Noticias

/ Proyecto de ley sobre ciberseguridad ingresa a tramitación parlamentaria

26 Abril, 2022

El último día del gobierno del presidente Piñera se presentó el proyecto de ley marco sobre ciberseguridad e infraestructura. Esta iniciativa tiene por objeto establecer la institucionalidad necesaria para robustecer la ciberseguridad y crear cultura pública en seguridad digital.

Macarena Gatica
Socia
Alessandri Abogados

El último día del gobierno del presidente Piñera se presentó el proyecto de ley marco sobre ciberseguridad e infraestructura (boletín N° 14.847-06).

Esta iniciativa, en línea con la política nacional de ciberseguridad, tiene por objeto establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo, crear cultura pública en seguridad digital y resguardar la seguridad de las personas en el ciberespacio.

Para ello, el proyecto de ley crea la Agencia Nacional de Ciberseguridad y los siguientes equipos de respuesta de incidentes de seguridad informática “C-Sirt” (por sus siglas en inglés Computer emergency response team), C-Sirt Nacional, C-Sirt de Gobierno, C-Sirt de Defensa, los C-Sirt sectoriales y el Comité Interministerial de Ciberseguridad.

Al interior de la Agencia se creará el Consejo Técnico, el que estará encargado de determinar anualmente los sectores o instituciones que poseen infraestructura critica de la información. Conforme a esto, dichas instituciones deberán implementar un sistema de gestión de riesgo, registro de las acciones ejecutadas, un plan de continuidad operacional y de ciberseguridad (actualizados al menos anualmente), operaciones de revisión, de simulacros y medidas para reducir el impacto.

Se destaca en el boletín la coordinación entre los C-Sirt sectoriales y el ente regulador de dicho sector, tanto en caso de incidencias y definición de estándares como con la Agencia en caso de la aplicación de multas.

Esta iniciativa es un gran avance en materia de gestión de riesgos de ciberseguridad. Sin embargo, solo se establecen obligaciones respecto de industrias con infraestructura critica de la información. Así, deja de ser una ley marco y pasa a ser de infraestructura crítica. Además, se omite el riesgo que presentan las industrias no reguladas, ya que la mayoría de estas instituciones ya cuentan con regulaciones dictadas por sus entes reguladores, tales como bancos e instituciones financieras, telecomunicaciones, aseguradoras, sector eléctrico, entre otras.