Nueva “LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN”. Objetivos, Contenido e Impacto.

3 de abril, 2024

Sebastián Matheu

Con fecha 26 de marzo de 2024, fue promulgada la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información; marcando el inicio de una nueva era en la protección de la información, con el establecimiento de diversos cambios en materia de ciberseguridad.

Los objetivos y elementos más importantes de esta ley se exponen a continuación.

I. OBJETIVOS Y PRINCIPIOS

El propósito fundamental de esta ley es la creación de un entorno regulado y coordinado para las acciones de ciberseguridad a nivel nacional, involucrando tanto a organismos del Estado como a entidades privadas.

Se busca establecer una base sólida para la prevención, manejo y respuesta a incidentes de ciberseguridad, definiendo claramente los deberes de las entidades implicadas y estableciendo mecanismos robustos de control, supervisión, responsabilidad y sanción.

La ley articula como principios rectores los siguientes: i) control de daños; ii) cooperación con la autoridad; iii) coordinación; (iv) seguridad en el ciberespacio; (v) respuesta responsable; (vi) seguridad informática; (vii) racionalidad; y (viii) seguridad y privacidad por defecto y desde el diseño.

II. INSTITUCIONES REGULADAS

Para efectos de determinar aquellas instituciones a las cuales les será aplicable la normativa, la ley categoriza como “Prestadores de Servicios Esenciales” o como “Operadores de Importancia Vital (OIV)”, a ciertas entidades que cumplan determinados requisitos, según se distingue a continuación:

  • Prestadores de Servicios Esenciales: conforme a su artículo 4°, la ley establece que serán calificados como Servicios Esenciales:
    • Los provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional;
      • Los prestados bajo concesión de servicio público;
      • Los proveídos por instituciones privadas que realicen actividades de generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.
      • Adicionalmente, la nueva Agencia Nacional de Ciberseguridad podrá calificar otros servicioscomo esenciales cuando su afectación pueda causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, entre otros.
  • Operadores de Importancia Vital (OIV): serán calificados como Operadores de Importancia Vital:
    • Aquellos prestadores de servicios esenciales que la Agencia Nacional de Ciberseguridad califique como OIV, siempre que reúnan los siguientes requisitos:
      • Que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y,
      • Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga unimpacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.
    • Además, la Agencia podrá calificar como OIV a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales:
      • reúnan los 2 requisitos recién señalados;
      • y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
III. DEBERES

En general, las instituciones obligadas por la nueva Ley de Ciberseguridad deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

Para el cumplimiento de esta obligación, las entidades reguladas deberán implementar los protocolos y estándares establecidos por La Agencia, así como los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva.

Particularmente, el artículo 8° de la ley establece detalladas y rigurosas obligaciones para los OIV; resumidamente:

  • Adoptar y mantener un sistema de gestión de seguridad de la información para identificar y gestionar riesgos.
  • Llevar un registro actualizado de todas las acciones de seguridad implementadas.
  • Desarrollar e implementar planes de continuidad operacional y estrategias de ciberseguridad.
  • Notificar de manera proactiva y transparente a los potenciales afectados y a las autoridades sobre incidentes significativos de ciberseguridad.
  • Nombrar un delegado de ciberseguridad responsable de supervisar el cumplimiento de las disposiciones de la ley.
  • Informar al CSIRT Nacional dentro de las tres horas siguientes a la detección de cualquier ciberataque o incidente con potencial de impacto significativo.
IV. NUEVAS INSTITUCIONES

La Ley de Ciberseguridad establece una estructura organizativa dedicada a la ciberseguridad, incluyendo las siguientes instituciones:

  • Agencia Nacional de Ciberseguridad, como entidad principal de asesoramiento, coordinación y supervisión.
  • Consejo Multisectorial sobre Ciberseguridad, para la colaboración entre sectores.
  • Comité Interministerial sobre Ciberseguridad, para la coordinación intergubernamental.
  • Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT), para la gestión operativa de incidentes.
  • CSIRT de la Defensa Nacional.
V. AGENCIA NACIONAL DE CIBERSEGURIDAD

Con funciones estratégicas, esta Agencia liderará los esfuerzos nacionales en ciberseguridad, ofreciendo asesoramiento al Presidente en materias propias de ciberseguridad, colaborando en la protección de los intereses nacionales en el ciberespacio, coordinando el actuar de las instituciones con competencia en materia de ciberseguridad, velando por la protección, promoción y respeto del derecho a la seguridad informática, y coordinando y supervisando la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

VI. INFRACCIONES Y SANCIONES

La ley define un sistema de sanciones basado en la gravedad de las infracciones, clasificándolas en leves, graves y gravísimas, con multas ascendentes y consideraciones especiales para los OIV, que pueden enfrentar sanciones dobles debido a su importancia crítica.

La determinación de la multa considerará varios factores, como las medidas preventivas adoptadas, la probabilidad y gravedad del incidente, el grado de riesgo, las consecuencias de los ataques, la reincidencia de la infracción, y la capacidad económica del infractor. Este esquema de sanciones busca no solo penalizar, sino también incentivar la adopción proactiva de prácticas de seguridad informática robustas.

A continuación, el esquema de infracciones y multas establecido por la nueva ley:

  • Infracciones leves: Multa de hasta 5.000 UTM;
  • Infracciones graves: Multa de hasta 10.000 UTM; e
  • Infracciones gravísimas: Multa de hasta 20.000 UTM.

Las multas podrán llegar al doble en caso de tratarse de un Operador de Importancia Vital, pudiendo llegar a 40.000 UTM.

VII. ENTRADA EN VIGENCIA

En cuanto a su vigencia, con el propósito de otorgar un tiempo adecuado para que las entidades afectadas se adapten a los nuevos requerimientos, se fija un período de 6 meses a partir de su publicación para que la Ley de Ciberseguridad entre en vigor.

VIII. IMPACTO EN LAS INSTITUCIONES REGULADAS

La implementación de esta ley hará imperativa una inversión significativa en tecnología y formación por parte de las entidades reguladas, de cara a la necesidad de cumplir a cabalidad con los estándares de seguridad y reporte impuestos por la nueva ley. En consecuencia, dada la complejidad y el potencial impacto de esta nueva legislación, es crucial que las entidades obligadas lleven a cabo una revisión profunda de las políticas y sistemas de ciberseguridad existentes, y se preparen asesorándose con debida anticipación para navegar los requisitos de cumplimiento de esta nueva normativa, con el fin de mitigar oportunamente los riesgos legales asociados a la entrada en vigencia de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.

En tiempos de cambios, estamos con ustedes.
La flexibilidad, la innovación y la creatividad son parte de nuestra esencia.
CONTACTA CON NOSOTROS