BUSCAR
ÍNDICE
RESOLUCIÓN 40234 DE 2024
(julio 4)
Diario Oficial No. 52.807 de 4 de julio de 2024
MINISTERIO DE MINAS Y ENERGÍA
Por la cual se establecen los requisitos para la seguridad física en el empleo de las fuentes radiactivas de categoría 1, 2 y 3, y se modifica parcialmente la Resolución número 90874 de 2014.
EL MINISTRO DE MINAS Y ENERGÍA
En uso de sus facultades legales y en especial las dispuestas en los artículos 2o y 5o del Decreto número 381 de 2012, modificado por los Decretos 1617 y 2881 de 2013 y 30 de 2022, y
CONSIDERANDO:
Que la República de Colombia es parte del Organismo Internacional de Energía Atómica (OIEA), cuyos estatutos fueron aprobados mediante la Ley 16 de 1960.
Que el 8 de septiembre de 2003 el OIEA expidió el Código de Conducta sobre Seguridad Tecnológica y Física de las Fuentes de Radiación (IAEA/CODEC/2004), el cual fue aprobado por la Junta de Gobernadores de la misma organización y tiene como objetivo ayudar a las autoridades nacionales a asegurar que las fuentes radiactivas se utilicen en un marco apropiado de seguridad radiológica tecnológica y física.
Que mediante nota diplomática del 31 de agosto de 2006 la Misión Permanente de Colombia ante las Naciones Unidas y los Organismos Internacionales con sede en Viena, Austria, informó al Organismo Internacional de Energía Atómica (OIEA) su adhesión al Código de Conducta sobre Seguridad Tecnológica y Física de las Fuentes de Radiación (IAEA/CODEC/2004) y a las Directrices sobre la Importación y Exportación de Fuentes Radiactivas (IAEA/CODEOC/IMP-EXP/2005).
Que en los numerales 1 y 16 del artículo 5o del Decreto número 381 de 2012 establecen que es función del Despacho del Ministro de Minas y Energía “adoptar la política en materia de minas, energía eléctrica, energía nuclear, materiales radiactivos, fuentes alternas de energía, hidrocarburos y biocombustibles” y “dictar las normas y reglamentos para la gestión segura de materiales nucleares y radiactivos en el país”.
Que el Decreto número 1617 de 2013, en su artículo 1o, adiciona el numeral 31 al artículo 2o del Decreto número 381 de 2012, señalando como función del Ministerio de Minas y Energía, la de “Ejercer la función de autoridad competente encargada de la aplicación del marco legislativo y reglamentario, así como de los tratados, acuerdos y convenios internacionales relacionados con el sector minero-energético y sobre seguridad nuclear, protección física, protección radiológica y salvaguardias”.
Que el artículo 6o del Decreto número 1617 de 2013, adiciona el artículo 14 del Decreto número 381 de 2012, funciones del Despacho del Viceministro de Energía asociadas al uso seguro de los materiales radiactivos y nucleares en el país.
Que actualmente en Colombia el Reglamento de Protección y Seguridad Radiológica está establecido bajo la Resolución número 181434 de 2002 emitida por el Ministerio de Minas y Energía la cual tiene por objeto establecer los requisitos y condiciones mínimo que deben cumplir y observar las personas naturales o jurídicas interesadas en realizar o ejecutar prácticas que causen exposición a la radiación ionizante o en intervenir con el fin de reducir exposiciones existentes, así como los requisitos y condiciones básicos para la protección de las personas contra la exposición a la radiación y para la seguridad de las fuentes de radiación, denominados en lo sucesivo protección y seguridad.
Que mediante Resolución número 180052 de 2008, expedida por el Ministerio de Minas y Energía, fue adoptado el sistema de categorización de las fuentes radiactivas, fundamentado en el potencial de la radiación para causar daño a la salud humana y la metodología para dicha clasificación; sistema que se aplica en el presente acto administrativo para asignar los niveles de seguridad relacionados con el riesgo radiológico.
Que el Ministerio de Minas y Energía expidió la Resolución número 90874 de 2014, por medio de la cual se establecen los requisitos y procedimientos para la expedición de autorizaciones para el empleo de fuentes radiactivas y de las inspecciones de las instalaciones radiactivas, adicionada y modificada por la Resolución número 41226 de 2016.
Que el literal d) del artículo 22 de la Resolución ibidem, establece que, el interesado en obtener una licencia de operación para una instalación radiactiva en la cual se manejen fuentes de categoría 1 o 2, deberá presentar ante el órgano regulador, o su entidad delegada, para su aprobación, un Manual de Seguridad Física.
Que el Anexo II de la Resolución en mención establece la “Guía para la presentación de la documentación” que debe acompañar la solicitud de autorización para una instalación que utilice fuentes radiactivas. Y en su numeral VII contempla el Manual de Seguridad Física, que señala lo siguiente:
“VII. MANUAL DE SEGURIDAD FÍSICA
Este manual deberá describir los mecanismos y las medidas diseñadas por la instalación orientados a garantizar la seguridad física de las fuentes radiactivas, es decir para impedir el robo, sabotaje, accesos no autorizados y transferencias ilegales u otros actos dolosos de que puedan ser objeto. En este se deberá describir:
1. Características del acceso a la instalación.
2. Barreras físicas instaladas y sus características (puertas, cerraduras).
3. Sistemas para la verificación de acceso, formas de activación y respuesta.
4. Medidas administrativas para la limitación de accesos no autorizados.
5. Medidas administrativas para el control de los sistemas de barreras y verificación automática de acceso.
El Manual deberá estar escrito en un lenguaje claro y accesible al personal responsable de los sistemas y medidas que tengan relación con la seguridad física. Todos los procedimientos deberán estar normalizados y documentados.
El presente Manual de Seguridad Física o la norma que lo modifique, adicione o sustituya deberá ser aplicado por las personas naturales o jurídicas, públicas o privadas, nacionales o extranjeras radicadas o con representación en el territorio nacional, que dentro de la jurisdicción de la República de Colombia realicen actividades de diseño y construcción, operación, cese temporal de operaciones y clausura de instalaciones radiactivas que utilicen en sus actividades fuentes radiactivas”.
