Ley de Marco de Ciberseguridad: ¿cómo afectará a las empresas privadas?
El 26 de marzo de 2024, se promulgó la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
La Ley busca garantizar la protección y continuidad de los servicios esenciales en caso de ciberataques y aplica determinadas obligaciones a las empresas privadas y servicios públicos que considera operadores de vital importancia de dichos servicios esenciales. También crea la Agencia Nacional de Ciberseguridad (ANCI), como nuevo organismo regulador autorizado para hacer cumplir la ley.
Por ahora, no hay fecha prevista para la entrada en vigor de esta Ley. El sistema jurídico chileno faculta al presidente de la República para emitir decretos con fuerza de ley con el objetivo de brindar más información sobre la implementación, así como el inicio de actividades de la ANCI dentro del plazo de un año o más luego de la publicación de la Ley en el Diario Oficial. Los decretos no pueden tener una fecha de implementación menor a seis meses a partir de su publicación.
A continuación, se presentan los principales aspectos de la nueva normativa a considerar como prestador de servicios esenciales:
¿Qué son los servicios esenciales y quiénes son los operadores de estos?
Los servicios esenciales son aquellos provistos por instituciones privadas que realizan las siguientes actividades:
- Generación, transmisión o distribución eléctrica
- Transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento
- Telecomunicaciones e infraestructura digital
- Servicios digitales y servicios de tecnología de la información gestionados por terceros
- Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva
- Banca, servicios financieros y medios de pago
- Administración de prestaciones de seguridad social
- Servicios postales y de mensajería
- Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos
- La producción y/o investigación de productos farmacéuticos
Además, se consideran servicios esenciales a aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional o los prestados bajo concesión de servicio público.
¿Pueden otros servicios ser considerados como esenciales?
Sí. La ANCI podrá calificar otros servicios como esenciales mediante resolución fundada del director o directora nacional cuando su afectación pueda causar un grave daño a: (1) la vida o integridad física de la población o a su abastecimiento, (2) sectores relevantes de las actividades económicas, (3) el medioambiente, (4) el normal funcionamiento de la sociedad o de la Administración del Estado, la defensa nacional o la seguridad y el orden público.
La ANCI puede también califica otro servicio como esencial mediante una consulta pública, la cual se regirá por las disposiciones de la Ley N° 19.880, que establece las bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública contemplará los aspectos del procedimiento que sean necesarios para su correcta ejecución.
Además de los servicios ya enumerados precedentemente, se espera que la ANCI identifique, mediante resolución exenta, infraestructuras, procesos o funciones específicos que serán calificados como esenciales.
¿Qué tipo de incidentes estarán obligados a notificar los proveedores de servicios esenciales y a quién?
Los operadores de servicios esenciales deberán reportar, tan pronto les sea posible, los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional). Se consideran incidentes significativos a aquellos que interrumpan la continuidad de un servicio esencial o afecten la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales.
¿Qué otras obligaciones deben cumplir los operadores de servicios esenciales?
Deben aplicar de manera permanente las medidas (naturaleza tecnológica, organizacional, física o informativa) para prevenir, reportar y resolver incidentes de ciberseguridad.
Adicionalmente, deben implementar los protocolos y estándares que establezca la ANCI, así como los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva.
La ANCI deberá establecer medidas de seguridad diferenciadas según el tipo de organización de que se trate, teniendo especialmente en consideración las características y posibilidades de las pequeñas y medianas empresas definidas por la Ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.
Para más información, contacte al autor.