Con fecha 8 de abril de 2024, se publicó en el Diario Oficial la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información cuyo objeto es establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones que se encuentren obligadas por la Ley, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Por otro lado, la Ley crea diversos organismos, como son el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional, por sus siglas en inglés) y la Agencia Nacional de Ciberseguridad (ANCI). Este último será el cuerpo encargado de regular, fiscalizar y sancionar a todas las instituciones públicas y privadas que se encuentren obligadas por la Ley Marco de Ciberseguridad.

APLICACIÓN

En el marco de esta normativa, la Ley se aplica específicamente a las entidades que ofrecen servicios considerados esenciales (Servicios Esenciales) y a aquellas designadas como operadores de importancia vital (OIV).

Por un lado, se consideran Servicios Esenciales a los siguientes:

• Los proporcionados por organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional.
• Los servicios prestados bajo concesión del servicio público.
• Los ofrecidos por entidades privadas que se dedican a actividades tales como generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su respectiva infraestructura; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.

Además, la agencia tiene la facultad de calificar otros servicios como esenciales mediante una resolución fundada del director o directora nacional. Esto podría aplicarse, por ejemplo, a instituciones cuya prestación de servicios esenciales dependa de redes y sistemas informáticos, o cuya afectación, interceptación, interrupción o destrucción de servicios tenga un impacto significativo en la seguridad pública, la provisión continua y regular de servicios esenciales, o el cumplimiento efectivo de las funciones del Estado.

Del mismo modo, se consideran dentro de esta categoría instituciones privadas que desempeñen un papel crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país.

OBLIGACIONES DE CIBERSEGURIDAD

En lo que respecta a las obligaciones de ciberseguridad estipuladas por la Ley Marco, es posible distinguir entre los deberes generales aplicables a todas las entidades obligadas por la ley y las obligaciones específicas establecidas para los Organismos de Inspección y Vigilancia.

Los deberes generales establecidos en la Ley son los siguientes:

1. Las instituciones obligadas deben aplicar de manera continua medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas pueden abarcar aspectos tecnológicos, organizacionales, físicos o informativos, según corresponda.
2. Para cumplir con estas obligaciones, es necesario implementar adecuadamente los protocolos y estándares establecidos por la Agencia, así como los estándares específicos de ciberseguridad dictados de acuerdo con la regulación sectorial correspondiente. Dichos protocolos y estándares tienen como objetivo principal prevenir y gestionar los riesgos relacionados con la ciberseguridad, así como contener y mitigar el impacto que los incidentes puedan tener en la continuidad operativa del servicio prestado o en la confidencialidad e integridad de la información o de las redes y sistemas informáticos.
3. Además, se impone la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener consecuencias significativas según lo establecido en el artículo 27 de la Ley, tan pronto como sea posible y de acuerdo con el esquema y los plazos establecidos en la Ley.

Los deberes específicos de los OIV se pueden resumir de la siguiente manera:

1. Implementar un sistema de gestión de seguridad de la información continuo con el objetivo de identificar los riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, así como la continuidad operacional del servicio. Este sistema debe permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.
2. Mantener un registro detallado de las acciones realizadas que formen parte del sistema de gestión de seguridad de la información, de acuerdo con lo establecido en el reglamento.
3. Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deben ser certificados de conformidad con el artículo 28 y someterse a revisiones periódicas con una frecuencia mínima de dos años. La Agencia puede exigir la certificación de estos planes en plazos menores en casos excepcionales debidamente fundamentados.
4. Realizar de forma continua operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad, comunicando la información correspondiente al CSIRT Nacional según lo determine el reglamento.
5. Adoptar de manera oportuna y eficiente las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluyendo la restricción de uso o acceso a sistemas informáticos si es necesario.
6. Obtener las certificaciones requeridas según lo establecido en el artículo 28.
7. Informar a los posibles afectados, en la medida de lo posible, sobre la ocurrencia de incidentes o ciberataques que puedan comprometer gravemente su información, redes y sistemas informáticos, especialmente cuando se trate de datos personales y no exista otra disposición legal que requiera la notificación, o cuando sea necesario para prevenir nuevos incidentes o gestionar los ya ocurridos.
8. Implementar programas de capacitación, formación y educación continua para sus empleados y colaboradores, incluyendo campañas de concienciación sobre ciberseguridad.
9. Designar un delegado de ciberseguridad que actúe como contraparte de la Agencia y que informe a las autoridades pertinentes de la administración del Estado o a los directores, gerentes o ejecutivos principales en el caso de instituciones privadas.