Que se hace necesario establecer los niveles de seguridad física de las fuentes radiactivas categorías 1, 2 y 3, y los requisitos y procedimientos administrativos que deben cumplir las instalaciones en función de la categorización del material radiactivo a tenerse en cuenta en la elaboración del Manual de Seguridad Física.
Que el literal d) del artículo 32 de la Resolución ibidem, establece que, el interesado en obtener un registro de operación para una instalación radiactiva en la cual se manejen fuentes de categoría 3, deberá presentar ante el órgano regulador, o su entidad delegada, para su aprobación, la Evaluación de Seguridad y que a través de dicho documento se evalúan los posibles riesgos asociados a la seguridad de la instalación.
Que mediante memorando radicado bajo el número 2014041331 del 1o de julio de 2014, el Ministerio de Minas y Energía solicitó a la Dirección de Regulación del Ministerio de Comercio, Industria y Turismo concepto previo sobre el Proyecto de Resolución, que derivó en la expedición de la Resolución número 90874 de 2014, en cumplimiento de lo señalado por el Decreto número 1844 de 2013.
Que en respuesta al anterior memorando, mediante Oficio número 1-2014-015670 del 6 de agosto de 2014, la mencionada Dirección concluyó que “(…) en su contenido no se encuentran prescripciones que tengan un efecto significativo en el comercio de otros miembros, según lo estipulado en el numeral 2.9 del acuerdo OTC de la OMC, debido a que se trata de una medida nacional procedimental, que no establece requisitos de producto y no generan obstáculos técnicos innecesarios al comercio con otros países” y, por consiguiente, “(...) dicho proyecto de resolución no requiere del concepto previo (...), ni tampoco requiere de surtir el proceso de notificación internacional”. (Subrayado fuera de texto).
Que en ese orden, y en tanto la presente resolución tienen como objeto, establecer los requisitos para la seguridad física en el empleo de las fuentes radiactivas y modificar la Resolución número 90874 de 2014, modificada parcialmente por Resolución número 41226 de 2016, no es necesario poner a consideración de la Dirección de Regulación del Ministerio de Comercio, Industria y Turismo la expedición de concepto previo sobre el presente Proyecto de Resolución en cumplimiento de lo señalado por el Decreto número 1844 de 2013.
Que de conformidad con lo establecido en los artículos 2.2.2.30.5 y 2.2.2.30.6. del Decreto número 1074 de 2015, la Oficina de Asuntos Regulatorios y Empresariales del Ministerio de Minas y Energía respondió el cuestionario de abogacía de la competencia elaborado por la Superintendencia de Industria y Comercio para revisar la posible incidencia de la presente resolución sobre la libre competencia, encontrando que ninguna de las respuestas obtenidas con dicho cuestionario limitaban la libre competencia y, en consecuencia, no es necesario informar de su contenido a la Delegatura para la Protección de la Competencia de la Superintendencia de Industria y Comercio.
Que en cumplimiento de lo señalado en el numeral 8 del artículo 8o de la Ley 1437 de 2011, en concordancia con lo previsto en el artículo 2.1.2.1.23 del Decreto número 1081 de 2015, adicionado por el artículo 5o del Decreto número 270 de 2017, y las Resoluciones números 40310 y 41304 de 2017, el texto del presente acto administrativo fue publicado en la página web del Ministerio de Minas y Energía entre el 5 al 20 de enero de 2024 para comentarios de la ciudadanía, los cuales se incluyeron en el presente documento en lo que se consideró pertinente.
Que en cumplimiento a lo establecido en la Circular 40005 de 2024, se realizó el sustento de actos administrativos proferidos por el Despacho del Ministro.
Que, por lo anterior,
RESUELVE:
CONSIDERACIONES GENERALES.
ARTÍCULO 1o. OBJETO. Establecer los niveles de seguridad física de las fuentes radiactivas categorías 1, 2 y 3; y los requisitos y procedimientos administrativos que deben cumplir las instalaciones en función de la categorización del material radiactivo.
PARÁGRAFO. Toda persona, natural o jurídica, pública o privada, nacional o extranjera, radicada o con representación en el territorio nacional, responsable de la seguridad física de las fuentes radiactivas de categoría 1, 2 y 3, está obligada a observar, adoptar y dar cumplimiento a la normativa, reglamentación y todas las medidas apropiadas y necesarias dirigidas a proteger la salud y la seguridad radiológica de las personas y del medioambiente.
ARTÍCULO 2o. ALCANCE. La aplicabilidad de la presente resolución recae sobre las personas naturales o jurídicas, públicas o privadas, nacionales o extranjeras, que requieren una autorización del órgano regulador, o su delegado, para el empleo y/o almacenamiento de las fuentes radiactivas selladas y/o no selladas de categorías 1, 2 y 3 en el país, acorde con lo establecido en la Resolución número 180052 de 2008 del Ministerio de Minas y Energía, o aquella norma que la adicione, modifique o sustituya.
PARÁGRAFO. La presente norma no es aplicable a aquellas personas que operen con:
1. Equipos generadores de radiación, tales como los equipos emisores de rayos X y aceleradores de partículas;
2. Material nuclear, tal y como se encuentra definidos en la “Convención sobre la Protección Física de los Materiales Nucleares”, aprobada mediante la Ley 728 de 2001, ya que las condiciones de seguridad de este material se encuentran contempladas en la Resolución número 181475 de 2004;
3. Instalaciones cuya agregación de fuentes dé como resultado categorías 4 y 5, para las cuales se considera que las medidas de protección radiológica proveen suficiente seguridad física, de acuerdo con lo establecido en las Resoluciones números 181434 de 2002 y 90874 de 2014, modificada parcialmente por la Resolución número 41226 de 2016, o aquella norma que la adicione, modifique o sustituya.
ARTÍCULO 3. DEFINICIONES. Para efectos exclusivos de interpretación y aplicación de la presente resolución, se adoptarán las siguientes definiciones tomadas del glosario de seguridad tecnológica del OIEA, la guía de implementación del OIEA “Nuclear Security Series número 42-G, Computer Security for Nuclear Security”, la familia de normas ISO IEC 27000:2022, el Conpes 3995 de 2020 Política Nacional de Confianza y Seguridad Digital, el Modelo de Seguridad y Privacidad de la Información (MSPI) y la Guía para la administración del riesgo y el Diseño de Controles en entidades públicas (DAFP).
