PDL 14847-06 Establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
Dentro de los aspectos más relevantes, se encuentra que establece un marco regulatorio para el desarrollo de la ciberseguridad estableciendo principios y normativas.
Los obligados son las instituciones públicas y privadas que califique como
Prestados Esenciales y
Operadores de importancia Vital (OJV) definidos por la Nueva
Agencia nacional de Ciberseguridad.
Respecto a la Prestadores Esenciales de instituciones privadas se enumeran las siguientes actividades
; “que realicen actividades de generación, transmisión o distribución eléctrica, transporte, almacenamiento o distribución de combustible, suministros de agua potable o saneamiento, telecomunicaciones, infraestructura digital, servicios digitales, servicios de tecnología de la información gestionados por terceros, transporte terrestre, aéreo, ferroviario o marítimo, banca, servicios financieros y medios de pago, administración de prestaciones de seguridad social, servicios postales y de mensajería, prestaciones institucionales públicas y privadas de salud, y la producción/investigación de productos farmacéuticos.”
Sin perjuicio que la Agencia puede calificar otros servicios mediante resolución fundada cumpliéndose los siguientes requisitos;
- Que la provisión del servicio dependa de las redes y sistemas informáticos
- Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efecto cumplimiento de las funciones del estado o en general de los servicios que este debe proveer.
Igualmente, la Agencia podrá calificar de OIV a instituciones privadas que no sean calificadas como Prestadores Esenciales y el proceso se realiza cada 3 años por resolución fundada recurrible por los obligados.
La calificación dependiendo de cuál sea conlleva deberes generales en materia de ciberseguridad, así como deberes específicos.
Como deberes generales a modo de ejemplo se incluyen la aplicación permanente de medidas para prevenir, reportar y resolver incidentes de ciberseguridad.
Los deberes específicos aplicables para las OIV incluyen la implementación de un sistema de gestión de seguridad de la información, elaboración de planes de continuidad y obligación de obtener certificaciones de seguridad otorgadas por entidades autorizadas por la Agencia.
Adicionalmente todos los prestadores de Servicios Esenciales y OIV tendrán que reportar al CSIRT Nacional los ciberataques e incidentes de seguridad que puedan tener un efecto significativo.
Creación de Agencia Nacional de Ciberseguridad y de Equipo Nacional de Respuesta a Incidentes de Seguridad Informática ( CSIRT Nacional)
Agencia Nacional de Ciberseguridad; servicio público funcionalmente descentralizado Entre sus atribuciones se encuentran, entre otras, dictar protocolos y estándares, e instrucciones generales y particulares obligatorias para las instituciones públicas y privadas contempladas por el Proyecto, fiscalizar y sancionar el cumplimiento de la ley, requerir acceso a redes y sistemas informáticos en caso de incidentes de efecto significativo, entre otros.
El CSIRT Nacional, es el órgano encargado de responder frente a ciberataques o incidentes de ciberseguridad, cuando estos sean de efecto significativo. Otras funcionas delegadas a esta institución son las de coordinar los CSIRT propios de cada órgano del Estado frente a este tipo de ataques, servir como punto de enlace con CSIRT extranjeros, supervisar incidentes a escala nacional, y difundir alertas tempranas de los riesgos e incidentes hacia la comunidad.
La vigencia de la ley dependerá de la emisión de un DFL del Ministerio del Interior, que deberá también ser suscrito por el Ministerio de Hacienda y dictado en
el plazo máximo de un año desde la publicación de la ley. Este decreto establecerá la fecha de iniciación de actividades de la Agencia y -eventualmente- un período diferenciado para su implementación y entrada en operaciones. Asimismo,
no podrá establecer una entrada en vigencia que inferior a seis meses desde la publicación de la ley. Además, se establece un plazo de 180 días para que el Ministerio del Interior emita los reglamentos señalados en la ley
PDL 14847-06 Establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
Materias: Ciberseguridad, Organismos Estatales, Organismos del Estado, Agencia Nacional de Ciberseguridad (ANCI)