Ley N°21.663, Ley Marco de Ciberseguridad
El lunes 8 de abril de 2024, se publicó en el Diario Oficial la Ley Marco de Ciberseguridad. Tiene por objeto establecer la institucionalidad indispensable para robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
Se establecen obligaciones para los sujetos e instituciones regulados, principalmente relacionadas con la gestión de riesgos e implementación de estándares de seguridad que buscan mejorar la prevención, contención, resolución y respuesta de incidentes y ciberataques.
La promulgación de esta ley sitúa a Chile entre los países con estándares internacionales de ciberseguridad. La entrada en vigencia de la Ley está supeditada a la dictación por el Presidente de la República de uno o más decretos con fuerza de ley que determinarán el periodo de entrada en vigor de las normas aquí establecidas.
- Agencia Nacional de Ciberseguridad (ANCI)
Como ha sucedido en distintos proyectos relacionados con nuevas materias, especialmente relacionadas con tecnología, esta ley trae consigo la creación de una nueva institución, la Agencia Nacional de Ciberseguridad (“Agencia”).
El Título III, Párrafo 1° de la ley define la Agencia como “un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la administración del Estado en materia de ciberseguridad”.
Entre las facultades que se le otorgan están las de asesorar al Presidente de la República en la elaboración y aprobación de la política nacional de ciberseguridad; dictar los protocolos, estándares, instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la ley; aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad, entre otras. Así, la Agencia tiene 3 tipos de facultades:
- Normativas.
- Fiscalizadoras.
- Sancionatorias.
La creación de la Agencia Nacional de Ciberseguridad viene aparejada con la de otras instituciones, creando de esta manera una institucionalidad de ciberseguridad en Chile. Estas otras instituciones son el Consejo Multisectorial sobre Ciberseguridad, el Comité Interministerial sobre Ciberseguridad, la Red de Conectividad Segura del Estado y el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional). El Presidente de la República tendrá un año a partir de la promulgación de la ley para determinar la fecha de iniciación de actividades de la Agencia Nacional de Ciberseguridad.
A continuación va un resumen de los aspectos más importantes de la ley.
- Ámbito de aplicación
Los sujetos obligados a cumplir esta ley se dividen en dos grupos:
- Instituciones que presten servicios calificados como esenciales.
- Instituciones calificadas como operadores de importancia vital.
Son servicios esenciales (artículo 4), los siguientes, sin perjuicio de que la Agencia podrá calificar otros servicios como esenciales mediante resolución fundada.
- Aquellos provistos por los organismos de la administración del Estado y por el Coordinador Eléctrico Nacional.
- Los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades:
- Generación, transmisión o distribución eléctrica.
- Transporte, almacenamiento o distribución de combustibles.
- Suministro de agua potable o saneamiento.
- Telecomunicaciones.
- Infraestructura digital.
- Servicios digitales y servicios de tecnología de la información gestionados por terceros.
- Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva.
- Banca, servicios financieros y medios de pago.
- Administración de prestaciones de seguridad social.
- Servicios postales y de mensajería.
- Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.
En cuanto a los operadores de importancia vital, será la Agencia quien establecerá mediante resolución fundada quiénes califican en este grupo. Para lo anterior deben reunir al menos dos requisitos:
- Que la provisión de dicho servicio dependa de las redes y sistemas informáticos, y
- Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que este debe proveer o garantizar.
- Obligaciones y Sanciones
La ley dispone obligaciones y sanciones a las cuales pueden verse expuestos los sujetos obligados.
En materia de deberes generales, se obliga a las instituciones a aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad.
Respecto de deberes específicos, los operadores de importancia vital están obligados a:
- Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.
- Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad con lo que señale el reglamento.
- Elaborar e implementar planes de continuidad operacional y ciberseguridad.
- Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento.
- Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.
- Contar con las certificaciones que señala el artículo 28, entre ellas, las que determine la Agencia mediante un reglamento y se podrá homologar certificaciones técnicas internacionales o extranjeras sobre ciberseguridad mediante resolución fundada de su director o directora.
- Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación; o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiera ocurrido.
- Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.
- Designar un delegado de ciberseguridad, quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.
Junto con lo anterior, la ley impone el deber de reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en los, tan pronto les sea posible, estableciendo para ello un plazo de 3 horas desde que se tiene conocimiento de la ocurrencia del ciberataque.
Por último, en cuanto a las sanciones establecidas en esta ley, se pueden calificar en leves, graves y gravísimas.
- Infracciones leves
- Entregar fuera de plazo la información que se requiera cuando ella no fuere necesaria para la gestión de un incidente de ciberseguridad.
- Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no estén sancionados como infracción grave o gravísima.
- Cualquier infracción de las obligaciones que esta ley establece y que no tenga señalada una sanción especial.
- Infracciones graves
- No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad.
- No haber implementado los estándares particulares de ciberseguridad.
- Entregar fuera de plazo la información que se requiera cuando ella fuere necesaria para la gestión de un incidente de ciberseguridad.
- Entregar a la Agencia información manifiestamente falsa o errónea.
- Incumplir la obligación de reportar el incidente de ciberseguridad en la forma establecida en el artículo 9°.
- Negarse injustificadamente a cumplir una instrucción de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial.
- La reincidencia de una misma infracción leve dentro de un año.
- Infracciones gravísimas
- Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad.
- Incumplir las instrucciones generales o particulares impartidas por la Agencia durante la gestión de un incidente de impacto significativo.
- No entregar la información que se requiera cuando ella fuere necesaria para la gestión de un incidente de impacto significativo.
- La reincidencia en una infracción grave dentro de un año.
Las infracciones señaladas anteriormente más otras establecidas en la ley serán sancionadas con multas de hasta 40.000 unidades tributarias en el caso de tratarse de infracciones gravísimas cometidas por un operador de importancia vital.
Para más información sobre esta materia, contactar a: Juan Hurtado T. | Asociado | jhurtado@palma.cl