Activo de información: Recurso que una organización valora y por lo tanto debe proteger.
Acto doloso: Acto o intento de retirada no autorizada de materiales radiactivos o de sabotaje.
Amenaza: Persona o grupo de personas con motivación, intención y capacidad para cometer un acto doloso.
Autorización: Permiso que es otorgado por parte del órgano regulador, o la entidad que este delegue, para que una persona natural o jurídica de carácter público o privado, realice actividades relacionadas con el empleo de fuentes radiactivas.
Ciberseguridad: Se entiende como la capacidad del Estado o de las personas naturales o jurídicas, públicas o privadas, nacionales o extranjeras titulares y/o operadores de instalaciones con material radiactivo para minimizar el nivel de riesgo al que están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza cibernética, buscando la disponibilidad, integridad, autenticación, confidencialidad y no repudio de las interacciones digitales. La ciberseguridad tiene el fin de proteger a los usuarios y los activos de Estado en el ciberespacio y comprende el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para dicho fin.
Control o Medida: Acción que permite reducir o mitigar un riesgo.
Demora: Elemento de un sistema de seguridad física diseñado para aumentar el tiempo que requiere un adversario para tener un acceso no autorizado, retirar o cometer sabotaje contra una fuente radiactiva, por lo general, mediante barreras u otros medios físicos.
Detección: Proceso en un sistema de seguridad física que comienza con percibir un posible acto doloso no autorizado y que culmina con la evaluación de la causa de la alarma.
Fuente radiactiva: (i) Cualquier elemento que pueda causar exposiciones a las radiaciones, por ejemplo, por emisión de radiaciones ionizantes o de materiales radiactivos y que pueda tratarse como un todo a efectos de la protección y seguridad; (ii) Material radiactivo utilizado como fuente de radiación.
Fuente sellada: Material radiactivo que está: (i) permanentemente sellado en una cápsula; o (ii) fuertemente consolidado y en forma sólida.
Fuente no sellada: Fuente radiactiva en la que el material radiactivo no está: (i) permanentemente sellado en una cápsula, o (ii) fuertemente consolidado y en forma sólida.
Impacto: consecuencias que puede ocasionar a la sociedad o a la persona natural o jurídica, titular de una licencia o permiso la materialización de un riesgo.
Intrusión: Acceso no autorizado a una instalación.
Notificación: Documento que una persona o entidad presenta al órgano regulador o a la entidad que este delegue, con el objeto de comunicarle su intención de llevar a cabo una práctica o emplear una fuente de alguna otra forma.
Órgano regulador: Autoridad a la que de conformidad con la legislación vigente el Gobierno nacional le confiere facultades legales para llevar a cabo el proceso de reglamentación, incluida la concesión de autorizaciones o licencias y, de este modo, reglamentar la seguridad nuclear, radiológica, de los desechos radiactivos y del transporte.
Plan de seguridad: Conjunto de acciones predefinidas o diseñadas para contrarrestar de manera eficaz o dar respuesta oportuna a actos no autorizados que indiquen un intento de retiro o sabotaje de una fuente radiactiva, incluidas las amenazas de cometer dichos actos.
Práctica: Toda actividad humana que introduce fuentes de exposición o vías de exposición adicionales o modifica el conjunto de las vías de exposición debida a las fuentes existentes, de forma que aumente la exposición o la probabilidad de exposición de las personas o el número de las personas expuestas.
Registro: Forma de autorización de prácticas de riesgo bajo o moderado en virtud de la cual la persona o entidad responsable de la práctica, si procede, ha efectuado una evaluación de la seguridad de las instalaciones, del equipo y la ha presentado al órgano regulador, o la entidad que este delegue. La práctica o el uso se autorizan bajo las condiciones o limitaciones que correspondan.
Respuesta: Las acciones emprendidas a raíz de la detección de un acto doloso, con el propósito de evitar que el adversario logre su cometido o acciones para mitigar consecuencias potencialmente graves.
Riesgo de Seguridad de la Información: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.
Seguridad física: Prevención y detección de actos delictivos o actos intencionales no autorizados que guarden relación con material nuclear, otro material radiactivo, instalaciones conexas o actividades conexas o vayan dirigidos contra tal material o tales actividades o instalaciones, así como la respuesta a tales actos.
Tecnología operativa (OT, por sus siglas en inglés): Es el uso de hardware y software para monitorear y controlar los procesos físicos, los sistemas, los dispositivos y la infraestructura; tales como las redes de instrumentación y control, los sistemas de monitoreo, los controladores lógicos programables, los sistemas SCADA, entre otros.
Tecnología de la información (IT, por sus siglas en inglés): Se refiere al conjunto de hardware y software, herramientas, técnicas y recursos utilizados para procesar, almacenar, transmitir y manipular datos y la información de una organización o individuo.
Titulares de licencia de operación y/o registro: Persona natural o jurídica a quien se le otorga una autorización o la inscripción en el registro de una práctica o una fuente determinada, en virtud de la cual adquiere derechos y deberes frente a la práctica o fuente, en especial en lo relativo a la protección y seguridad.
Vulnerabilidad: Característica física o atributo operativo que hace que una entidad, activo, sistema, red, instalación, actividad o área geográfica esté abierta a la explotación o sea susceptible a una amenaza determinada.
CRITERIOS DE APLICACIÓN.
ARTÍCULO 4o. APLICACIÓN DE OTROS REQUISITOS Y REGLAMENTOS. Los requisitos contenidos en la presente resolución son complementarios y no reemplazan otras leyes y reglamentos asociados a la seguridad física que se puedan aplicar en el territorio nacional. Nada de lo aquí estipulado deberá interpretarse como una exención a los titulares de licencia de operación y/o registro de su obligación de acatar toda la legislación y los reglamentos de seguridad física y radiológica.
PROGRAMA DE GARANTÍA DE CALIDAD.
