PUBLICACIÓN DE LEY MARCO DE CIBERSEGURIDAD

Con fecha 08 de abril de 2024, se publicó en el Diario Oficial la Ley Marco de Ciberseguridad N.º 21.663, la cual tiene el propósito de regular y establecer la institucionalidad estatal que coordinará las acciones en ciberseguridad aplicables a las ‘instituciones prestadoras de servicios esenciales’ y a los ‘operadores de vital importancia’, según los criterios de calificación establecidos por la misma ley.

La regulación regirá indistintamente para (1) organismos de la Administración del Estado o (2) instituciones privadas; utilizándose como criterio prevalente que “presten servicio esenciales” (o, en su caso, se estimen “operadores de importancia vital”). En este aspecto, la propia ley se encarga de listar las instituciones privadas que se estiman esenciales, atribuyendo un rol residual a la Agencia Nacional de Ciberseguridad para calificar como “esencial” los servicios prestados por particulares (caso a caso) atendiendo a distintos criterios de relevancia.

Es importante destacar que, en ambos casos, éstas instituciones serán obligadas a (1) implementar las medidas de prevención y gestión de riesgos de ciberseguridad definidas por la Agencia Nacional (o regulador sectorial) y (2) reportar a la CSIRT Nacional los incidentes o ciberataques de que sean objeto. Todo ello sin perjuicio del catálogo de obligaciones especificas que la ley previó para los Operadores de Importancia Vital, entre las que se contempla; el deber de implementar un sistema de gestión de seguridad y de designar un delegado de ciberseguridad que actuará como contraparte ante la Agencia de Ciberseguridad, entre otros.

En lo relativo al plano institucional, la ley se encarga crear el siguiente esquema de organismos, del que solo detallaremos el rol de la Agencia y el CSIRT Nacional.

1. Agencia Nacional de Ciberseguridad.
2. Consejo Multisectorial sobre la Ciberseguridad.
3. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática: CSIRT Nacional.
4. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional.
5. Comité Interministerial sobre Ciberseguridad.

Entre las funciones más importantes de la Agencia Nacional de Ciberseguridad destacan las atribuciones para: dictar y hacer cumplir protocolos y estándares en ciberseguridad, coordinar el CSIRT Nacional y otros CSIRT estatales, gestionar el Registro Nacional de Incidentes de Ciberseguridad y su facultad para calificar los “servicios esenciales” y los  “operadores de importancia vital”.

Por su parte, en el plano más operativo, destaca el rol de la CSIRT Nacional, unidad inserta dentro de la Agencia Nacional de Ciberseguridad, cuyo principal rol será el responder ante ciberataques o incidentes de ciberseguridad que tengan el carácter de “significativo” sea que afecte a la Administración del Estado o a instituciones privadas que presente servicios esenciales.

En lo que respecta a las infracciones y sanciones, la ley asigna preeminentemente a las autoridades sectoriales el rol de fiscalizar y sancionar la normativa sobre ciberseguridad que hubieren dictado para su sector. Fuera de dicho caso, será la Agencia Nacional quien fiscalice y sancione las infracciones de la normativa de ciberseguridad. Es importante destacar que para el caso de la autoridad sectorial la normativa debe ser a lo menos equivalente al de la Agencia y que las sanciones de la Agencia van del 5.000 UTM en el caso de infracciones leves a 40.000 UTM en el caso de infracciones gravísima, contemplándose en el plano recursivo, los medios de impugnación establecidos en la Ley No. 19880 y/o el reclamo de ilegalidad ante la Corte de Apelaciones competente.

Finalmente, conforme lo dispuesto por el artículo 1ero transitorio de la Ley, el inicio de vigencia de ésta Ley estará supeditado a la dictación por parte del Presidente de la República, de uno o más decretos que definirán la entrada en vigor de la norma, el que no podrá ser inferior a seis meses desde su publicación.