Con fecha 8 de abril de 2024 se publicó la nueva “Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información”, Nº 21.663, cuyo principal objetivo es velar por la debida protección de los activos informáticos correspondientes, establecer procedimientos que permitan prevenir y responder debidamente ante ciberataques y crear una nueva institucionalidad a cargo de la Ciberseguridad.
Esta ley establece una serie de obligaciones para las instituciones y empresas que presten servicios calificados como esenciales y aquellos calificados como operadores de importancia vital.
Entre los prestadores de servicios esenciales, se encuentran empresas o instituciones de salud (clínicas, hospitales, centros médicos), transporte, tecnología, empresas de distribución eléctrica, de suministro de agua, bancos, operadores de medios de pago, telecomunicaciones e infraestructura digital.
Por su parte, serán considerados operadores de importancia vital aquellos cuyo servicio dependa de las redes o sistemas informáticos, cuya afectación o interrupción tenga un impacto significativo en la seguridad y orden público, en la provisión de servicios esenciales o en el efectivo cumplimiento de las funciones del Estado.
Para la debida aplicación y fiscalización de las normas de Ciberseguridad la ley crea la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial sobre Ciberseguridad, el Comité Interministerial sobre Ciberseguridad y los Equipos de Respuesta a Incidentes de Seguridad Informática. De entre estas instituciones destaca el rol de la ANCI, que tendrá la facultad de regular, fiscalizar y sancionar a prestadores de servicios esenciales.
Entre las obligaciones que la ley impondrá a los prestadores de servicios esenciales y a los operadores de importancia vital, destacan las siguientes:
- La implementación de protocolos y estándares para la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación de su impacto;
- La implementación de un sistema de gestión de seguridad de la información continuo;
- Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información;
- Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad;
- Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos;
- Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene;
- Designar un delegado de ciberseguridad, quien actuará como contraparte de la ANCI.
La ley establece sanciones para el caso de incumplimiento de las obligaciones que contempla, las cuales serán aplicadas por la ANCI o la autoridad sectorial correspondiente.
Las infracciones se sancionan con multas y, para su aplicación, las infracciones se clasifican en leves, graves o gravísimas:
a. Infracciones leves: multas de hasta 5.000 UTM
b. Infracciones graves: multas de hasta 10.000 UTM
c. Infracciones gravísimas: multas de hasta 20.000 UTM
En caso de que el infractor sea un operador de importancia vital, las sanciones pueden aumentar al doble.
Entrada en vigencia
La ley establece que corresponderá al Presidente de la República emitir uno o más decretos que, entre otros aspectos, regule la entrada en vigencia de la ley (que no podrá ser inferior a 6 meses desde su publicación), e indicar la fecha de iniciación de la ANCI.