ARTÍCULO 5o. PROGRAMA DE GARANTÍA DE CALIDAD. Los titulares de licencia de operación y/o registro deberán establecer programas de garantía de calidad que:
1. Garanticen debidamente el cumplimiento de los procedimientos y requisitos de seguridad física establecidos;
2. Integren mecanismos y procedimientos de control de calidad para revisar y evaluar la eficacia general de las medidas de seguridad física.
SEGURIDAD FÍSICA.
ARTÍCULO 6o. CULTURA DE LA SEGURIDAD FÍSICA. Los titulares de licencia de operación y/o registro deberán establecer un sistema de gestión que esté en consonancia con la magnitud y la naturaleza de la autorización otorgada por parte del órgano regulador, a fin de garantizar:
1. El establecimiento de políticas y procedimientos que identifiquen la seguridad física como un elemento prioritario en la estructura de la seguridad de la instalación;
2. La pronta identificación y corrección de problemas que afecten la seguridad física conforme al riesgo;
3. La clara identificación de las responsabilidades respecto a la seguridad física década individuo, y su debida capacitación e idoneidad;
4. La definición de líneas claras de autoridad para la toma de decisiones que atañen a la seguridad física; y,
5. El establecimiento de disposiciones institucionales y líneas de comunicación que permitan una comunicación apropiada sobre aspectos de seguridad física en los diferentes niveles de la instalación.
ARTÍCULO 7o. NIVELES DE SEGURIDAD. Se han establecido tres niveles de seguridad (A, B y C), cada uno de los cuales especifica los requisitos que se deben cumplir de manera diferenciada para el buen funcionamiento del sistema de seguridad física. Cada nivel de seguridad tiene un objetivo, el cual define el resultado general que debe tener el sistema, para un nivel de seguridad en particular. Los objetivos se señalan en los artículos 10, 11 y 12 de la presente resolución. Los niveles de seguridad son los siguientes:
1. Nivel de Seguridad “A”: Se aplica el nivel más alto de seguridad física que permite prevenir el retiro no autorizado de fuentes radiactivas en las instalaciones en las cuales se utilicen fuentes de radiación extremadamente peligrosas. En estas instalaciones las fuentes radiactivas se ubican dentro de una zona con un sistema de detección robusto sometido constantemente a vigilancia por parte de personal de guardia y/o personal técnico y está rodeada por diferentes barreras físicas y controles de acceso.
2. Nivel de Seguridad “B”: Se aplica un nivel intermedio de seguridad física que permite minimizar la probabilidad de un retiro no autorizado de fuentes radiactivas en las instalaciones en las cuales se utilicen fuentes de radiación muy peligrosas.
La instalación debe estar protegida y las fuentes deben estar en una zona controlada sometida a constante vigilancia por personal de guardia y/o personal técnico, rodeada por una barrera física y con un número limitado de accesos controlados.
3. Nivel de Seguridad “C”: Se aplica un nivel básico de seguridad física que permite disminuir la probabilidad de un retiro no autorizado de las fuentes radiactivas en las instalaciones en las cuales se utilicen fuentes de radiación peligrosas.
ARTÍCULO 8o. ASIGNACIÓN DE FUENTES DE RADIACIÓN A LOS NIVELES DE SEGURIDAD. El nivel de seguridad de una fuente o de una agrupación de fuentes radiactivas se asigna con base en el posible daño que esta(s) pueda(n) causar al ser usada(s) en cualquier acto que puede plantear un riesgo significativo para las personas, la sociedad o el medioambiente. La asignación de la categoría de las fuentes se realiza de acuerdo con lo establecido en la Resolución número 180052 de 2008 o aquella que la adicione, modifique o sustituya:
1. A las fuentes de Categoría 1 se les asigna el Nivel de Seguridad A;
2. A las fuentes de Categoría 2 se les asigna el Nivel de Seguridad B;
3. A las fuentes de Categoría 3 se les asigna el Nivel de Seguridad C;
4. A las fuentes de Categoría 4 y 5, en tanto que proveen un nivel de seguridad física suficiente, no se les asigna nivel de seguridad de acuerdo con lo establecido en las Resoluciones 181434 de 2002 y 90874 de 2014.
Los niveles asignados se muestran en el siguiente cuadro:
| Nivel de Seguridad | Proporción de Actividad | Categoría |
| A | A/D = 1000 | 1 |
| B | 1000 > A/D = 10 | 2 |
| C | 10 > A/D = 1 | 3 |
| Se aplican las medidas | 1 > A/D = 0.01 | 4 |
| de protección radiológica propias de la práctica | > A/D y A > Nivel de exención | 5 |
ARTÍCULO 9o. CONTROLES Y MEDIDAS DE CIBERSEGURIDAD DE ACUERDO CON LOS NIVELES DE SEGURIDAD. La ciberseguridad en las redes de las tecnologías de la información (IT) y las tecnologías de la operación (OT) en instalaciones con material radiactivo es esencial para garantizar la seguridad y la protección de las personas, el medioambiente y la seguridad nacional. Los titulares y/o operadores de estas instalaciones tienen la responsabilidad de velar por la implementación de medidas y controles de seguridad adecuados para la protección contra amenazas cibernéticas y deben planear y ejercer medidas proactivas para fortalecer la seguridad de la información.
1. Nivel de seguridad A;
- Implementar políticas y procedimientos de seguridad de la información para proteger los datos y sistemas críticos contra amenazas cibernéticas.
- Llevar a cabo evaluaciones de riesgos y pruebas regulares o periódicas de vulnerabilidades para identificar y remediar posibles brechas de seguridad.
- Implementar evaluaciones cibernéticas regulares o periódicas para la verificación y pruebas de redes OT e IT y sus sistemas de respuesta.
- Establecer controles y medidas que permitan reducir la superficie de ataque tales como: capacitación y concientización del personal, segmentación de red, políticas de acceso y autenticación, actualizaciones de software y parches, monitoreo de red y control de dispositivos de red.
- Identificar, evaluar vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación.
- Notificar a las partes interesadas, las posibles vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación.
2. Nivel de Seguridad B;
- Implementar políticas y procedimientos de seguridad de la información para proteger los datos y sistemas críticos contra amenazas cibernéticas.
- Llevar a cabo evaluaciones de riesgos y pruebas regulares o periódicas de vulnerabilidades para identificar y remediar posibles brechas de seguridad.
- Establecer controles y medidas que permitan reducir la superficie de ataque tales como: capacitación y concientización del personal, segmentación de red, políticas de acceso y autenticación, actualizaciones de software y parches, monitoreo de red y control de dispositivos de red.
- Identificar, evaluar vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación.
- Notificar a las partes interesadas, las posibles vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación.
3. Nivel de seguridad C;
- Implementar políticas y procedimientos de seguridad de la información para proteger los datos y sistemas críticos contra amenazas cibernéticas.
- Llevar a cabo evaluaciones de riesgos y pruebas regulares o periódicas de vulnerabilidades para identificar y remediar posibles brechas de seguridad.
- Establecer controles y medidas que permitan reducir la superficie de ataque tales como: capacitación y concientización del personal, segmentación de red, políticas de acceso y autenticación, actualizaciones de software y parches, monitore de red y control de dispositivos de red.
- Notificar a las partes interesadas, las posibles vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación.
ARTÍCULO 10. OBJETIVOS Y MEDIDAS DE SEGURIDAD PARA FUENTES RADIACTIVAS EN EL NIVEL DE SEGURIDAD A. Si se presenta un intento de acceso o retiro no autorizado de un material radiactivo, la detección y la evaluación de dicho evento por parte de los titulares de licencia de operación y/o registro, tiene que efectuarse con el tiempo suficiente para permitir que la respuesta evite el retiro de la fuente.
Para alcanzar la meta del nivel de seguridad A, los titulares de licencia de operación y/o registro deben implementar los siguientes mecanismos de seguridad:
| Nivel de Seguridad | Detección | Demora | Respuesta | Ciberseguridad |
| A | Detectar de inmediato todo acceso no autorizado a la instalación/fuente radiactiva protegida mediante un sistema electrónico de detección de intrusiones y vigilancia continua por parte del personal de la instalación o el personal de vigilancia. | Crear un tiempo de demora suficiente después de la detección para que el personal de respuesta pueda interrumpir el retiro no autorizado mediante un sistema de por lo menos dos barreras físicas, que en conjunto produzcan una demora suficiente para que el personal de respuesta pueda intervenir. | Responder de inmediato a una alarma evaluada con suficientes recursos para interrumpir e impedir el retiro no autorizado mediante una capacidad de respuesta inmediata con cantidad de personas, equipo y entrenamiento para intervenir. | Llevar a cabo evaluaciones de riesgos y pruebas regulares o periódicas de vulnerabilidades para identificar y remediar posibles brechas de seguridad. |
| Detectar de inmediato todo intento de retiro no autorizado de la fuente radiactiva mediante el uso de equipo electrónico que detecte el acceso forzado y vigilancia continua por parte del personal de la instalación o el personal de vigilancia. | Implementar evaluaciones cibernéticas regulares o periódicas para la verificación y pruebas de redes OT e IT y sus sistemas de respuesta. | |||
| Evaluar de inmediato la detección mediante el uso de sistema de monitoreo a distancia del sistema de Circuito Cerrado de Televisión (CCTV) o la evaluación por parte del operador/ personal de respuesta. | Establecer controles y medidas que permitan reducir la superficie de ataque tales como: capacitación y concientización del personal, segmentación de red, políticas de acceso y autenticación, actualizaciones de software y parches, monitoreo de red y control de dispositivos de red. | |||
| Notificar de inmediato al personal de respuesta mediante el uso de sistemas de comunicación rápidos, confiables y variados. | Notificar a las partes interesadas, las posibles vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación. | |||
| Identificar una forma de detectar la pérdida de una fuente mediante la verificación continua por medio de controles físicos, Circuito Cerrado de Televisión (CCTV), dispositivos de detección de acceso forzado, entre otros. | Identificar y evaluar vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación. | |||
ARTÍCULO 11. OBJETIVOS Y MEDIDAS DE SEGURIDAD FÍSICA PARA FUENTES RADIACTIVAS EN EL NIVEL DE SEGURIDAD B. Si se presenta un intento de acceso o retiro no autorizado de un material radiactivo, la detección y la evaluación de dicho evento por parte de los titulares de licencia de operación y/o registro, debe efectuarse con el tiempo suficiente para permitir que la respuesta evite el retiro de la fuente.
Para alcanzar la meta del nivel de seguridad B, los titulares de licencia de operación y/o registro deben implementar los siguientes mecanismos de seguridad:
| Nivel de Seguridad | Detección | Demora | Respuesta | Ciberseguridad |
| B | Detectar de inmediato todo acceso no autorizado a la instalación/fuente radiactiva, protegida mediante el uso de un sistema electrónico de detección de intrusiones o la vigilancia continua por parte del personal de la instalación o el personal de vigilancia. | Crear un tiempo de demora para minimizar la probabilidad de que ocurra un retiro no autorizado mediante un sistema de dos barreras físicas. | Iniciar de inmediato una respuesta para interrumpir el retiro no autorizado mediante el uso de equipos y procedimientos aptos para lograr responder inmediatamente y evitar el retiro no autorizado. | Llevar a cabo evaluaciones de riesgos y pruebas regulares o periódicas de vulnerabilidades para identificar y remediar posibles brechas de seguridad. |
| Detectar todo intento de retiro no autorizado de la fuente mediante el uso de equipo de detección de manipulación indebida y/o verificaciones periódicas por parte del personal de la instalación o el personal de vigilancia. | Establecer controles y medidas que permitan reducir la superficie de ataque tales como: capacitación y concientización del personal, segmentación de red, políticas de acceso y autenticación, actualizaciones de software y parches, monitoreo de red y control de dispositivos de red. | |||
| Evaluar de inmediato la detección mediante el uso de un sistema de monitoreo a distancia del sistema de Circuito Cerrado de Televisión (CCTV) o la evaluación por parte del operador/ personal de respuesta. | Identificar y evaluar vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación. | |||
| Notificar de inmediato al personal de respuesta mediante el uso de sistemas de comunicación rápidos y confiables. | Notificar a las partes interesadas, las posibles vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación. | |||
| Identificar una forma de detectar la pérdida de una fuente mediante la verificación mensual por medio de controles físicos, dispositivos de detección de acceso forzado, etc. | Identificar, evaluar vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación. | |||
