Tal como se ha indicado en la prensa, quedó en condiciones de ser promulgada y publicada la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, que aplica a los servicios esenciales y en especial a lo que se denomina un operador de importancia vital, en cuyo caso queda obligado, entre otras materias. a contar con un sistema de gestión de seguridad.
A continuación, mayores detalles, sin perjuicio de que te adjuntamos el texto comparado, generado por el Congreso Nacional:
1.- Vigencia
No será inmediata ya que dependerá de varios decretos que la implementen (un año para diversos decretos de implementación, pero, además, la vigencia no podrá ser antes de seis meses desde la publicación). Parece algo contradictorio, pero se refieren a diversas materias, por lo que la vigencia será gradual.
2.- Institucionalidad
Se crea una nueva institucionalidad, que considera la Agencia Nacional de Ciberseguridad (ANCI), cuya función será gestionar los incidentes de ciberseguridad, regular, fiscalizar. Además, el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (“CSIRT”) de carácter técnico, dependiente de la ANCI, responsable, entre otras facultades de: responder a incidentes de seguridad informática cuando sean de impacto significativo; supervisar incidentes a escala nacional; realizar entrenamiento, educación y capacitación en materia de ciberseguridad; difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad; entre otras.
Se le otorga un rol a la Comisión para el Mercado Financiero respecto de sus regulados, la cual “podrá establecer normas de carácter general y normas técnicas sobre ciberseguridad aplicables al sector respectivo, sin necesidad de solicitar la aprobación de la Agencia, siempre y cuando tengan un alcance distinto a las normas dictadas por esta última”.
3.- Ciberataque
Se define como Ciberataque el “intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático”.
4.- Ámbito de aplicación
La ley aplica a las instituciones que presten servicios calificados como esenciales”, que se definen como “…aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos” (artículo 4).
Pero, además, conforme al artículo 5, un prestados de servicios esenciales podría ser calificado como operadores de importancia vital, si reúnen los siguientes
- Que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y
- Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.
Además, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados en el inciso anterior y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
5.- Deberes
Entre los deberes destaca uno general para todos los sujetos a la ley quienes “deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso. El cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad
dictados de conformidad a la regulación sectorial respectiva” (artículo 7).
Pero para los operadores de importancia vital deben:
a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.
Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.
b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de
seguridad de la información, de conformidad a lo que señale el reglamento.
c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse en conformidad al artículo 28, y someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de dos años.
d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento.
e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.
f) Contar con las certificaciones que señala el artículo 28, este artículo por su parte indica: “Centros de Certificación. Los operadores de importancia vital deberán obtener las certificaciones de ciberseguridad que señala esta ley y las que determine la Agencia mediante reglamento”
g) Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos
personales y no exista otra disposición legal que requiera su notificación; o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiera ocurrido.
h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.
i) Designar un delegado de ciberseguridad quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.”.
Deber de reportar. Todas las instituciones públicas y privadas tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en los términos del artículo 27, tan pronto les sea posible”
6.- Sanciones
Pueden ser leves, graves y gravísimas, en que existen, además, situaciones especiales para los operadores de importancia vital, como por ejemplo no contar con un sistema de gestión de seguridad.Las multas pueden llegar a los 40.000 UTM si se trata de un operador de importancia vital.
Informe preparado por SustainaValue
Diciembre 2023