Ley Marco de Ciberseguridad

El 8 de abril del 2024 se publicó en el Diario Oficial la Ley N° 21.663, Ley Marco de Ciberseguridad (la “Ley”), cuyo propósito es:

• Establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares;
• Establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad;
• Establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Adicionalmente, defina a la ciberseguridad como “la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad”; y al ciberataque como “el intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático.”

La Ley determina qué son servicios esenciales, señalando como aquellos, los:

• Provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional;
• Prestados bajo concesión de servicio público, y
• Proveídos por instituciones privadas que realicen las siguientes actividades:

1. generación, transmisión o distribución eléctrica;
2. transporte, almacenamiento o distribución de combustibles;
3. suministro de agua potable o saneamiento;
4. telecomunicaciones;
5. infraestructura digital;
6. servicios digitales y servicios de tecnología de la información gestionados por terceros;
7. transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva;
8. banca, servicios financieros y medios de pago;
9. administración de prestaciones de seguridad social;
10. servicios postales y de mensajería;
11. prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.

Asimismo, consagra una serie de principios rectores par alcanzar los objetivos de esta Ley, los cuales son:

• Principio de control de daños;
• Principio de cooperación con la autoridad;
• Principio de coordinación;
• Principio de seguridad en el ciberespacio;
• Principio de respuesta responsable;
• Principio de seguridad informática;
• Principio de racionalidad;
• Principio de seguridad y privacidad por defecto y desde el diseño.

La ley establece una nueva institucionalidad en el ámbito de la ciberseguridad, que incluye la creación de la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial sobre Ciberseguridad y un Equipo de Respuesta ante Incidentes de Seguridad Informática (el CSIRT Nacional), entre otros.

La ANCI podrá calificar otros servicios como esenciales mediante resolución fundada del Director Nacional cuando “su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.”

Las instituciones obligadas por esta Ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso, como también tendrán la obligación de reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos tan pronto les sea posible.

La autoridad sectorial será competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones. Para este efecto, las sanciones y procedimientos sancionatorios serán los que correspondan a la autoridad sectorial de conformidad a su normativa. Fuera de dichos casos, corresponderá a la Agencia fiscalizar, conocer, sancionar y ejecutar las sanciones por las infracciones de la presente Ley.

Las infracciones a las obligaciones que esta Ley establece se califican en leves, graves y gravísimas, cuya infracción conlleva la imposición de una multa a beneficio fiscal, de acuerdo con un procedimiento administrativo reglado y conforme a la escala establecida en la misma Ley.

Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último.

Los sujetos obligados deberán llevar entonces, una serie de medidas, incluyendo la implementación de sistemas de gestión de seguridad de la información, la elaboración de planes de continuidad operacional y ciberseguridad, así como la realización de revisiones y simulacros periódicos, y la designación de un delegado de ciberseguridad, entre otros.

Esta ley entrará en vigor de forma diferida, permitiendo a las empresas e instituciones un período de transición para adaptarse a estas nuevas disposiciones, por lo que es relevante que:

1. Se determine si se está sujeto o no a esta ley.
2. Comprender las implicancias de la misma.
3. Analizar la situación institucional y su estatus de cumplimiento, determinando qué pasos deben seguir para cumplir con los objetivos.
4. Comenzar a ajustar sus políticas y protocolos de seguridad informática para alinearse con los requisitos establecidos.
5. Avanzar en la formación del personal y en la sensibilización en materia de ciberseguridad.

¿Está entonces tu empresa preparada para abordar la nueva Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información?