y notificación.
El incumplimiento de la obligación de notificación al CNSD bajo el DU 007-2020 actualmente carece de una sanción pecuniaria explícita y definida en ese instrumento normativo, vacío reconocido por analistas legales y que está en discusión regulatoria. Sin embargo, si el incidente involucra datos personales y no se notifica a la ANPDP en el mismo plazo de 48 horas, las sanciones del DS 016-2024-JUS sí son concretas: entre 50 y 100 UIT (S/ 267,500 a S/ 535,000). Adicionalmente, el incumplimiento puede derivar en responsabilidad civil frente a los afectados, bloqueo de servicios, pérdida de licencias sectoriales y exposición a sanciones de reguladores específicos como la SBS para entidades financieras.
La NTP 392.030-2:2015 no es una norma de ciberseguridad en sí misma, sino la norma técnica peruana para la producción de microformas digitales con valor legal. Sin embargo, referencia expresamente controles de seguridad de la información alineados a la NTP-ISO/IEC 27002, lo que implica que los sistemas de producción y custodia de microformas deben implementar medidas de confidencialidad, integridad y disponibilidad. Esto significa que un repositorio documental construido sobre microformas NTP 392.030-2:2015 ya incorpora una capa de controles de seguridad que facilita el cumplimiento del DU 007-2020 y reduce la exposición ante el DS 016-2024-JUS, aunque no sustituye la obligación de notificar incidentes ni de contar con un plan de respuesta documentado.

¿Te interesa este tema?

Escribir por WhatsApp Enviar consulta por email
Sigue leyendo

Artículos Relacionados