El Congreso Nacional aprobó el proyecto de ley que establece el marco jurídico para la ciberseguridad e infraestructura crítica de la información en Chile (Boletín Nº 14.847-06).
Este texto, que está pronto a ser publicado como ley de la república, marca un hito significativo en el fortalecimiento de la seguridad digital en Chile, pues introduce cambios sustanciales en la manera en que diversas empresas e instituciones deben abordar los desafíos de la ciberseguridad, ofreciendo un marco robusto para la protección de la infraestructura crítica y los datos personales de sus ciudadanos.
Por supuesto, con infraestructura crítica nos referimos a los sistemas y activos de tecnologías de la información que son vitales para el funcionamiento de una sociedad, esto es, aquellos cuya interrupción o disfunción podría tener un impacto debilitante en la seguridad nacional, la economía, la salud pública y otras funciones vitales de un país.
A continuación, le informamos, en líneas generales, cuáles son los principales aspectos de dicha ley y qué acciones desarrolla.
Principales aspectos de la Ley
- Nueva institucionalidad. La ley establece una nueva institucionalidad en el ámbito de la ciberseguridad, que incluye la creación de la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial sobre Ciberseguridad y un Equipo de Respuesta ante Incidentes de Seguridad Informática (el CSIRT Nacional), entre otros. Estas entidades tendrán un papel crucial en establecimiento de un marco institucional en cuestiones de ciberseguridad y coordinar actuaciones, sin perjuicio de las facultades de actuación del CSIRT de la Defensa Nacional.
- La ANCI. Esta nueva institución, dotada de personalidad jurídica y patrimonio propio, contará con facultades reguladoras, sancionadoras y fiscalizadoras, asumiendo un carácter técnico y especializado en la protección de los intereses nacionales en el ciberespacio.
- Sujetos obligados. La nueva legislación impone a los prestadores de “servicios esenciales” y “operadores de importancia vital”, incluyendo sectores como servicios públicos, telecomunicaciones, salud, energía, transporte, energía, finanzas, servicios digitales y servicios de tecnología de la información gestionados por terceros, etcétera, una serie de obligaciones cuyo cumplimiento es supervigilado.
- Obligaciones. Los sujetos obligados deberán llevar una serie de medidas, incluyendo la implementación de sistemas de gestión de seguridad de la información, la elaboración de planes de continuidad operacional y ciberseguridad, así como la realización de revisiones y simulacros periódicos, y la designación de un delegado de ciberseguridad, entre otros.
Acciones a seguir
Esta ley entrará en vigor de forma diferida, ofreciendo a las empresas e instituciones un período de transición para adaptarse a estas nuevas disposiciones.
Es fundamental que las empresas e instituciones:
- Determinen si están sujetas o no a esta ley.
- Comprendan las implicancias de la misma.
- Analicen la situación institucional y su estatus de cumplimiento, determinando qué pasos deben seguir para cumplir con los objetivos.
- Comiencen a ajustar sus políticas y protocolos de seguridad informática para alinearse con los requisitos establecidos.
- Avancen en la formación de su personal y en la sensibilización en materia de ciberseguridad.
Sanciones.
La Ley de Ciberseguridad clasifica las distintas infracciones en leves, graves y gravísimas. Las infracciones a la ley conllevarán la imposición de las siguientes multas:
- Infracciones leves: Multa de hasta 5.000 UTM;
- Infracciones graves: Multa de hasta 10.000 UTM; e
- Infracciones gravísimas: Multa de hasta 20.000 UTM.
Las multas podrán llegar al doble en caso de tratarse de un OIV (hasta 40.000 UTM).
Vigencia de la Ley de Ciberseguridad.
Una vez publicada la Ley de Ciberseguridad en el Diario Oficial, el Presidente de la República tendrá el plazo de 1 año para expedir decretos con fuerza de ley para implementar la ley, incluyendo el plazo para el inicio de actividades de la Agencia y determinar un periodo para la vigencia de las normas establecidas por la Ley de Ciberseguridad, el cual no podrá ser inferior a seis meses desde su publicación.
NOS GUSTA TU OPINIÓN, ¿QUIERES COMENTAR?, PUEDES HACERLO AQUÍ
Solicita una reunión con unos de nuestros ejecutivos y con gusto atenderemos tus inquietudes.