Estimados(as):
Como ustedes ya saben en el Congreso se está tramitando el Proyecto de «Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información» (en adelante, el «Proyecto de Ley») contenido en el Boletín N°14.847-06 el cual se encuentra a puertas de ser promulgado y publicado como Ley, tras ser aprobado por el Congreso y sin observaciones de parte del Presidente de la República, según consta en su Mensaje N°017-371, de fecha 18 de diciembre 2023.
El presente Proyecto de Ley tiene por objeto robustecer la ciberseguridad, creando la institucionalidad necesaria para ello, de manera de poder ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
Ámbito de aplicación
La Ley aplicará a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital.
Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades:
1. Generación, transmisión o distribución eléctrica;
2. Transporte, almacenamiento o distribución de combustibles;
3. Suministro de agua potable o saneamiento;
4. Telecomunicaciones;
5. Infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros;
6. Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva;
7. Banca, servicios financieros y medios de pago;
8. Administración de prestaciones de seguridad social;
9. Servicios postales y de mensajería;
10. Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y
11. La producción y/o investigación de productos farmacéuticos.
La Agencia Nacional de Ciberseguridad (en adelante, la «Agencia» o «ANCI) podrá calificar otros servicios como esenciales mediante resolución fundada cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de7 la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.
Por otro lado, son operadores de importancia vital aquellos que, siendo calificados como prestadores de servicios esenciales, reúnan además los siguientes requisitos, lo que será calificado por la Agencia de acuerdo con los siguientes criterios:
i. Que la provisión del servicio dependa de las redes y sistemas informáticos; y
ii. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.
Sin perjuicio de lo anterior, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos anteriormente indicados y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
En cualquier caso, siempre se deberá tener en consideración el tamaño de la institución privada, especialmente las características y necesidades de las micro, pequeñas y medianas empresas, tal como se definen en la ley N° 20.416.
Deberes
El Proyecto de Ley establece deberes generales y específicos que los órganos del Estado y las instituciones privadas que sean operadores de importancia vital o que presten servicios esenciales, en los términos indicados anteriormente, deberán cumplir.
– Deberes generales: Aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Las medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.
La aplicación de las medidas anteriores deberá realizarse de acuerdo con los estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva. El objeto de estos protocolos y estándares será la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación del impacto que los incidentes pueden tener sobre la continuidad operacional del servicio prestado o la confidencialidad y la integridad de la información o de las redes
– Deberes específicos: implementación de un sistema de gestión de riesgo permanente; mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información; elaborar e implementar planes de continuidad operacional y ciberseguridad; realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad; adoptar de forma oportuna y expedita las medidas necesarias para mitigar el impacto y la propagación de un incidente de ciberseguridad; contar con las certificación que se indican en el Proyecto de Ley, informar a los potenciales afectados, y designar un delegado de ciberseguridad quien actuará como contraparte de la Agencia e informara a la autoridad o jefe superior del órgano o servicio de la Administración del Estado.
Creación de nuevas Instituciones
Para efectos de aplicar lo dispuesto en el Proyecto, el legislador crea diferentes instituciones cuya finalidad será velar por regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado y entre éstos y los particulares, estos son:
1. La Agencia Nacional de Ciberseguridad. Servicio público Descentralizado con personalidad jurídica y patrimonio propio. Encargado de asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
2. Consejo Multisectorial sobre Ciberseguridad. Tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.
3. Comité Interministerial sobre Ciberseguridad. Este organismo tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.
4. Red de Conectividad Segura del Estado. Red de Conectividad Segura del Estado. Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado, esto son: los Ministerios, las delegaciones presidenciales regionales y provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
5. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. (CSIRT), entre ellos el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional y los otros CSIRT que pertenezcan a organismos de la Administración del Estado.
Infracciones y Sanciones
Infracciones
El Proyecto establece una serie de sanciones ante la infracción a las disposiciones contempladas en las Presente ley. La ANCI será el organismo encargado de la encargada de sancionar dichas infracciones, sin perjuicio de la facultadas de la autoridad sectorial respectiva para conocer y sancionar las infracciones.
La futura ley califica las sanciones en leves, graves y gravísimas, algunas de las infracciones son:
a) Infracciones leves
i. Entregar fuera de plazo la información que se le requiera cuando ella no fuere necesaria para la gestión de un incidente de ciberseguridad;
ii. Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima; y
iii. Cualquier infracción a las obligaciones que esta ley establece y que no tenga señalada una sanción especial.
b) Infracciones graves
i. No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad;
ii. No haber implementado los estándares particulares de ciberseguridad;
iii. Entregar fuera de plazo la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de ciberseguridad;
iv. Entregar a la Agencia de información manifiestamente falsa o errónea.
v. Incumplir la obligación de reportar establecida en el artículo 9;
vi. Negarse injustificadamente a cumplir una instrucción de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial; y
vii. La reincidencia en una misma infracción leve dentro de un año.
c) Infracciones gravísimas
i. Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad;
ii. Incumplir las instrucciones generales o particulares impartidas por la Agencia durante la gestión de un incidente de impacto significativo;
iii. No entregar la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de impacto significativo; y
iv. La reincidencia en una infracción grave dentro de un año.
Adicionalmente, el artículo 39 del Proyecto de Ley, contempla infracciones especiales para los Operadores de Importancia Vital por la infracción o incumplimiento de las disposiciones del artículo 8 de la ley.
Sanciones
La infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo a la siguiente escala:
i. Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales; o con hasta 10.000 unidades tributarias mensuales si se tratare de un operador de importancia vital;
ii. Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales; o con hasta 20.000 unidades tributarias mensuales si se tratare de un operador de importancia vital; y
iii. Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales; o con hasta 40.000 unidades tributarias mensuales si se tratare de un operador de importancia vital.
La multa será fijada teniendo en consideración el grado en que el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del incidente, el grado de exposición del infractor a los riesgos, la gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas, la reiteración en la infracción dentro del plazo de 3 años contado desde el momento en que se produjo el incidente, el tamaño y la capacidad económica del infractor.
En resumen, el actual proyecto representa un desafío significativo tanto para entidades públicas como privadas anteriormente indicadas, al implementar elementos esenciales para proteger los datos personales de usuarios o clientes. A pesar de esta dificultad, también constituye un avance significativo en la seguridad y protección de datos sensibles de los usuarios en un mundo cada vez más globalizado y tecnológico.
Vigencia
El Presidente de la República deberá dictar, dentro del plazo de un año contado desde la publicación del Proyecto de Ley, uno o más decretos con fuerza de ley para determinar un período para la vigencia de las normas establecidas por el Proyecto, el cual no podrá ser inferior a seis meses desde su publicación, la fecha de iniciación de las actividades de la ANCI, entre otras materias.
Saludos,
