LEY MARCO SOBRE CIBERSEGURIDAD

El día 8 de abril de 2024, se publicó en el Diario Oficial la Ley Marco de Ciberseguridad (Ley N° 21.663) que establece una nueva institucionalidad pública para fortalecer la ciberseguridad, tanto en el sector público como en el privado. 

La Ley establece:

  1. La institucionalidad, principios y la normativa general en materia de ciberseguridad, creando la Agencia Nacional de Ciberseguridad (ANCI), ente rector en la materia con capacidades normativas y de fiscalización sobre los entes regulados.
  1. Establece los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad, fijando plazos de reporte.
  1. Establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones calificadas como esenciales y operadores de importancia vital.
  1. Establecer un marco de infracciones y sanciones.
  1. Establece deberes de reporte y crea el CSIRT Nacional.

¿A quiénes aplica la ley?

  1. Instituciones del sector público tales como Ministerios, las delegaciones presidenciales regionales y provinciales, los GORES, Municipalidades, las FFAA y OOPP y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
  1. Empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.
  1. Empresas privadas que presten servicios calificados como esenciales, según lo establecido en la ley, y aquellos que sean calificados como operadores de importancia vital.

A su vez, son calificados como esenciales: 

  1. Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional.
  1. Los prestados bajo concesión de servicio público.
  1. Los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.

Todos los obligados a esta ley, deberán informar a la ANCI todos sus incidentes y deberán cumplir con los estándares dispuestos por esta nueva autoridad, debiendo adoptar e implementar sistemas de gestión de ciberseguridad, mantener labores de monitoreo, planes de continuidad operaciones, nombrar un delegado de ciberseguridad, entre otras obligaciones. Las sanciones a incumplimientos pueden llegar hasta 40.000 UTM. 

Belmar Asesores