Reglamento de la Ley Marco de Confianza Digital que dispone medidas para su fortalecimiento

El 4 de noviembre de 2025, se publicó en el Diario Oficial El Peruano el Decreto Supremo 126-2025-PCM, que aprueba el Reglamento del Decreto de Urgencia 007-2020, el cual establece el marco de confianza digital y dispone medidas para su fortalecimiento (el “Reglamento”), con la finalidad de regular el fortalecimiento de la seguridad digital entre ciudadanos, empresas y entidades públicas.

ÁMBITO DE APLICACIÓN

• El Reglamento se aplica a: entidades públicas, empresas del estado, organizaciones de la sociedad civil, ciudadanos, empresas y la academia.
• Respecto de las organizaciones del sector privado, su artículo 12.1 señala que las disposiciones de seguridad digital son aplicables para proveedores de:
  • Servicios digitales del sector financiero.
  • Servicios básicos (energía eléctrica, agua y gas), salud y transporte de personas.
  • Servicios de internet.
  • Servicios educativos.
  • Actividades críticas.

¿QUIÉNES SON PROVEEDORES DE SERVICIOS DIGITALES (PSD)?

• Cualquier entidad pública u organización del sector privado que, independientemente de su localización geográfica, son responsables por el diseño, prestación y/o acceso a servicios digitales prestados a través de Internet u otras redes equivalentes en el territorio nacional, a favor de los ciudadanos.
• Los PSD deben asegurar cumplir las obligaciones establecidas en el DU 007-2020 y en el Reglamento en aquellos contratos o acuerdos que suscriban con terceros.
• Los terceros que no presten un servicio digital y que operen como intermediarios proveyendo servicios de nube, alojamiento de contenido, procesamiento, disponibilidad o permitan mejorar su desempeño, no son considerados como PSD.

OBLIGACIONES DE LOS PSD

• Notificar al Centro Nacional de Seguridad Digital (CNSD) los incidentes de seguridad digital.
• Implementar controles y medidas de seguridad al brindar servicios digitales.
• Gestionar riesgos de seguridad digital para generar valor.
• Establecer mecanismos de autenticación para verificar la identidad de las personas naturales que acceden a un servicio digital.
• Reportar y colaborar con la Autoridad Nacional de Protección de Datos Personales (ANPDP), conforme lo prevé la normativa que regula la materia.

¿CÓMO REPORTAR UN INCIDENTE DE SEGURIDAD DIGITAL?

• El DU 007-2020 define incidente de seguridad digital a aquel evento o serie de eventos que pueden comprometer la confianza, la prosperidad económica, la protección de las personas y sus datos personales, la información, entre otros activos de la organización, a través de tecnologías digitales (literal e del artículo 3).
• Canales oficiales para notificar ante el CNSD:
  • Plataforma digital que automatiza el registro de incidentes de seguridad digital e intercambio de información.
  • Correo electrónico cifrado.
  • Comunicación por teléfono, previa identificación.
  • Otros canales aprobados por la Secretaría General de Transformación Digital.
• Plazo para reportar: 48 horas desde que el PSD tomó conocimiento del incidente.
• En caso el incidente de seguridad digital involucre datos personales, la obligación de notificar ante la ANPDP se mantiene.

VIGENCIA Y PLAZOS

• El Reglamento entra en vigencia el 03.02.2026, esto es, a los noventa (90) días calendario contados a partir del día siguiente de su publicación en el Diario Oficial El Peruano.

Accede directamente al Reglamento haciendo clic aquí. (Decreto Supremo que aprueba el Reglamento del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el marco de confianza digital y dispone medidas para su fortalecimiento - DECRETO SUPREMO - - PRESIDENCIA DEL CONSEJO DE MINISTROS)