DEBER DE REPORTE

La Ley Marco contempla, además, la obligación de todas las instituciones públicas y privadas mencionadas en el artículo 4° de informar al CSIRT Nacional sobre los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos. Este deber se desarrolla en diferentes etapas:

1. Dentro de un plazo máximo de 3 horas desde que se tenga conocimiento del ciberataque o incidente de ciberseguridad, se debe enviar una alerta temprana sobre el evento.
2. Dentro de un plazo máximo de 72 horas, se debe proporcionar una actualización de la información inicial, incluyendo una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso si están disponibles. En el caso de operadores de importancia vital cuyos servicios esenciales se vean afectados, la actualización debe realizarse en un plazo máximo de 24 horas.
3. Dentro de un plazo máximo de quince días desde el envío de la alerta temprana, se debe presentar un informe final que incluya una descripción detallada del incidente, el tipo de amenaza o causa principal, las medidas de mitigación aplicadas y las repercusiones transfronterizas, si las hubiera.
4. Si el incidente continúa en curso después de la presentación del informe final, este se reemplaza por un informe sobre la situación en ese momento, que debe presentarse dentro de los quince días siguientes al manejo del incidente.

Además, los OIV deben informar al CSIRT Nacional sobre su plan de acción tan pronto como lo adopten, con un plazo máximo de 7 días desde que tuvieron conocimiento del incidente.

La Agencia proporcionará las instrucciones necesarias para la realización y recepción de los informes, y se establecerá un sistema de ventanilla única para notificar a las autoridades pertinentes. Un reglamento definirá el contenido de los diferentes tipos de informes requeridos en este artículo.

INFRACCIONES

La Ley regula las infracciones a las obligaciones establecidas en la Ley para los sujetos obligados y las clasifica en leves, graves y gravísimas. Asimismo, regula las sanciones a dichas infracciones, estableciendo una multa a beneficio fiscal que sigue la siguiente escala:

Tipo de Infracción	Sanción	Sanción para OIV
Infracciones leves	Hasta 5.000 UTM	Hasta 10.000 UTM
Infracciones graves	Hasta 10.000 UTM	Hasta 20.000 UTM
Infracciones gravísimas	Hasta 20.000 UTM	Hasta 40.000 UTM

No obstante, la escala de sanciones presentadas, esta disposición no excluye la posibilidad de aplicar sanciones más severas. De acuerdo con la ley, si un infractor puede ser sancionado por los mismos actos y fundamentos legales tanto bajo la Ley Marco de Ciberseguridad como conforme a otras normativas legales, se le impondrá la sanción más severa disponible entre las opciones.

VIGENCIA

De acuerdo con las disposiciones transitorias, el Presidente tendrá un plazo de un año para establecer, mediante decretos con fuerza de ley, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.
2. Determinar un período para la vigencia de las normas establecidas por la presente ley, el que no podrá ser inferior a 6 meses desde su publicación.
3. Fijar la planta de personal de la Agencia y las normas necesarias para la fijación de las remuneraciones.

Además, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley dentro del plazo de 180 días.

 

En caso de requerir información adicional sobre esta materia, puede contactar a Macarena Naranjo (mnaranjo@jdf.cl) y a María Gracia Oyarce (mgoyarce@jdf.cl)