No items found.
Insights
Apr 29, 2024

Ley nº 21.663: Ley Marco de Ciberseguridad

Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

El pasado lunes 8 de abril se publicó en nuestro país la Ley N°21.633, Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (en adelante, la “Ley”), la cual tiene por objeto definir los principios fundamentales y las estructuras esenciales para salvaguardar los derechos de las personas en el entorno digital.

¿Qué es la Ciberseguridad?

La mencionada Ley define la ciberseguridad como la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

A su vez, esta definición nos entrega 4 conceptos clave, que la Ley pasa a definir de la siguiente manera:

  1. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.
  2. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.
  3. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado
  4. Resilencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de ciberseguridad.
     

Ámbito de aplicación de la Ley

La Ley aplica a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital.

Son servicios esenciales aquellos que son (i) provistos por los Órganos de la Administración del Estado y por el Coordinador Eléctrico Nacional; (ii) prestados bajo concesión de servicio público; y, (iii) proveídos por instituciones privadas que realicen las siguientes actividades:

  • Generación, transmisión o distribución eléctrica;
  • Transporte, almacenamiento o distribución de combustibles;
  • Suministro de agua potable o saneamiento;
  • Telecomunicaciones;
  • Infraestructura digital;
  • Servicios digitales, servicios de tecnología de la información gestionados por terceros;
  • Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de sus infraestructura respectiva;
  • Banca, servicios financieros y medios de pago;
  • Administración de prestaciones de seguridad social;
  • Servicios postales y de mensajería;
  • Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos;
  • Producción y/o investigación de productos farmacéuticos, y
  • Otros servicios calificados como esenciales por la Agencia Nacional de Ciberseguridad (en adelante, la “ANCI”).

La ANCI establecerá a los prestadores de servicios esenciales que sean calificados como operadores de importancia vital, según cumplan con dos requisitos (i)que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y, (ii) que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.

Asimismo, la ANCI podrá calificar como operadores de importancia vital a instituciones privadas que, además de los requisitos ya indicados, (i) cumplan con un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o bien,(ii) por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

La ANCI deberá revisar y actualizar la calificación de operadores de importancia vital cada 3 años.

Deberes

  • Deber de implementar los protocolos y estándares establecidos por la ANCI, así como delos estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva.
  • Deber de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, dentro de un plazo máximo de 3 horas desde que se tome conocimiento de su ocurrencia.
    • Dicho reporte deberá ser, adicionalmente, actualizado en un plazo de 24horas, en el caso de operadores de importancia vital, y de 72 horas, en los demás casos.   
    • Por último, deberá remitirse un informe final, dentro del plazo de 15 días desde el reporte.     
    • Se entenderá por “efectos significativos” los indicados en el artículo 27 de la Ley.
  • Deberes específicos de los operadores de vital importancia
    • Implementar un sistema de gestión de seguridad de la información continuo;
    • Mantener un registro de las acciones ejecutadas;
    • Elaborar y mantener planes de continuidad operacional y ciberseguridad, los que deberán certificarse y someterse a revisiones periódicas;
    • Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas;
    • Adoptar, de forma oportunidad y expedita, medidas para reducir los impactos y la propagación de los incidentes de seguridad;
    • Informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos;
    • Contar con programas de capacitación, formación y educación continua de sus colaboradores, y
    • Designar un delegado de ciberseguridad

Nueva institucionalidad

La Ley crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad, mediante un sistema de colaboración público-privada, considerando además la creación de algunas entidades:

  1. Agencia Nacional de Ciberseguridad (ANCI), la cual tendrá por objeto (i) asesorar al Presidente de la República en materias de ciberseguridad, (ii) colaborar en la protección de los intereses nacionales en el ciberespacio, (iii) coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, (iv) velar por la protección, promoción y respeto del derecho a la seguridad informática, y (v) coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

Para cumplir con estos objetivos, la ANCI estará dotada de una serie de facultades, entre las que destacan: (i) dictar protocolos, estándares e instrucciones generales y particulares, de carácter obligatorio; (ii) aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; (iii) fiscalizar el cumplimiento de la Ley; (iv) requerir información a las entidades a las que aplica la Ley; (v) instruir el inicio de procedimientos sancionatorios y sancionar las infracciones e incumplimientos de los sujetos obligados.

  1. Consejo Multisectorial sobre Ciberseguridad (Consejo), cuyo objetivo será asesorar y formular recomendaciones a la ANCI en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.
  2. Red de Conectividad Segura del Estado (RCSE), que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado.
  3. Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), los que tendrán por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad en forma rápida y efectiva. Entre ellos se encuentran el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT de Defensa Nacional) y los otros CSIRT que pertenezcan a organismos de la Administración del Estado.
  4. Comité Interministerial sobre Ciberseguridad, que tendrán por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

Sanciones

La Ley clasifica las infracciones en leves (con multas de hasta 5.000 UTM), graves(con multa de hasta 10.000 UTM) y gravísimas (con multas de hasta 20.000UTM).

Ahora, en caso de tratarse de un operador de importancia vital, las multas podrán ser hasta por el doble de los montos ya indicados, llegando a 40.000 UTM.

Vigencia

A contar de la fecha de publicación de la Ley, el Presidente de la República tendrá el plazo de 1 año para dictar uno o más Decretos con Fuerza de Ley determinando el periodo para la entrada en vigencia de las normas de la Ley, el cual no podrá ser inferior a 6 meses desde su publicación.

 Para cualquier cuestión relacionada con este tema, puede contactar con Javier Edwards o Francisca Chavez.

Stay up to date on the latest news, views and insights from our team of legal experts.

No items found.

Sign up for our newsletter

ES
EN
Find your legal partner today, and supercharge your success.
Thank you! Your submission has been recieved!
Oops! Something went wrong while submitting the form.
Hello, I am the Ontier Assistant!

I can help you make your experience more relevant. Use the filters to tailor content to your interest, and change the language.