Chile a la Vanguardia

La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, establecer los requisitos mínimos para la
prevención, contención, resolución y respuesta a incidentes de ciberseguridad.

¿Quienes son los obligados?

La ley aplicará a empresas estatales y sociedades con participación accionaria estatal superior al 50%.

El proyecto obliga a las instituciones públicas y privadas que califiquen como prestadores de servicios esenciales

¿Cuales son estos servicios?

Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.

La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.

El Artículo 2° establece definiciones clave, incluyendo:

  1. Activo informático: Toda información valiosa almacenada en una red y sistema informático.
  2. Agencia: La Agencia Nacional de Ciberseguridad (ANCI).
  3. Auditorías de seguridad: Procesos de control para verificar el cumplimiento de políticas y procedimientos del Sistema de Gestión de la Seguridad de la Información.
  4. Autenticación: Propiedad que confirma el origen legítimo de la información.
  5. Ciberataque: Intento de destruir, exponer, alterar, deshabilitar, o acceder no autorizado a un activo informático.
  6. Ciberseguridad: Preservación de la confidencialidad, integridad y disponibilidad de la información y la resiliencia de las redes y sistemas informáticos para proteger contra incidentes de ciberseguridad.
  7. Confidencialidad: Propiedad que asegura que la información no sea accesible a individuos, entidades o procesos no autorizados.
  8. Disponibilidad: Propiedad que garantiza que la información esté disponible y utilizable cuando se requiera por individuos, entidades o procesos autorizados.
  9. Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT): Centros multidisciplinarios para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad de manera efectiva.
  10. Incidente de ciberseguridad: Evento que perjudica la confidencialidad, integridad, disponibilidad o autenticación de la información en redes y sistemas informáticos.
  11. Integridad: Propiedad que asegura que la información no se haya modificado o destruido sin autorización.
  12. Red y sistema informático: Conjunto de dispositivos y equipos que almacenan, procesan o transmiten datos digitales.
  13. Resiliencia: Capacidad de las redes y sistemas informáticos para seguir operando después de un incidente, incluso en un estado degradado o segmentado.
  14. Riesgo: Posibilidad de un incidente de ciberseguridad, cuantificado por la probabilidad de ocurrencia e impacto de sus consecuencias.
  15. Vulnerabilidad: Debilidad en un activo o control que puede ser explotada por amenazas informáticas. Antes de emitir protocolos o estándares técnicos, la ANCI debe informar a las entidades relevantes, solicitando un informe para prevenir conflictos normativos. En caso de falta de respuesta en un plazo de treinta días, la Agencia procederá con sus directrices.

En el mismo contexto, el artículo 26 establece que las autoridades sectoriales pueden emitir normativas para fortalecer la ciberseguridad en sus instituciones.

Las instituciones supervisadas deben cumplir con estas normas, y la fiscalización y sanción seguirán las leyes respectivas de la autoridad sectorial. En cuanto a la notificación de incidentes, se enfatiza la protección de la privacidad, excluyendo datos personales en los informes según la ley de protección de la vida privada. Los detalles sobre cómo notificar un incidente, la forma, el anonimato y la periodicidad se especificarán en el reglamento de la ley.

CSIRT como Defensa Nacional: Refuerzo Clave en Ciberseguridad

 

Se destaca el deber de reporte establecido en el Artículo 32, donde todas las instituciones de la defensa nacional deben informar los ciberataques e incidentes de ciberseguridad al CSIRT de la Defensa Nacional. Este último, a su vez, reportará a la ANCI todos los incidentes identificados, garantizando la seguridad y defensa nacional según lo determinado por el reglamento correspondiente. El CSIRT representa un avance clave para fortalecer la seguridad cibernética en el ámbito de la defensa, con un enfoque en la coordinación, protección y respuesta efectiva a incidentes de ciberseguridad.

 

Infracciones y Sanciones en Ciberseguridad: Rigor en la Fiscalización

 

La legislación sobre ciberseguridad establece un marco estricto para la fiscalización y sanción de infracciones, buscando asegurar el cumplimiento de las normas. Aquí se destacan los puntos más relevantes: Competencia de la Autoridad Sectorial (Artículo 37): La autoridad sectorial y la Agencia comparten la responsabilidad de fiscalizar y sancionar infracciones. La autoridad sectorial actúa en su ámbito, mientras que la Agencia aborda situaciones específicas.

Tipificación de Infracciones (Artículo 38): Las infracciones se clasifican en leves, graves y gravísimas. Desde no implementar protocolos de ciberseguridad hasta proporcionar información falsa, se detallan diversas conductas sancionables.

Infracciones de Operadores de Importancia Vital (Artículo 39): Se establecen infracciones específicas para estos operadores, enfocadas en el mantenimiento de registros, comunicación de operaciones y cumplimiento de normativas y certificaciones.

Sanciones (Artículo 40): Las multas varían según la gravedad de la infracción, considerando elementos como la adopción de medidas preventivas, la probabilidad de ocurrencia, y la exposición a riesgos. La reincidencia y la capacidad económica del infractor también influyen.

Procedimientos (Artículos 41 y 42): Se establecen procedimientos simplificados y administrativos sancionadores. El proceso incluye formulación de cargos, plazos para descargos, términos probatorios y resoluciones fundadas.

Recursos y Reclamaciones (Artículos 43 y 46): Se contemplan recursos contra las resoluciones de la Agencia, y la posibilidad de reclamo judicial por ilegalidad. La Corte de Apelaciones evalúa la legalidad de los actos, permitiendo el recurso de apelación ante la Corte Suprema.

Pago de Multas (Artículo 44): Las multas deben pagarse en un plazo específico, y el no cumplimiento genera intereses y reajustes.

Pronto Pago (Artículo 45): Existe un incentivo para el pronto pago de multas, reduciendo el monto en un veinticinco por ciento.

Responsabilidad del Jefe Superior (Artículo 47): El jefe superior de los organismos estatales tiene la responsabilidad de garantizar la aplicación de medidas para prevenir y resolver incidentes de ciberseguridad.

El artículo segundo de la reciente legislación establece la facultad del Presidente de la República para designar al primer Director o Directora de la Agencia Nacional de Ciberseguridad, eludiendo las restricciones establecidas en la ley Nº 19.882. Este nombramiento, con una duración máxima de un año, precederá al proceso de selección formal que la ley dispone para los cargos de la Alta Dirección Pública.

 

Esta legislación otorga al ejecutivo herramientas excepcionales para establecer y dotar de recursos a la recién creada Agencia Nacional de Ciberseguridad, marcando un hito en la implementación de medidas urgentes en este ámbito estratégico.

 

Finalmente esta normativa busca garantizar la seguridad cibernética mediante la tipificación clara de infracciones, sanciones proporcionales, procedimientos detallados y mecanismos de recurso, con especial atención a los operadores de infraestructura critica que pueden ser privados o públicos de importancia vital y la responsabilidad de los líderes institucionales.