PPU PPU PPU
PPU PPU
Español English
Inicio Inicio Nosotros Nosotros Equipo Jurídico Equipo Jurídico Servicios Legales Servicios Legales
Actualidad Legal
Abrir submenu Abrir submenu
PPU Regional Chile Colombia Perú
Oficinas Centrales Oficinas Centrales
PPU Regional PPU Regional Chile Chile Colombia Colombia Perú Perú
Trabaja con Nosotros Trabaja con Nosotros
Español English
PPU
PPU

Cuéntanos, ¿Cómo
te podemos ayudar?

Proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información
Inicio > Actualidad legal > Proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información
Chile Newsflash

Proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

 ¿Qué ocurrió?

El día martes 12 de diciembre el Senado aprobó el proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (la “Ley de Ciberseguridad”). Luego de este trámite, solo resta que el Ejecutivo promulgue la ley y se publique como tal en el Diario Oficial.

¿Por qué es importante?

El despacho de la Ley de Ciberseguridad supone un hito sumamente importante en el camino que nuestro país está trazando con la intención de robustecer la sociedad digital y que viene a acompañar otros esfuerzos ya realizados a propósito de la promulgación de (i) la Ley N°21.180 de Ley de Transformación Digital del Estado, (ii) la Ley N°21.459 que Establece Normas sobre Delitos Informáticos, y, (iii) la Ley N°21.521 que promueve la Competencia e Inclusión Financiera a través de la Innovación y Tecnología en la Prestación de Servicios Financieros (más conocida como Ley Fintec), además de otros interesantes proyectos que se encuentran actualmente en tramitación, dentro de los cuales destacan el proyecto de ley (i) que regula el Tratamiento de los Datos Personales y Crea la Agencia de Protección de Datos Personales, y (ii) que crea un Registro de Deuda Consolidada, con el objetivo de buscar mayor inclusión financiera.

Si bien aún queda mucho por recorrer y existen proyectos que llevan largo tiempo esperando ser tramitados y son fundamentales en este objetivo, la intención de los legisladores en este último tiempo ha sido clara en relación a la digitalización y su importancia para nuestro país y el contexto global que estamos viviendo, siendo una muestra palmaria de esto el sorprendente logro de la cámara de diputados y senadores para despachar el segundo y tercer trámite constitucional de la Ley de Ciberseguridad durante el mismo día y de forma unánime.

¿Cuál es el objetivo de la Ley de Ciberseguridad?

En general, la Ley de Ciberseguridad tiene por principal objetivo robustecer nuestra institucionalidad en relación con la ciberseguridad, generando un modelo de gobernanza y mecanismos adecuados para lograr tal objetivo. Para ello, la iniciativa prescribe que tiene por objeto (i) establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; (ii) establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; y, (iii) establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones que prestan servicios calificados como esenciales, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

 ¿Cuál es el contenido de la Ley?

a) Ámbito de aplicación de la Ley de Ciberseguridad y obligaciones de ciberseguridad.

Luego de las definiciones que se entenderán y principios rectores que deben ser observados en virtud de la Ley de Ciberseguridad, la primera parte de esta Ley define su ámbito de aplicación. Así, se establece que será aplicable a las instituciones que presten servicios calificados como esenciales u operadores de importancia vital.

  • Servicios esenciales (los “SE”). Serán aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestadores bajo concesión de servicio público; y por instituciones privadas que realicen las actividades enumeradas en el artículo 4°, inciso 2°, y cuyo común denominador es tratarse de servicios con impacto en la sociedad, las actividades económicas, o el medioambiente, entre otras. Es importante destacar que, además, la Agencia (que se explica más adelante) podrá calificar otros servicios como esenciales.
  • Operadores de importancia vital (los “OIV”). Serán aquellos servicios esenciales que califique la Agencia y (i) cuya provisión dependa de las redes y sistemas informáticos, y, (ii) la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en los servicios que debe proveer o garantizar. La Agencia podrá calificar en esta categoría instituciones privadas que no presenten servicios esenciales. Además, deberán contar con certificados de ciberseguridad.

b) Obligaciones de ciberseguridad.

Uno de los impactos más grande de esta Ley son los numerosos deberes consagrados en la iniciativa, que imponen una serie de desafíos a todas aquellas instituciones que estén dentro de su ámbito de aplicación, es decir, los Servicios y OIV, y suponen cambios organizativos drásticos que deberán ser llevados a cabo en un período de tiempo acotado, dado los plazos para la entrada en vigencia de la ley.

Estas obligaciones consisten, a modo general, en aplicar permanentemente medidas para prevenir, reportar y resolver incidentes de ciberseguridad, las cuales pueden ser de naturaleza tecnológica, organizacional, física o informativa. Además, tanto los SE como OIV, dada su distinta naturaleza, tendrán deberes específicos adicionales. Destaca el deber de los Servicios de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad, tan pronto como sea posible. Los OIV, además, deberán notificar al CSIRT Nacional su plan de acción, tan pronto se hubiera adoptado.

c) Institucionalidad

Uno de los objetivos fundamentales de la Ley de Ciberseguridad es el robustecimiento de la institucionalidad relacionada a esta materia, por lo que se crean numerosos organismos y se da forma a otros ya existentes.

