En condiciones de ser promulgado en los próximos días quedó el Proyecto de ley que establece un Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, más conocido como Ley Marco sobre Ciberseguridad (Boletín 14.847-06).
La iniciativa tiene por objeto establecer la institucionalidad pública para robustecer la ciberseguridad, enfrentar de mejor manera las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
En concreto, el proyecto de ley regula:
- La institucionalidad, principios y la normativa general en materia de ciberseguridad.
- Los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad.
- Las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones calificadas como esenciales y operadores de importancia vital.
- El marco de infracciones y sanciones.
- Deberes de reporte y crea el CSIRT Nacional.
Su ámbito de aplicación es:
- Instituciones del sector público tales como Ministerios, las delegaciones presidenciales regionales y provinciales, los GORES, Municipalidades, las FFAA y OOPP y los órganos y servicios públicos creados para el cumplimiento de la función administrativa;
- Empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
- En el ámbito privado las instituciones que presten servicios calificados como esenciales, según lo establecido en la ley, y aquellos que sean calificados como operadores de importancia vital.
Son servicios esenciales:
- Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional;
- Los prestados bajo concesión de servicio público;
- Los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.
Dentro de esa categoría la futura Agencia Nacional de Ciberseguridad (ANCI) calificará a empresas como operadores de importancia vital los que tendrán asociadas obligaciones más exigentes respecto de sus sistemas de gestión de seguridad y la protección de activos de información.
Los sujetos obligados deberán sus reportar incidentes de ciberseguridad, y cumplir los estándares de la ANCI; en los casos de operadores de importancia vital además deberán implementar sistemas de gestión de ciberseguridad, mantener labores de monitoreo permanente, implementar planes de continuidad operacional, nombrar un delegado de ciberseguridad, entre otras obligaciones. Esta última coordinará el funcionamiento de todo el ecosistema de actores, pudiendo establecer estándares y dictar normativa técnica, así como fiscalizar a los sujetos obligados en el cumplimiento de sus normas. Las sanciones en casos de incumplimiento pueden llegar hasta las 40.000 UTM y el plazo de implementación de la normativa es de 6 meses, según el artículo primero transitorio número 2.
¿CUALES SON LOS SERVICIOS ESENCIALES?
CONTACTO
Romina Garrido
Directora
rgarrido@prieto.cl