LEY MARCO SOBRE CIBERSEGURIDAD
El día 8 de abril de 2024, se publicó en el Diario Oficial la Ley Marco de Ciberseguridad (Ley N° 21.663) que establece una nueva institucionalidad pública para fortalecer la ciberseguridad, tanto en el sector público como en el privado.
La Ley establece:
- La institucionalidad, principios y la normativa general en materia de ciberseguridad, creando la Agencia Nacional de Ciberseguridad (ANCI), ente rector en la materia con capacidades normativas y de fiscalización sobre los entes regulados.
- Establece los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad, fijando plazos de reporte.
- Establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones calificadas como esenciales y operadores de importancia vital.
- Establecer un marco de infracciones y sanciones.
- Establece deberes de reporte y crea el CSIRT Nacional.
¿A quiénes aplica la ley?
- Instituciones del sector público tales como Ministerios, las delegaciones presidenciales regionales y provinciales, los GORES, Municipalidades, las FFAA y OOPP y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
- Empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
- Empresas privadas que presten servicios calificados como esenciales, según lo establecido en la ley, y aquellos que sean calificados como operadores de importancia vital.
A su vez, son calificados como esenciales:
- Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional.
- Los prestados bajo concesión de servicio público.
- Los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.
Todos los obligados a esta ley, deberán informar a la ANCI todos sus incidentes y deberán cumplir con los estándares dispuestos por esta nueva autoridad, debiendo adoptar e implementar sistemas de gestión de ciberseguridad, mantener labores de monitoreo, planes de continuidad operaciones, nombrar un delegado de ciberseguridad, entre otras obligaciones. Las sanciones a incumplimientos pueden llegar hasta 40.000 UTM.
Belmar Asesores