El Senado de Chile aprueba la Ley Marco de Ciberseguridad e Infraestructura Crítica de la información
Con el objetivo de robustecer al país en materia de ciberseguridad y fortalecer el trabajo preventivo, Chile se convierte en el primer país de América Latina y El Caribe en contar con una normativa de tal envergadura.
El Senado chileno aprobó el 13 de diciembre de 2023, por amplia mayoría (42 votos), las enmiendas a la Ley Marco de Ciberseguridad e Infraestructura Crítica, quedando pendiente la revisión del Tribunal Constitucional y su despacho a ley para ser publicada y promulgada.
Chile se convierte así en el primer país de América Latina y El Caribe en tener un proyecto de tal envergadura, que define cuáles son los servicios esenciales, los operadores de instancia vital y crea la Agencia Nacional de Ciberseguridad (ANCI). El objetivo es robustecer al país en materia de ciberseguridad al generar una nueva institucionalidad; fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
Disposiciones generales
El texto legal crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad, para mejorar la prevención, contención, resolución y respuesta de incidentes y ciberataques. El modelo se basa en un sistema de colaboración público-privada, con obligaciones de ciberseguridad y sanciones diferenciadas por riesgos y tamaño.
Entre los principios rectores que deben observarse por los obligados se incluyen la responsabilidad, la cooperación con la autoridad, la coordinación, la protección integral, la seguridad, la privacidad por defecto y desde el diseño, la confidencialidad de los sistemas de información y el control de daños.
Se crea la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial sobre Ciberseguridad, un Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), se habilita la creación de CSIRT Sectoriales, y el CSIRT de la Defensa Nacional.
La nueva regulación crea también el concepto de ciberespacio y el Registro Nacional de Incidentes de Seguridad. Además, establece las atribuciones y obligaciones de los órganos del Estado, así como los deberes de instituciones privadas que posean infraestructura de la información calificada como crítica.
Ámbito de aplicación
A través de la Ley Marco se obliga a instituciones públicas y privadas que califiquen como prestadores de Servicios Esenciales, y a aquellas que además de prestar Servicios Esenciales sean calificadas como Operadores de Importancia Vital (OIV) por la nueva Agencia Nacional de Ciberseguridad.
Obligaciones
Se distingue entre:
- Deberes generales: aplicables a Prestadores de Servicios Esenciales y OIV. Incluye la aplicación permanente de medidas destinadas a la prevención, reporte y resolución de incidentes relativos a la ciberseguridad. Además de la obligación de reportar al CSIRT aquellos ciberataques e incidentes en la ciberseguridad que puedan llevar a efectos significativos.
- Deberes específicos: aplicable únicamente a OIV, incluyendo la implementación de un sistema de gestión de seguridad de la información, elaboración de planes de continuidad operacional y ciberseguridad; y la obligación de obtener certificaciones de ciberseguridad extendidos por entidades partícipes del registro de entidades certificadoras autorizadas.
Agencia Nacional de Ciberseguridad (ANCI)
Corresponde a un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio. Su carácter es técnico y especializado, con el objeto de asesorar al presidente de la República en materias propias de ciberseguridad.
Asimismo, colaborará en la protección de los intereses nacionales en el ciberespacio y coordinará el actuar de las instituciones con competencia en materia de ciberseguridad. También velará por la protección, promoción y respeto del derecho a la seguridad informática y supervisará la acción de los organismos estatales en esta materia. Para ello, tendrá facultades reguladoras, sancionadoras y fiscalizadoras.
Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT)
Dependiente del Ministerio de Defensa, es responsable de la coordinación, protección y seguridad de las redes y sistemas de servicios esenciales y operadores vitales para la defensa nacional.
Se habilita la creación de CSIRT sectoriales.
Comité Interministerial de Ciberseguridad
Integrado por los subsecretarios del Interior, Defensa, RR.EE, Secretaría General de la Presidencia (Segpres), Telecomunicaciones, Hacienda y Ciencias, Tecnología, Conocimiento e Innovación. Junto a ellos, estarán quienes dirijan las Agencias Nacional de Inteligencia (ANI) y de Ciberseguridad.
Además, asesorará al presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad y aprobará la lista de servicios esenciales y de operadores de importancia vital propuestos por la ANCI.
Profesional de contacto
-
+56 2 29419000