Parte importante de la implementación de esta ley dependerá de la implementación efectiva de estos organismos y su coordinación, colaboración y comunicación, tanto entre ellas, como con los órganos de la Administración del Estado y otras autoridades sectoriales.

i. Agencia Nacional de Ciberseguridad (la “ANCI”).

Se crea la ANCI, que busca consolidar administrativamente y dotar de mayores recursos a la protección de la ciberseguridad en nuestro país.

La ANCI será un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyos objetos son (i) asesorar al Presidente en materias propias de ciberseguridad; (ii) colaborar en la protección de los intereses nacionales en el ciberespacio, (iii) coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, (iv) velar por la protección, promoción y respeto del derecho a la seguridad informática, (v) coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

Entre las atribuciones más relevantes de la ANCI está contar con facultades para fiscalizar, conocer y sancionar las infracciones establecidas en la Ley de Ciberseguridad.

ii. Consejo Multisectorial sobre Ciberseguridad (el “Consejo”).

Se crea el Consejo, que consiste en un órgano de carácter consultivo y tendrá por función asesorar y formular recomendaciones a la ANCI en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

Su integración estará compuesta por el Director o Directora de la ANCI, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil

iii. Red de Conectividad Segura del Estado.

La Red de Conectividad Segura del Estado proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado, es decir, a los Ministerios, delegaciones presidenciales regionales y provinciales, los Gobiernos Regionales, Municipalidades, Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

iv. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (la “CSIRT Nacional”).

El CSIRT Nacional es un equipo de especialistas dedicado a evitar que sucedan incidentes de ciberseguridad, y que forma parte de la ANCI. Tiene numerosas funciones, entre las que destacan (i) responder ante ciberataques o incidentes de ciberseguridad; (ii) coordinar a los CSIRT de los distintos organismos del Estado, coordinarse con el CSIRT de la Defensa Nacional (que se explica en el siguiente punto), en casos de ciberataques, y prestarles colaboración o asesoría técnica; (iii) supervisar incidentes a escala nacional; (iv) efectuar análisis dinámico de riesgos e incidentes y de conocimiento de la situación; (v) realizar entrenamiento, educación y capacitación en materia de ciberseguridad; (vi) requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos; (vii) difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad; y, (viii) elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

v. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (el “CSIRT de Defensa Nacional”).

El CSIRT de Defensa Nacional, que será responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

vi. Comité Interministerial sobre Ciberseguridad (el “Comité”).

El Comité tendrá por objetivo asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

d. Coordinación regulatoria y otras disposiciones.

La Ley de Ciberseguridad también contempla la coordinación regulatoria de la Agencia con el resto de las autoridades sectoriales. Así, en el caso que la ANCI dicte protocolos, estándares técnicos o instrucciones de carácter general, respecto de aquellas materias que tengan efectos en áreas de competencia de otra entidad sectorial, deberá remitir previamente la información relevante a dicha entidad y solicitar informe para prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración entre autoridades. La misma regla se aplica cuando una autoridad sectorial, en el ejercicio de sus atribuciones, solape los ámbitos de competencia de la ANCI.

Además, define qué son incidentes de efectos significativo (el “Incidente”), estableciendo que será considerado como tal aquel que es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Agrega, además, los criterios para determinar la importancia de un Incidente. Con todo, respecto a este punto, se definirá mediante reglamento varios aspectos relevantes, como el procedimiento para notificar un incidente, la forma, condiciones de anonimato, taxonomía del informe y periodicidad.

 e. Infracciones

Se establecen multas que pueden ascender hasta 20.000 UTM, según la gravedad de la infracción. Los OIV, además, están sujetos a sanciones especiales, dada su naturaleza, y cuyas multas ascienden hasta los 40.000 UTM.

La graduación de la multa se establece tomando en consideración la naturaleza de la infracción y las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del incidente, el grado de exposición del infractor a los riesgos, la gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas, la reiteración en la infracción dentro del plazo de 3 años contado desde el momento en que se produjo el incidente, el tamaño y la capacidad económica del infractor.

Las infracciones prescriben en el plazo de tres años contados desde su comisión.

f. Entrada en vigencia.

La entrada en vigencia de la ley y el período para su implementación es relativamente corto, considerando otras leyes similares en la materia:

  • El Presidente tiene plazo de un año contados desde la publicación de la Ley de Ciberseguridad en el Diario Oficial para determinar (i) la fecha de iniciación de actividades de la ANCI; (ii) la vigencia de las normas establecidas en ella, la cual no podrá ser inferior a seis meses desde su publicación.
  • Además, se establece un plazo de 180 días desde su publicación para que el Ministerio del Interior y Seguridad Pública expida los reglamentos señalados en la Ley de Ciberseguridad.
01 /
Abogados involucrados
Nicolás Santana
Nicolás Santana Socio
Antonio Valenzuela
Antonio Valenzuela Abogado

Publicaciones relacionadas

01 /