26 de diciembre de 2024
Por: Fernando Fernández – Director Araucanía Digital – CEO de AltLegal
El Congreso Nacional aprobó el proyecto de ley que establece el marco jurídico para la ciberseguridad e infraestructura crítica de la información en Chile (Boletín Nº 14.847-06).
Este texto, que está pronto a ser publicado como ley de la república, marca un hito significativo en el fortalecimiento de la seguridad digital en Chile, pues introduce cambios sustanciales en la manera en que diversas empresas e instituciones deben abordar los desafíos de la ciberseguridad, ofreciendo un marco robusto para la protección de la infraestructura crítica y los datos personales de sus ciudadanos.
Por supuesto, con infraestructura crítica nos referimos a los sistemas y activos de tecnologías de la información que son vitales para el funcionamiento de una sociedad, esto es, aquellos cuya interrupción o disfunción podría tener un impacto debilitante en la seguridad nacional, la economía, la salud pública y otras funciones vitales de un país.
A continuación te informamos, en líneas generales, cuáles son los principales aspectos de dicha ley y qué acciones desarrolla.
Principales aspectos de la Ley
Nueva institucionalidad. La ley establece una nueva institucionalidad en el ámbito de la ciberseguridad, que incluye la creación de la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial sobre Ciberseguridad y un Equipo de Respuesta ante Incidentes de Seguridad Informática (el CSIRT Nacional), entre otros. Estas entidades tendrán un papel crucial en establecimiento de un marco institucional en cuestiones de ciberseguridad y coordinar actuaciones, sin perjuicio de las facultades de actuación del CSIRT de la Defensa Nacional.
La ANCI. Esta nueva institución, dotada de personalidad jurídica y patrimonio propio, contará con facultades reguladoras, sancionadoras y fiscalizadoras, asumiendo un carácter técnico y especializado en la protección de los intereses nacionales en el ciberespacio.
Sujetos obligados. La nueva legislación impone a los prestadores de “servicios esenciales” y “operadores de importancia vital”, incluyendo sectores como servicios públicos, telecomunicaciones, salud, energía, transporte, energía, finanzas, servicios digitales y servicios de tecnología de la información gestionados por terceros, etcétera, una serie de obligaciones cuyo cumplimiento es supervigilado.
Obligaciones. Los sujetos obligados deberán llevar una serie de medidas, incluyendo la implementación de sistemas de gestión de seguridad de la información, la elaboración de planes de continuidad operacional y ciberseguridad, así como la realización de revisiones y simulacros periódicos, y la designación de un delegado de ciberseguridad, entre otros.
Régimen sancionatorio. Se establece un marco sancionador que incluye multas que van desde 5.000 hasta 40.000 UTM, como uno de los mecanismos para asegurar el cumplimiento de las normativas en materia de seguridad informática y protección de infraestructuras críticas.
Acciones a seguir
Esta ley entrará en vigor de forma diferida, ofreciendo a las empresas e instituciones un período de transición para adaptarse a estas nuevas disposiciones.
Es fundamental que las empresas e instituciones:
- Determinen si están sujetas o no a esta ley.
- Comprendan las implicancias de la misma.
- Analicen la situación institucional y su estatus de cumplimiento, determinando qué pasos deben seguir para cumplir con los objetivos.
- Comiencen a ajustar sus políticas y protocolos de seguridad informática para alinearse con los requisitos establecidos.
- Avancen en la formación de su personal y en la sensibilización en materia de ciberseguridad.
Lo anterior permitirá a los sujetos obligados adaptarse a los requerimientos de esta ley, evitando multas y mejorando su exposición a ataques informáticos mediante la creación de un entorno digital seguro y resiliente.