Presidente Boric promulga nueva Ley Marco de Ciberseguridad, que norma su institucionalidad y crea agencia especializada

Hoy martes 26 de marzo, en el Palacio de La Moneda, el Presidente de la República, promulgó la nueva Ley Marco de Ciberseguridad y presentó la Política Nacional de Ciberseguridad, normativas que permitirán robustecer al país en materia de seguridad digital y que crea la Agencia Nacional de Ciberseguridad (ANCI). Nuevo marco legal dota de mejores facultades al Estado para coordinar a los actores públicos y privados, establecer obligaciones y establecer multas.

“Chile se convierte en el primer país de Latinoamérica y el Caribe en tener una Agencia Nacional de Ciberseguridad y un marco regulatorio de vanguardia en este campo. Esta política va a impulsar el desarrollo de la industria de la ciberseguridad en Chile, lo que también es una oportunidad de empleos y de inversión”. Estas fueron las palabras el Presidente Gabriel Boric durante la ceremonia de promulgación de la Ley Marco de Ciberseguridad, que se llevó a cabo el martes 26 de marzo.

Esta actividad marca un hito importante para la ciberseguridad en nuestro país, ya que gracias a la Ley y a la Política Nacional de Ciberseguridad será posible robustecer la seguridad digital de los chilenos.

La nueva ley establece la institucionalidad, los principios y la normativa general que permitirán estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, además de instaurar los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad, tanto para el sector público como privado.

Realizada en el Salón Montt Varas del Palacio de La Moneda, la ceremonia contó con la participación de los ministros del Interior y Seguridad Pública, Carolina Tohá; de Relaciones Exteriores, Alberto van Klaveren; de Defensa, Maya Fernández; de Hacienda, Mario Marcel; de la Secretaría General de la Presidencia, Álvaro Elizalde; de Justicia, Luis Cordero; de Ciencias, Tecnología, Conocimiento e Innovación, Aisén Etcheverry; de Transportes y Telecomunicaciones, Juan Carlos Muñoz;  y de Energía, Diego Pardow.

La Ministra del Interior y Seguridad Pública, Carolina Tohá, subrayó que “lo que hoy día sucede es fruto de un proceso virtuoso y prolongado que en Chile hemos tenido para enfrentar seriamente los riesgos ligados a la ciberseguridad y los desafíos que ello plantea para el país”. La Ministra Tohá recordó que aunque han pasado gobiernos de distintas tendencias políticas, en esta materia se ha avanzado con acuerdos transversales.

ANCI: una agencia autónoma y con verdaderas facultades

La nueva ley establece una nueva gobernanza de ciberseguridad para el país, al crear la Agencia Nacional de Ciberseguridad (ANCI), organismo con facultades regulatorias, fiscalizadoras y sancionatorias, tanto para los organismos públicos como privados.

Algunas de las atribuciones de la ANCI son el asesorar al Presidente en la elaboración de políticas, planes y programas de acción, establecer protocolos y estándares obligatorios tanto para instituciones públicas como privadas, administrar el Registro Nacional de Incidentes, calificar los servicios esenciales y establecer los operadores de importancia vital, requerir información sobre incidentes o antecedentes para prevenir su ocurrencia y promover la educación en ciberseguridad.

Nace también el Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática (CSIRT) Nacional, que dependerá de la ANCI y que entre sus funciones específicas se incluye responder ante ciberataques o incidentes de ciberseguridad relevantes, coordinar a los nuevos CSIRT que se crearán para las distintas ramas del Estado, incluyendo el CSIRT de la Defensa Nacional, colaborar con entidades extranjeras en el intercambio de información, entregar asesoría técnica para la implementación y realización de acciones que permitan una mayor ciberseguridad en las instituciones del Estado, incluyendo capacitaciones y entrenamientos, solicitud de información sobre incidentes y vulnerabilidades, difusión de alertas y elaboración de criterios técnicos para la categorización de incidentes o vulnerabilidades exentas de notificación.

Además, la ley crea el CSIRT de la Defensa Nacional, que dependerá del Estado Mayor Conjunto, y que tiene atribuciones similares al CSIRT Nacional pero en el ámbito de la Defensa. La ley establece la necesidad de ambos CSIRT de colaborar en la protección tanto de las personas como de los “servicios esenciales” del país.

La ley también protege la seguridad de los servicios esenciales, no importando si estos son administrados por el Estado, empresas públicas o privadas, y define los criterios para que la ANCI establezca a los Operadores de Importancia Vital (OIV), con el objetivo de instituir deberes y multas en caso de no cumplirlas.

Entre estas obligaciones de los OIV están la implementación de un sistema de gestión para garantizar la seguridad de la información y la continuidad operativa, el mantenimiento de registros, la realización de planes de continuidad operacional y ciberseguridad, la ejecución de simulacros, ejercicios y análisis de los sistemas informáticos, la adopción de medidas para mitigar el impacto de los incidentes, la comunicación con los afectados, la capacitación y educación continua a trabajadores y colaboradores, y la designación de un delegado para ser el punto de contacto con la ANCI.

Una política nacional organizada alrededor de cinco ejes

En la oportunidad también se presentó la nueva Política Nacional de Ciberseguridad para los años 2023-2028, la que posee los siguientes cinco ejes principales:

1. Infraestructura resiliente: El país contará con una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad y de desastres socioambientales, bajo una perspectiva de gestión de riesgos.
2. Derechos de las personas: El Estado protegerá y promoverá la protección de los derechos de las personas en Internet, a través del fortalecimiento de la institucionalidad existente en materia de ciberseguridad; y de la generación, adopción, y promoción de los mecanismos y las herramientas tecnológicas necesarias para que cada persona pueda integrarse a la sociedad y desarrollarse y expresarse plenamente.
3. Cultura de ciberseguridad: Chile desarrollará una cultura de la ciberseguridad en torno a la educación, buenas prácticas, responsabilidad en el manejo de tecnologías digitales, y promoción y garantía de los derechos de las personas.
4. Coordinación nacional e internacional: El Estado creará una gobernanza pública para coordinar las acciones necesarias en ciberseguridad. Los organismos públicos y privados crearán, en conjunto, instancias de cooperación con el propósito de comunicar y difundir sus actividades en ciberseguridad, evitar la duplicación de trabajo y pérdida de recursos, y hacer eficientes los esfuerzos en esta área. En el ámbito internacional, el Estado se coordinará con países, organismos, instituciones y otros actores internacionales para permitir a nuestro país enfrentar de mejor manera las actividades maliciosas e incidentes en el ciberespacio.
5. Fomento a la industria y la investigación científica: El país promoverá el desarrollo de una industria de la ciberseguridad, que proteja a las personas y las organizaciones y que sirva a sus objetivos estratégicos. Para ello, fomentará la focalización de la investigación científica aplicada en temas de ciberseguridad, acorde a las necesidades del país.

Con esta nueva Ley Marco y la Política Nacional, el país se pone a la vanguardia de Latinoamérica y el Caribe en términos de política pública sobre ciberseguridad.