/ (562) 2787 60 00
Noticias

/ Diario Oficial publicó Ley Marco Ciberseguridad

16 de Abril, 2024

Maria Ignacia Ormeño Sarralde
Asociada
Alessandri Abogados

  • La Ley 21.663 Marco de Ciberseguridad crea la Agencia Nacional de Ciberseguridad (ANCI), encargado de regular, fiscalizar y sancionar a todos los organismos públicos y privados que presten servicios esenciales y operadores de importancia vital

  • Regula los servicios esenciales y los operadores de importancia vital, estableciendo obligaciones destinadas a gestionar riesgos, a reportar vulneraciones, entre otras.

  • Sanciones hasta 40.000 UTM.

  • Entrará en vigencia en el plazo que establezca el presidente de la república, mediante decreto que debe emitir en el plazo de de un año desde la publicación de la Ley. En ningún caso la vacancia legal podrá ser inferior a 6 meses contados desde dicha publicación.

  • Es la primera ley sobre ciberseguridad en Latinoamérica.

________

El 8 de abril de 2024 se publicó en el Diario Oficial la Ley 21.663 Marco de Ciberseguridad.

Esta nueva ley busca establecer la institucionalidad, principios y normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la administración del Estado y los particulares, y establece mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; además de instaurar atribuciones, obligaciones y deberes de instituciones públicas y privadas.

Entre los principios rectores que deben observarse por los obligados se incluyen la responsabilidad, la cooperación con la autoridad, seguridad informática, racionabilidad, coordinación, protección integral, seguridad, la privacidad por defecto y desde el diseño, la confidencialidad de los sistemas de información y el control de daños.

Ámbito de aplicación

La Ley se aplicará a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital (OIV).

  1. Servicios calificados como esenciales.

Son servicios esenciales:

  1. Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional.
  2. Los prestados bajo concesión de servicio público.
  3. Los proveídos por instituciones privadas que realicen las siguientes actividades:
  • Generación, transmisión o distribución eléctrica.
  • Transporte, almacenamiento o distribución de combustibles.
  • Suministro de agua potable o saneamiento.
  • Infraestructura digital;
  • Servicios digitales y servicios de tecnología de la información gestionados por terceros.
  • Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva.
  • Banca, servicios financieros y medios de pago.
  • Administración de prestaciones de seguridad social.
  • Servicios postales y de mensajería.
  • Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.
  1. Aquellos que la Agencia califique como esenciales mediante resolución fundada del director  nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la administración del Estado, a la defensa nacional, o a la seguridad y el orden público.
  2. OIV

La Agencia establecerá mediante resolución emitida  por el director  nacional, según el procedimiento de calificación de OIV, a los prestadores de servicios esenciales que sean calificados como OIV. Adicionalmente, la Agencia podrá calificar como OIV a quienes reúnan los siguientes requisitos:

  1. Que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y
  2. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar. Además, la Agencia podrá calificar como OIV a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados anteriormente y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

En cualquier caso, siempre se deberá tener en consideración el tamaño de la institución privada, especialmente las características y necesidades de las micro, pequeñas y medianas empresas, tal como se definen en la ley N°20.416, que fija normas especiales para las empresas de menor tamaño.

Obligaciones de ciberseguridad

Las instituciones obligadas por esta Ley deben cumplir con ciertos deberes generales, además de la obligación de reportar. No obstante, aquellas que sean calificadas como OIV tendrán mayores exigencias puesto que deberán cumplir, además, con deberes específicos que la Ley detalla.

Respecto a las obligaciones de reportar, la Ley establece que todos los prestadores de servicios esenciales y OIV tendrán la obligación de reportar al CSIRT Nacional (Equipo de Respuesta ante Incidencias de Seguridad Informática) los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos (si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales), tan pronto les sea posible, según el siguiente esquema general:

  1. Dentro del plazo máximo de tres horas contado desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad que pueda tener impactos significativos, se deberá enviar una alerta temprana sobre la ocurrencia del evento.
  2. Dentro del plazo máximo de setenta y dos horas, una actualización de la información contemplada en la letra i), que incluya una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, si estuvieran disponibles.

Sin embargo, en caso de que la institución afectada fuera un operador de importancia vital y éste viera afectada la prestación de sus servicios esenciales a causa del incidente, la actualización de la información deberá entregarse al CSIRT Nacional en el plazo máximo de veinticuatro horas contado desde que haya tenido conocimiento del incidente.

  • Dentro del plazo máximo de quince días corridos contado desde el envío de la alerta temprana contemplada en la letra i), un informe final.
  1. En el caso de que el incidente siga en curso con posterioridad a la presentación del informe contemplado en el literal iii), este se reemplazará por un informe sobre la situación en ese momento. El informe final deberá ser presentado en el plazo de quince días corridos contado desde que se haya gestionado el incidente.

En particular, los OIV deberán informar al CSIRT Nacional sobre su plan de acción tan pronto lo hubieren adoptado. La adopción de ese plan de acción no podrá ser posterior a siete días corridos contados desde la ocurrencia del incidente.

En los informes de incidentes de ciberseguridad, deberá omitirse todo dato o información personal, conforme a lo dispuesto en la ley N° 19.628, sobre protección de la vida privada. El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en un reglamento. Por otro lado, para evaluar la importancia de los efectos de un incidente, la Ley establece los siguientes criterios:

  1. Número de personas afectadas;
  2. Duración del incidente; y
  3. Extensión geográfica con respecto a la zona afectada por el incidente.

Infracciones y sanciones

Las infracciones a las obligaciones que la Ley prescribe a los servicios calificados como esenciales y OIV se califican en leves, graves y gravísimas y traen aparejas distintas sanciones que pueden llegar hasta 40 mil UTM si se trata de un OIV.

Para la fijación de la multa se tendrá en consideración:

  • El grado en que el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones.
  • La probabilidad de ocurrencia del incidente.
  • El grado de exposición del infractor a los riesgos.
  • La gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas.
  • La reiteración en la infracción dentro del plazo de tres años, contado desde el momento en que se produjo el incidente.
  • El tamaño y la capacidad económica del infractor.

Entrada en vigencia

La Ley faculta al presidente de la República para que en el plazo de un año de publicada la Ley en el Diario Oficial, establezca mediante uno o más decretos con fuerza de ley el periodo para la vigencia de las normas establecidas, el que no podrá ser inferior a seis meses desde su publicación.

Revisa aquí la Ley 21.663.

/ Artículos relacionados

Resumen legislativo del año 2023 en privacidad y tecnología

/ Áreas relacionadas

Tecnología, ciberseguridad y protección de datos