Ley Marco de Ciberseguridad es publicada en el Diario Oficial

Hoy lunes 8 de abril fue publicada la nueva ley marco, que tiene por objetivo establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y de los particulares que prestan servicios esenciales para el funcionamiento del país.
DO 8.04.2024

Con la publicación en el Diario Oficial, la Ley N°21.663 Marco de Ciberseguridad se convierte en ley el modelo de gobernanza en ciberseguridad, lo que representa un avance importante en materia de seguridad digital para todos los ciudadanos, y un paso que pone a Chile en la vanguardia a nivel latinoamericano.

En la ley se se crean las siguientes capacidades:

  • La Agencia Nacional de Ciberseguridad (ANCI)
  • El Consejo Multisectorial, mientras que se mantiene el Comité Interministerial de Ciberseguridad
  • La Red de Conectividad Segura del Estado
  • El CSIRT Nacional y el CSIRT de Defensa

Además, la nueva ley define los servicios esenciales, es decir, aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional, los prestados bajo concesión de servicio público y por aquellas instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; y prestación institucional de salud por entidades tales como hospitales y clínicas.

Así también, la agencia podrá designar otros servicios como esenciales cuando su afectación cause un grave daño a la vida o integridad física de la población o a su abastecimiento.

Cabe destacar que los servicios esenciales tendrán dos obligaciones: el deber de adoptar medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad: protocolos y estándares de la ANCI o sectoriales; y el deber de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.

Portadas web coordinación (2)

Por otra parte, la ANCI designará a algunos prestadores de servicios esenciales como Operadores de Importancia Vital (OIV) cuando cumplan con los siguientes requisitos:

  • Que la provisión de dicho servicio dependa de las redes y sistemas informáticos, y
  • Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.

Así también, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos y sean indispensables por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país.

Obligaciones

  • Reportar

Una vez que se publiquen el o los decretos con fuerza de Ley por parte del Presidente de la República, todas las instituciones públicas y privadas (definidas en el artículo 4°) tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que tengan un efecto significativo en plazo máximo de tres horas contado desde que se tiene conocimiento del incidente, en un esquema progresivo donde los servicios tendrán 72 horas para enviar una descripción más detallada del incidente, y luego 15 días corridos para enviar un informe completo del incidente.

  • Deberes generales

Las instituciones obligadas por la Ley Marco de Ciberseguridad deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.