Objetivo general:
Asegurar el continuo funcionamiento de las infraestructuras críticas nacionales y las infraestructuras de tecnologías de la información (TI) del Estado.
Objetivo específico 2.1: Fortalecer la protección de las infraestructuras críticas nacionales y las de tecnologías de la información (TI) del Estado.
Línea de acción 2.1.1: Elaborar y establecer un plan nacional de respuesta a incidentes de ciberseguridad, y contingencias a riesgos, que procure la adecuada actuación en la gestión de incidentes cibernéticos, riesgos de emergencia y crisis nacional.
Línea de acción 2.1.2: Identificar y apoyar los organismos principales en el área de respuesta a incidentes que puedan proporcionar soporte a las infraestructuras críticas nacionales y a las infraestructuras tecnologías de la información (TI) del Estado y del sector privado en función al Plan Nacional de Respuesta a Incidentes de Ciberseguridad.
Línea de acción 2.1.3: Desarrollar y establecer los protocolos de activación y acción para los organismos de respuesta, y todo el ciclo de gestión de los incidentes.
Línea de acción 2.1.4: Elaborar y establecer un plan nacional de comunicación e intercambio de información ante crisis de incidentes de seguridad cibernética.
Línea de acción 2.1.5: Fortalecer los Equipos Sectoriales de Respuestas a Incidentes Cibernéticos (CSIRT) y promover el establecimiento de los mismos en los sectores críticos nacionales.
Línea de acción 2.1.6: Diseñar, establecer y poner en marcha un plan de ejercicios de simulación de incidentes cibernéticos para las infraestructuras críticas nacionales y las instituciones del Estado.
Objetivo específico 2.2: Fortalecer la gestión de riesgos, identificar las infraestructuras críticas nacionales y las infraestructuras de tecnologías de la información (TI) relevantes del Estado y efectuar un análisis de riesgo.
Línea de acción 2.2.1: Establecer una metodología común para la gestión de los riesgos cibernéticos, y sus lineamientos, así como los mecanismos de gobernabilidad, para la supervisión, evaluación y medición periódica de implementación y cumplimiento de las políticas de tecnologías de información, los planes de riesgos y de continuidad operativa, en conformidad con las mejores prácticas, y alineada a los estándares y metodologías internacionales para las infraestructuras criticas nacionales y de las instituciones del Estado, y promover su adopción en el sector privado.
Línea de acción 2.2.2: Establecer los criterios que determinan el grado de criticidad de una infraestructura, basado en los estándares internacionales en la materia.
Línea de acción 2.2.3: Catalogar las infraestructuras críticas nacionales e infraestructuras tecnologías de la información (TI) relevantes del Estado de acuerdo con los criterios que determinan su grado de criticidad, incluyendo los servicios colaterales que las soportan.
Línea de acción 2.2.4: Efectuar análisis de riesgo sobre las infraestructuras críticas nacionales e infraestructuras tecnologías de la información (TI) relevantes del Estado y determinar su nivel de vulnerabilidad, contemplando la inclusión de los perfiles de riesgos sectoriales más críticos para la sociedad y la economía nacional.
Objetivo específico 2.3 Elaborar los reglamentos, normas, estándares y lineamientos para el fortalecimiento de la coordinación y respuesta a incidentes de ciberseguridad en las infraestructuras críticas nacionales y de tecnologías de la información (TI) del Estado.
Línea de acción 2.3.1: Evaluar las normas y reglamentaciones emitidas por reguladores sectoriales para someter propuestas de actualizaciones a estos órganos, atendiendo a estándares internacionales.
Línea de acción 2.3.2: Apoyar la elaboración y el establecimiento de reglamentos sectoriales y en el diseño del modelo de gobernanza del sector.
Línea de acción 2.3.3: Elaborar y establecer los protocolos de intercambio de información entre los Equipos Sectoriales de Respuestas a Incidentes Cibernéticos (CSIRT), las instituciones del Estado, las infraestructuras críticas y el Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD), para la gestión de los incidentes de ciberseguridad.