Con fecha 8 de abril de 2024, fue publicada en el Diario Oficial la Ley N° 21.663, Ley Marco de Ciberseguridad.
Antecedentes
La ciberseguridad es un tema recurrente en la discusión pública, pues en una sociedad que ha comenzado a transitar desde los soportes físicos hacia la infraestructura de la información, el permanente riesgo de incidentes de ciberseguridad y ciberataques comienza a formar parte de los elementos que deben considerarse. En este sentido, la gestión del riesgo y el control de la vulnerabilidad, son elementos de suyo relevantes.
Es importante señalar, que la ciberseguridad es clave en todo el proceso de adaptabilidad a la sociedad digital, para la aplicación y desarrollo de tecnologías como la inteligencia artificial, en los diversos procesos socio-relacionales, en la generación de servicios y los procesos productivos. Sin embargo, toda esa potencialidad se puede transformar en riesgo, si no se adoptan los procesos y estándares de una cultura de ciberseguridad, con enfoque colaborativo y sistémico.
Dentro de este contexto, en Chile se hizo necesario una institucionalidad en ciberseguridad, para coordinar esfuerzos que permitan enfrentar los nuevos desafíos de seguridad pública, dado por el uso masivo y extensivo de las tecnologías. Por este motivo, se requiere un órgano encargado de la seguridad en el ciberespacio, que proteja los bienes y activos de la sociedad digital.
En definitiva, nuestro país requiere una institucionalidad pública que se coordine con el sector privado de manera permanente, para garantizar la seguridad en el ciberespacio, que ayude a prevenir los delitos informáticos y proteja la infraestructura crítica de la información.
Objetivo
La nueva ley tiene por objeto establecer la institucionalidad indispensable con la finalidad de robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
En este orden de ideas, la normativa busca establecer los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de ciertas instituciones , y los mecanismos de control, supervisión y de responsabilidad ante infracciones.
Contenido
En un primer acercamiento, el texto establece que la Administración del Estado estará constituida por los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
Por otra parte, se indica que las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
La ley crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad, para mejorar la prevención, contención, resolución y respuesta de incidentes y ciberataques. El modelo se basa en un sistema de colaboración público-privada, con obligaciones de ciberseguridad y sanciones diferenciadas por riesgos y tamaño.
En síntesis, la nueva institucionalidad pretende velar por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias. Para esto, adopta las medidas necesarias e idóneas para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan las redes y sistemas informáticos, incluyendo las herramientas de cifrado.
Definiciones básicas
Para el cabal entendimiento de la regulación, se establecen ciertas definiciones básicas, entre las que destacan:
– Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.
– Ciberataque: intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático.
– Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.
– Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos.
– Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del mismo.
Principios rectores
La normativa consagra también los principios rectores en la materia, entendiéndolos como aquellos criterios normativos de aplicación general, que cumplen además una función integradora e interpretativa, determinando el sentido y alcance del proyecto de ley en su conjunto.
Los principios son los siguientes: principio de control de daños, de cooperación con la autoridad, de coordinación, de seguridad en el ciberespacio, de respuesta responsable, de seguridad informática, de racionalidad, y por último el principio de seguridad y privacidad por defecto y desde el diseño.
Entre ellos cabe destacar el Principio de Seguridad en el Ciberespacio, que consiste en que el Estado velará por que todas las personas puedan participar de un ciberespacio seguro, por lo que otorgará especial protección a las redes y sistemas informáticos que contengan información de aquellos grupos de personas que suelen ser en mayor medida objeto de ciberataques.
Servicios esenciales
La presente ley se aplicará a las instituciones que presten servicios calificados como esenciales, y a aquellas que sean calificadas como operadores de importancia vital.
Se consideran servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.
La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del Director o Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.
Operadores de importancia vital
La Agencia establecerá mediante resolución dictada por el Director o la Directora Nacional, a los prestadores de servicios esenciales que sean calificados como operadores de importancia vital. La Agencia podrá calificar como operadores de importancia vital a quienes reúnan los siguientes requisitos:
1. Que la provisión de dicho servicio dependa de las redes y sistemas informáticos, y
2. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
Además, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados, y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
Agencia Nacional de Ciberseguridad
Para poder lograr los objetivos que propone esta ley, se crea la Agencia Nacional de Ciberseguridad (ANCI), como uno de los elementos centrales de esta nueva institucionalidad de protección de los ambientes digitales. Ésta será un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo propósito será asesorar al Presidente de la República en materias propias de ciberseguridad.
Por otra parte, la Agencia deberá colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
Para el ejercicio de sus funciones, esta nueva agencia del Estado contará con facultades reguladoras, sancionadoras y fiscalizadoras.
Consejo Multisectorial sobre Ciberseguridad
La presente ley también crea este nuevo organismo de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.
Otras disposiciones
Dentro del contenido de la nueva norma, cabe destacar la creación del Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática (CSIRT), que tendrá como principal función la de responder ante ciberataques o incidentes de ciberseguridad cuando éstos sean de efecto significativo.
Además, deberá coordinar a los nuevos CSIRT que se crearán para las distintas ramas del Estado, servir de punto de enlace con entidades extranjeras en el intercambio de información, entregar asesoría técnica para la realización de acciones que permitan una mayor ciberseguridad en las instituciones del Estado, solicitud de información sobre incidentes y vulnerabilidades, difusión de alertas y elaboración de criterios técnicos para la categorización de incidentes o vulnerabilidades eximidas de notificación.
El texto legal también establece el deber de reserva de información en el sector público en materia de ciberseguridad, señala las infracciones a las obligaciones que esta ley prescribe a los sujetos obligados, y finalmente detalla las sanciones al incumplimiento de la nueva normativa.
Modificaciones
La ley en comento modifica los siguientes cuerpos legales:
– Ley N° 20.424, Estatuto orgánico del Ministerio de Defensa Nacional
– Ley N° 21.459, Establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest
