Congreso aprueba Ley Marco de Ciberseguridad, que fortalece institucionalidad y crea agencia nacional

Este martes, el Senado dio la última aprobación que necesitaba la Ley Marco de Ciberseguridad e Infraestructura Crítica para entrar en vigor, faltando únicamente su promulgación por parte del Presidente de la República y su consiguiente publicación en el Diario Oficial.

PLMC Min. Toha

La iniciativa «fue votada tanto la Cámara de Diputados como el Senado de forma unánime», destacó la ministra del Interior, Carolina Tohá, quien agradeció ese alto respaldo y resaltó la importancia de la aprobación de la Ley Marco: «Este proyecto nos va a poner a la vanguardia en la región latinoamericana en esta materia. Vamos a tener una agencia encargada de la ciberseguridad, que va a definir estándares, tanto para los servicios esenciales como para los operadores que tienen funciones vitales, y esos estándares van a ser validados a través de instituciones certificadas especialmente para cumplir esa tarea».

La ministra Tohá indicó asimismo que gracias a la Ley Marco «vamos a lograr estar más seguros, ya que aquellos servicios que se prestan a través de modalidades digitales, la información que ellos manejan, y las comunicaciones entre las personas, estarán mejor resguardadas».

Algunos de las principales mejoras que contempla esta nueva legislación son (entre muchas otras, las que pueden encontrar en texto completo de la ley, disponible en el siguiente documento PDF:Boletin14847-TextoFinal):

Crea la Agencia Nacional de Ciberseguridad (ANCI), que consolida administrativamente y dota de mayores recursos a la protección de la ciberseguridad en nuestro país, mejorando y ampliando el trabajo que hoy realiza el CSIRT de Gobierno para que ocurran menos incidentes digitales y para responder de mejor manera a los que pese a todo seguirán teniendo lugar.

La ANCI será un servicio público descentralizado, con patrimonio propio y carácter técnico y especializado, cuyo director será designado según las normas del Sistema de Alta Dirección Pública. Definirá protocolos y reglamentos de seguridad que las instituciones estarán obligadas a implementar, medidas que buscan que estas mismas instituciones puedan prevenir y resolver incidentes de ciberseguridad, protegiendo así sus activos digitales, su información y la de los ciudadanos.

La ANCI también contará con facultades para fiscalizar y sancionar a las instituciones que no mejoren su ciberseguridad de acuerdo con dichos estándares, o no respondan adecuadamente a los incidentes que sucedan. Asimismo, colaborará y asesorará de manera técnica a otras instituciones afectadas por un incidente de ciberseguridad, siempre que sus recursos se lo permitan.

Junto con la ANCI, se crean también el CSIRT Nacional y el CSIRT de Defensa. Recordemos que un CSIRT es un equipo de especialistas dedicado a evitar que sucedan incidentes de ciberseguridad, y a solucionarlos cuando ocurren. El organismo encargado de coordinar a todos estos CSIRT será, precisamente, la ANCI.

Se hará hincapié en la seguridad de los servicios esenciales (SE), no importando si estos sean administrados por el Estado, empresas públicas o privadas. Entre ellos se encuentran actividades de generación eléctrica, distribución de combustible y transporte terrestre, aéreo, ferroviario y marítimo, servicios financieros y prestación institucional de salud.

También se protegerá mejor la seguridad de la infraestructura crítica de la información, los denominados Operadores de Importancia Vital (OIV). Para SE y OIV habrá multas si no cumplen con la debida protección de su ciberseguridad.

Asimismo, la ley considera obligaciones para las empresas privadas de ocuparse de los incidentes de ciberseguridad, y de informar cuanto antes a la ANCI de cualquier problema serio, junto con crear mejores instancias de coordinación público-privadas, todo lo que ayudará a combatir y solucionar incidentes de seguridad más rápidamente, reduciendo los efectos de estos incidentes para la ciudadanía.

La ley marco instaura así un modelo de gobernanza y mecanismos para contar siempre con los más actualizados estándares de seguridad, campañas de concientización para la ciudadanía, y los equipos necesarios para evitar y responder ante incidentes de ciberseguridad.

«Con este proyecto, llevamos ya 20 iniciativas despachadas de las treinta y una que hemos priorizado en conjunto con el Congreso. Es un avance muy importante, que esperamos que en los próximos días se vea incrementado con otros proyectos que están en su fase final de tramitación. Es decir que, aunque algunas de estas iniciativas aún no están listas para ser despachadas, todas están avanzando, todas han sido presentadas y en todas ellas hay razones fundadas para decir que van a ser despachadas por el Congreso», resaltó finalmente la ministra Tohá.