ARTÍCULO 12. OBJETIVOS Y MEDIDAS DE SEGURIDAD FÍSICA PARA FUENTES RADIACTIVAS EN EL NIVEL DE SEGURIDAD C. Para alcanzar la meta del nivel de seguridad C y reducir la probabilidad de un retiro no autorizado de fuentes radiactivas, los titulares de licencia de operación y/o registro deben implementar los siguientes mecanismos de seguridad:
| Nivel de Seguridad | Detección | Demora | Respuesta | Ciberseguridad |
| C | Detectar todo retiro no autorizado de una fuente mediante un sistema electrónico de detección de acceso forzado y/o vigilancia periódica por parte del personal del operador o personal de vigilancia. | Crear un tiempo de demora suficiente para reducir la probabilidad de que ocurra un retiro no autorizado mediante un sistema de una capa de barreras físicas o bien, mediante la observación por parte del personal de la instalación o personal de vigilancia. | Iniciar una respuesta adecuada ante el retiro no autorizado de la fuente radiactiva mediante procedimientos que permitan identificar las acciones necesarias de conformidad con los planes de contingencia de la instalación. | Establecer controles y medidas que permitan reducir la superficie de ataque tales como: capacitación y concientización del personal, segmentación de red, políticas de acceso y autenticación, actualizaciones de software y parches, monitoreo de red y control de dispositivos de red. |
| Evaluar de inmediato la detección mediante la valoración por parte del operador /personal de respuesta. | Llevar a cabo evaluaciones de riesgos y pruebas regulares o periódicas de vulnerabilidades para identificar y remediar posibles brechas de seguridad. | |||
| Identificar una forma de detectar la pérdida de una fuente mediante la verificación por medio de controles físicos, dispositivos de detección de acceso forzado, etc. | Notificar a las partes interesadas, las posibles vulnerabilidades y/o amenazas que puedan representar un riesgo significativo para la instalación o las fuentes de radiación. | |||
ARTÍCULO 13. GESTIÓN DE LA SEGURIDAD FÍSICA. Para alcanzar los niveles de seguridad establecidos en el artículo 7o de la presente resolución, los titulares de licencia de operación y/o registro deberán:
1. Establecer controles y restricciones de acceso a las áreas donde se ubican las fuentes, para permitir el acceso únicamente a personas autorizadas mediante:
- Niveles de Seguridad A y B: La implementación de medidas de identificación y verificación, (por ejemplo, control de cerraduras mediante lector de tarjeta y un número de identificación personal; llave y control de llaves; entre otros).
- Nivel de Seguridad C: La implementación de una medida de identificación.
2. Determinar la confiabilidad de las personas autorizadas mediante la verificación de antecedentes de todo el personal autorizado para ingresar de manera irrestricta al área donde se ubica la fuente y para tener acceso a la información confidencial.
3. Identificar y proteger la información confidencial mediante el uso de procedimientos orientados a determinar la información de naturaleza delicada y protegerla contra la divulgación no autorizada.
4. Proporcionar un manual de seguridad física:
- Niveles de Seguridad A y B: Un manual de seguridad física que cumpla con las disposiciones establecidas en el artículo 14 de la presente resolución y contemple una respuesta ante niveles de amenaza más altos.
- Nivel de Seguridad C: Un manual de seguridad física que documente las medidas de seguridad y los procedimientos de referencia en los términos establecidos en el artículo 14 de la presente resolución.
5. Garantizar la capacidad para gestionar los eventos contemplados en un plan de seguridad de contingencia mediante procedimientos de respuesta a situaciones relacionadas con la seguridad física.
6. Establecer un sistema de notificación de eventos que atenten contra la seguridad, con procedimientos para notificar de manera oportuna eventos que comprometan la seguridad física.
ARTÍCULO 14. REQUISITOS DEL MANUAL DE SEGURIDAD FÍSICA. Los titulares de licencia de operación y/o registro deberán preparar un manual de seguridad para las fuentes radiactivas en los Niveles de Seguridad A, B y C, en donde se describan los mecanismos y las medidas diseñadas por la instalación, tendientes a garantizar la seguridad física de las fuentes radiactivas, esto es, impedir el retiro, sabotaje, accesos no autorizados y transferencias ilegales u otros actos dolosos de que puedan ser objeto.
El manual de seguridad física deberá contener como mínimo los siguientes capítulos.
1. Aspectos generales
1.1 Objetivos: Establecer los objetivos del manual de seguridad física.
1.2 Alcance: En este aparte se deberán describir la cobertura y limitaciones del manual de seguridad física y su relación con otros documentos, como la protección radiológica o los asuntos de emergencia pertinentes.
1.3 Actualización de documentación: Se deberá incluir el proceso de elaboración, aprobación y actualización del presente manual, así como su historial de revisiones en el control de documentos de la organización o sistema de gestión de calidad. Se describirá la forma en que este manual de seguridad física debe ser revisado y actualizado, en caso de ser necesario para hacer frente a nuevas amenazas, cambios en las operaciones de las instalaciones, o cualquier otra situación que pudiera afectar el funcionamiento del sistema de seguridad. Cualquier cambio en la infraestructura de la seguridad física, este deberá ser aprobado previamente por el órgano regulador, o la entidad que este delegue.
1.4 Definición de los términos de uso exclusivo en la instalación o que tengan un significado específico en el manual.
1.5 Lista de símbolos, siglas y acrónimos utilizados en el texto.
2. Descripción del Sistema de Seguridad Física de la Instalación
En esta sección se deberá describir detalladamente el sistema de seguridad de la instalación, especificando cómo este cumple con el nivel de seguridad requerido, profundizando en todos los elementos de detección, demora, y respuesta. Adicionalmente, se debe incluir un plano donde se encuentre la ubicación de dichos elementos.
3. Personal
3.1 Organigrama del personal asociado a la seguridad física de la instalación;
3.2 Roles y responsabilidades en materia de seguridad física de todas las personas que hacen parte del desarrollo de la práctica;
3.3 Requisitos de calificación para cada uno de los cargos con responsabilidades directas relacionadas con la seguridad física;
3.4 Programa de capacitación y entrenamiento del personal de la instalación que ocupan cargos con responsabilidades directamente relacionadas con la seguridad física de la misma.
