Promulgación de Ley Marco de Ciberseguridad
El día de ayer, 26 de marzo de 2024, se promulgó la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
La ley tiene por objetivo establecer los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares. Además, establece los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones obligadas en la misma ley, y los mecanismos de control, supervisión y de responsabilidad ante infracciones. En este último sentido, las multas que se podrán aplicar bajo la referida ley podrán llegar hasta 40 mil UTM.
El aspecto más relevante es la creación de la Agencia Nacional de Ciberseguridad (ANCI), servicio público descentralizado, con personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
En cuanto al ámbito de aplicación, la ley regulará a las instituciones que presten servicios calificados como «Servicios Esenciales (SE)” y a aquellas que sean calificadas como «Operadores de Importancia Vital (OIV)”.
Servicios Esenciales:
- Organismos de administración del Estado y el Coordinador Eléctrico Nacional.
- Los servicios prestados bajo concesión de servicio público.
- Aquellos prestados por instituciones privadas en los siguientes sectores: generación, transmisión o distribución eléctrica, transporte, almacenamiento o distribución de combustibles, suministro de agua potable o saneamiento, telecomunicaciones; infraestructura digital, servicios digitales y tecnología de la información gestionados por terceros, transporte terrestre, aéreo, ferroviario o marítimo, banca, servicios financieros y medios de pago, administración de prestaciones de seguridad social, servicios postales y de mensajería, prestación institucional de servicios de salud, producción y/o investigación de productos farmacéuticos.
Sin perjuicio de lo anterior, la AINC podrá calificar otros servicios como esenciales mediante resolución fundada del Director Nacional, previa consulta pública, cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.
Los Operadores de Importancia Vital (OIV) serán calificados por la AINC, en la medida que cumplan los siguientes requisitos:
- Que la provisión de dicho servicio dependa de las redes y sistemas informáticos;
- Que, la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
La entrada en vigencia de la ley se encuentra sujeta a la dictación del respectivo Decreto con Fuerza de Ley, una vez publicada en el Diario Oficial de la República, periodo que no podrá ser inferior a seis meses contados desde su publicación.
Área de Protección de Datos y Ciberseguridad de ECIJA OTERO
info@ecija.com