Con fecha 8 de abril del 2024 se publicó en el Diario oficial la Ley Marco de Ciberseguridad (N°21.663), que tiene por objeto establecer la institucionalidad pública para robustecer la ciberseguridad, enfrentar de mejor manera las contingencias cibernéticas en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
La Ley Marco de Ciberseguridad establece:
- La institucionalidad, principios y la normativa general en materia de ciberseguridad, creando la Agencia Nacional de Ciberseguridad, ente rector en la materia con capacidades normativas y de fiscalización sobre los entes regulados.
- Establece los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad, fijando plazos de reporte.
- Establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones calificadas como esenciales y operadores de importancia vital
- Establecer un marco de infracciones y sanciones.
- Establece deberes de reporte y crea el CSIRT Nacional.
A quien aplica esta ley:
- Instituciones del sector público tales como Ministerios, las delegaciones presidenciales regionales y provinciales, los GORES, Municipalidades, las FFAA y OOPP y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
- Empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
- Empresas privadas que presten servicios calificados como esenciales, según lo establecido en la ley, y aquellos que sean calificados como operadores de importancia vital.
Son servicios esenciales:
- Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional.
- Los prestados bajo concesión de servicio público.
- Los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.
Agencia Nacional de Ciberseguridad
Dentro de los servicios esenciales la Agencia Nacional de Ciberseguridad (ANCI) será la encargada de calificar a las empresas como operadores de importancia vital, las cuales tendrán asociadas obligaciones más exigentes respecto de sus sistemas de gestión de seguridad y la protección de activos de información.
Todos los sujetos obligados deberán reportar sus incidentes y cumplir con los estándares de la ANCI; en el caso de los operadores de importancia vital además deberán implementar sistemas de gestión de ciberseguridad, mantener labores de monitoreo permanente, implementar planes de continuidad operacional, nombrar un delegado de ciberseguridad, entre otras obligaciones.
La ANCI será el coordinador de todo el ecosistema de actores quien podrá dictar estándares y normativa técnica, y fiscalizará a los sujetos obligados en el cumplimiento de sus normas. Las sanciones en casos de incumplimientos pueden llegar hasta las 40.000 UTM.
Al momento de implementar esta normativa el presidente de la República estará facultado para dictar Decretos con Fuerza de Ley que fijarán entre otras materias, el plazo de entrada en vigencia de la Ley y la estructura de la ANCI. Por su parte, la ANCI también estará dotada de facultades normativas, por lo que algunos aspectos más operativos serán definidos en sus instrucciones, por ejemplo, el listado de los operadores de importancia vital, el detalle de los reportes de incidentes de seguridad, estándares a cumplir por los servicios esenciales, entre otras.
¿CUALES SON LOS SERVICIOS ESENCIALES?
CONTACTO
Romina Garrido
Directora
rgarrido@prieto.cl