4. Protección de la Información
Este aparte deberá describir la forma en que se lleva a cabo la protección de la información confidencial y debe incluir la siguiente información:
4.1 Información que requiere protección:
a) Localización e inventario de fuentes radiactivas;
b) Medidas de control para la autorización de acceso;
c) Diseño de sistemas de seguridad, detalles de equipamiento y diagramas;
d) Combinaciones de cerraduras y códigos de acceso.
e) Amenaza e información de evaluación de la misma;
f) Disposiciones relativas al personal de seguridad;
g) Medidas de respuesta a eventos o alarmas;
h) Fechas previstas, rutas y el modo de envío o transferencia de material radiactivo;
i) Manual de seguridad y procedimientos, plan de contingencia, plan de respuesta, arreglos y medidas conexas; y
j) Privacidad de la información relativa a la verificación de antecedentes de los individuos.
4.2 Identificación de la información confidencial que requiere de protección, con el fin de que les permita a todos sus usuarios conocerla fácilmente.
4.3 Diversas formas en las cuales se guarda la información confidencial, tales como documentos en papel, medios electrónicos, circuitos cerrados de televisión, etc.;
4.4 Lugares en donde se encuentra la información protegida y quien tiene la custodia de la misma;
4.5 Personas que tienen acceso a la información protegida;
4.6 Medidas de protección establecidas para evitar accesos no autorizados a la información confidencial;
4.7 Forma en la cual se debe destruir la información confidencial para impedir su recuperación, cuando esta ya no es necesaria y personal autorizado para tal fin.
5. Procedimientos y Registros
Todo procedimiento operativo relacionado con el programa de seguridad física debe de estar documentado en el manual de procedimientos tal como se encuentra establecido en el anexo de la Resolución número 90874 de 2014, modificada por la Resolución número 41226 de 2016 y o aquellas que las adicionen, modifiquen o sustituyan.
A continuación, se describen los procedimientos mínimos que deben ser incluidos dentro del documento mencionado:
5.1 Procedimiento de inicio y finalización de actividades diarias: En esta sección se debe describir el procedimiento a seguir para el inicio y la finalización de las actividades diarias de cada zona de seguridad de la instalación, en especial, para actividades tales como el bloqueo y el desbloqueo de puertas y de otros obstáculos, la comunicación con la central de alarma para activar y desactivar los sistemas de detección, la identificación dentro de la organización del responsable de la apertura y cierre de estas áreas, y también se deben incluir las acciones tendientes a validar que otros mecanismos de retardo establecidos (como por ejemplo, jaulas) sean efectivos.
5.2 Procedimiento de verificación del sistema de seguridad y control de acceso: En
esta parte se debe describir el proceso utilizado para evaluar el sistema de seguridad de la instalación y sus vulnerabilidades teniendo en cuenta la información sobre la amenaza. La descripción debe indicar los resultados de la evaluación de seguridad inicial como entrada para el diseño de sistemas de seguridad, y cuando sea necesario para hacer frente a nueva información sobre amenazas, los cambios en las operaciones de la instalación, o cualquier otra situación que pudiera afectar el rendimiento del sistema de seguridad.
Adicionalmente se deben describir las medidas físicas para controlar el acceso, tales como:
a) Limitar el acceso, de manera exclusiva, a las personas autorizadas de acuerdo con el procedimiento de autorización de acceso, evitando de esta manera el ingreso no autorizado;
b) Implementar medios idóneos para verificar la identidad de las personas autorizadas, tales como la tarjeta de acceso, el número de identificación personal, el dispositivo biométrico, o una combinación de estos.
Así mismo, en esta sección se deberá describir los procedimientos utilizados para controlar las llaves, las cerraduras, las combinaciones, las contraseñas y las medidas conexas utilizadas para controlar el acceso a áreas y a sistemas de seguridad. Tales procedimientos deben identificar quién es el responsable de cambiar estas medidas de control de acceso y las condiciones específicas que les obligan a efectuar cambios, como, por ejemplo, la pérdida de una clave de seguridad o la restricción del acceso a un miembro del personal.
5.3 Programa de mantenimiento: En este aparte se debe describir el programa de mantenimiento preventivo y correctivo para los equipos del sistema de seguridad para garantizar que su funcionamiento sea continuo y fiable.
5.4 Medidas de demora, detección y evaluación: Para cada una de las zonas controladas se deben describir:
a) Los medios de detección en cada barrera;
b) Las barreras utilizadas como medida de demora para aumentar el tiempo de ingreso para los intrusos. Estas pueden consistir en puertas de metal de alta seguridad, cerraduras o rejillas reforzadas;
c) El método de evaluación, incluyendo las personas y los equipos de apoyo a la evaluación, tales como:
- Monitoreo de cámaras de circuito cerrado de televisión; en este apartado adicionalmente se debe indicar el tiempo de duración de las grabaciones de este sistema, el cual debe de ir en línea con el nivel de seguridad; estaciones centrales de alarma;
- Guardia que controle las fuerzas internas y externas;
- Los sistemas informáticos y de grabación;
- Iluminación de seguridad;
- Respaldo de fuentes de energía eléctrica; y
- Medidas de comunicación.
5.5 Operaciones de rutina, fuera de turno: En esta parte se debe describir la forma en que el personal debe operar los sistemas de seguridad y cumplir con otras responsabilidades relacionadas con la seguridad física durante los períodos de:
a) Las operaciones de rutina;
b) Fuera de turno o de las operaciones después de la hora en que el personal ordinariamente no está presente, generalmente por las noches, los fines de semana y durante las vacaciones.
5.6 Procedimiento de recepción y/o recambio de fuentes: En esta sección se debe describir el procedimiento para asegurar que el operador mantenga la seguridad y el control de las fuentes radiactivas cuando estas son recibidas, y garantizar que se transfieran únicamente a personas autorizadas previamente por el órgano regulador o la entidad que este delegue.
5.7 Procedimiento de respuesta: En esta sección se deben describir los planes de respuesta en los eventos con afectación de la seguridad física, incluyendo su relación con las situaciones de emergencia y otras situaciones de contingencia.
