Boletín 14847-06Establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

La norma, iniciada en mensaje del Presidente de la República, también asigna responsabilidades y deberes asociados para una serie de órganos de la administración del Estado. Asimismo, para instituciones privadas que posean infraestructura crítica de la información. Resumen de la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información recién aprobada por el Congreso de Chile. Boletín 14847-06 Con fecha 12 de diciembre, el Senado aprobó el tercer trámite constitucional las modificaciones de la Cámara de Diputados al proyecto de la Ley Marco de Ciberseguridad e Infraestructura, restando la revisión por parte del Tribunal Constitucional y su publicación y promulgación. Dentro de los aspectos más relevantes, se encuentra que establece un marco regulatorio para el desarrollo de la ciberseguridad estableciendo principios y normativas. Los obligados son las instituciones públicas y privadas que califique como Prestados Esenciales y Operadores de importancia Vital (OJV) definidos por la Nueva Agencia nacional de Ciberseguridad. Respecto a la Prestadores Esenciales de instituciones privadas se enumeran las siguientes actividades; “que realicen actividades de generación, transmisión o distribución eléctrica, transporte, almacenamiento o distribución de combustible, suministros de agua potable o saneamiento, telecomunicaciones, infraestructura digital, servicios digitales, servicios de tecnología de la información gestionados por terceros, transporte terrestre, aéreo, ferroviario o marítimo, banca, servicios financieros y medios de pago, administración de prestaciones de seguridad social, servicios postales y de mensajería, prestaciones institucionales públicas y privadas de salud, y la producción/investigación de productos farmacéuticos.” Sin perjuicio que la Agencia puede calificar otros servicios mediante resolución fundada cumpliéndose los siguientes requisitos;

• Que la provisión del servicio dependa de las redes y sistemas informáticos
• Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efecto cumplimiento de las funciones del estado o en general de los servicios que este debe proveer.

Igualmente, la Agencia podrá calificar de OIV a instituciones privadas que no sean calificadas como Prestadores Esenciales y el proceso se realiza cada 3 años por resolución fundada recurrible por los obligados. La calificación dependiendo de cual sea conlleva deberes generales en materia de ciberseguridad, así como deberes específicos. Como deberes generales a modo de ejemplo se incluyen la aplicación permanente de medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Los deberes específicos aplicables para las OIV incluyen la implementación de un sistema de gestión de seguridad de la información, elaboración de planes de continuidad y obligación de obtener certificaciones de seguridad otorgadas por entidades autorizadas por la Agencia. Adicionalmente todos los prestadores de Servicios Esenciales y OIV tendrán que reportar al CSIRT Nacional los ciberataques e incidentes de seguridad que puedan tener un efecto significativo. Creación de Agencia Nacional de Ciberseguridad y de Equipo Nacional de Respuesta a Incidentes de Seguridad Informática ( CSIRT Nacional) Agencia Nacional de Ciberseguridad; servicio público funcionalmente descentralizado Entre sus atribuciones se encuentran, entre otras, dictar protocolos y estándares, e instrucciones generales y particulares obligatorias para las instituciones públicas y privadas contempladas por el Proyecto, fiscalizar y sancionar el cumplimiento de la ley, requerir acceso a redes y sistemas informáticos en caso de incidentes de efecto significativo, entre otros. El CSIRT Nacional, es el órgano encargado de responder frente a ciberataques o incidentes de ciberseguridad, cuando estos sean de efecto significativo. Otras funcionas delegadas a esta institución son las de coordinar los CSIRT propios de cada órgano del Estado frente a este tipo de ataques, servir como punto de enlace con CSIRT extranjeros, supervisar incidentes a escala nacional, y difundir alertas tempranas de los riesgos e incidentes hacia la comunidad. La vigencia de la ley dependerá de la emisión de un DFL del Ministerio del Interior, que deberá también ser suscrito por el Ministerio de Hacienda y dictado en el plazo máximo de un año desde la publicación de la ley. Este decreto establecerá la fecha de iniciación de actividades de la Agencia y -eventualmente- un período diferenciado para su implementación y entrada en operaciones. Asimismo, no podrá establecer una entrada en vigencia que inferior a seis meses desde la publicación de la ley. Además, se establece un plazo de 180 días para que el Ministerio del Interior emita los reglamentos señalados en la ley.