5.8 Adicionalmente se deben describir los métodos de comunicación (radio, líneas de tierra, etc.) que van a ser utilizados por las fuerzas de respuesta para la comunicación con la central receptora de alarmas y en el establecimiento de comando y control durante los eventos con afectación de la seguridad física.
5.9 En esta sección se deberán resumir los acuerdos y las acciones que se deben tomar en caso de emergencias u otras situaciones de contingencia asociadas a la seguridad física para garantizar la protección de las fuentes radiactivas en la instalación.
5.10 Procedimiento de manejo de información sobre eventos con afectación de la seguridad física: En esta sección se debe describir lo siguiente:
a) Cómo se reportarán los eventos con afectación de la seguridad física de la instalación y el manejo de la información.
b) Cómo se van a documentar los eventos con afectación a la seguridad física, quién es el responsable de documentar tal evento, y los requisitos de presentación de informes externos posteriores (por ejemplo, presentación de informes al órgano regulador, o a la entidad que este delegue).
c) Cómo se procederá a revisar las medidas de seguridad después de un evento con afectación de la seguridad física con el fin de evaluar la eficacia del manual de seguridad y para identificar las acciones correctivas necesarias para optimizar su eficacia.
5.11 Registros: Todo procedimiento operativo de la instalación deberá contar con sus respectivos registros.
6. Notificación de eventos con afectación a la seguridad física
En esta sección se deberá describir el procedimiento para la notificación de la ocurrencia de un evento que afecte la seguridad física de una instalación al órgano regulador o a su entidad delegada. Este procedimiento deberá contener como mínimo los siguientes aspectos:
6.1 Fecha de ocurrencia del evento.
6.2 Descripción del hecho.
6.3 Personal involucrado.
6.4 Medidas adoptadas para enfrentar el evento y funcionamiento futuro de la instalación.
7. Referencias
En esta parte se debe hacer una lista de los documentos de referencia tales como la normativa específica, la licencia reglamentaria, manuales de operación, políticas y manuales de organización, entre otros, a los cuales se hace referencia en el manual de seguridad física o son necesarios para explicar o ampliar cualquier detalle del mismo.
PARÁGRAFO 1o. El manual de seguridad física deberá ser enviado al órgano regulador, o a la entidad que este delegue, como documento anexo dentro del proceso de solicitud de autorización en modalidad de licencia de operación o registro solo para las prácticas que se encuentren dentro de las Categorías 1, 2 o 3. En el caso de algún cambio a la infraestructura de la seguridad física, este deberá ser aprobado previamente por el órgano regulador, o la entidad que este delegue.
PARÁGRAFO 2o. El manual de seguridad física deberá ser reevaluado por parte de la instalación cada vez que haya un cambio en la estructura de la seguridad física de cara a los objetivos y las medidas de seguridad física requeridas para cada nivel, según proceda y deberá ser remitido al órgano regulador, o la entidad que este delegue para su aprobación.
Las deficiencias que puedan ser identificadas en el documento o en los sistemas de seguridad deberán ser subsanadas.
PARÁGRAFO 3o. Lo dispuesto en la presente resolución será aplicable una vez culmine la vigencia de las autorizaciones expedidas o renovadas con anterioridad a su entrada en vigor y para las instalaciones que tramiten su autorización por primera vez.
EVENTOS CON AFECTACIÓN DE LA SEGURIDAD FÍSICA.
ARTÍCULO 15. INFORME DE EVENTOS CON AFECTACIÓN DE LA SEGURIDAD FÍSICA.
En caso de que se haya causado o producido un evento con afectación de la seguridad física como intrusión, sabotaje o retiro no autorizado, los titulares de licencia de operación y/o registro deberán:
1. Notificar al órgano regulador o a su entidad delegada, en un plazo no mayor a 24 horas;
2. Adoptar las medidas apropiadas para remediar las circunstancias y evitar que vuelvan a presentarse situaciones similares;
3. Investigar el evento y sus causas, así como las circunstancias y consecuencias; y
4. En un plazo de 15 días hábiles contados desde el inicio del suceso, presentar al órgano regulador y/o quien haga sus veces, un informe sobre las causas del evento, sus circunstancias y consecuencias, así como las acciones correctivas o preventivas adoptadas.
En el caso de presentarse un evento con afectación de la seguridad física los titulares de licencia de operación y/o registro deberán seguir el procedimiento establecido por la instalación como parte de su manual de seguridad física.
ARTÍCULO 16. INCUMPLIMIENTO DEL REGLAMENTO. El incumplimiento por parte del titular de la licencia de operación y/o registro, de los requisitos reglamentarios establecidos en la presente resolución, será causal de modificación y/o suspensión temporal de la autorización, y/o cancelación de la licencia o registro, de acuerdo con lo establecido en las Resoluciones números 181434 de 2002 y 90874 de 2014, modificada por la Resolución número 41226 de 2016 y o aquellas que las adicionen, modifiquen o sustituyan.
DISPOSICIONES FINALES.
ARTÍCULO 17. MODIFICACIÓN A LOS REQUISITOS DE REGISTRO DE UNA INSTALACIÓN RADIACTIVA. Se modifica el literal d) del artículo 32 de la Resolución número 90874 de 2014, el cual quedará así:
“d) Manual de seguridad física, el cual se elaborará de conformidad con los niveles de seguridad física de las fuentes radiactivas de categorías 1, 2 y 3; y los requisitos y procedimientos administrativos que deben cumplir las instalaciones en función de la categorización del material radiactivo que establezca el Ministerio de Minas y Energía”.
ARTÍCULO 18. ADICIÓN A LOS REQUISITOS DE REGISTRO DE UNA INSTALACIÓN RADIACTIVA. Se adiciona el literal l) al artículo 32 de la Resolución número 90874 de 2014, el cual quedará así:
“l) Manual de seguridad física para las instalaciones de categoría 3”.
ARTÍCULO 19. VIGENCIA. La presente resolución regirá una vez transcurran seis meses desde de su publicación en el Diario Oficial.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 4 de julio de 2024.
El Ministro de Minas y Energía,
Ómar Andrés Camacho Morales.