La ley enmarca los agentes reguladores y las obligaciones que deberán cumplir organismos privados y públicos, de las cuales destaca la facilitación de información, lo que puede afectar a las empresas en términos de protección de información confidencial y datos personales.
El 26 de marzo de 2024 se promulgó en Chile la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, que garantiza la protección y continuidad de servicios esenciales en caso de ciberataques, con lo que fueron impartidas una serie de obligaciones a las empresas privadas y servicios públicos considerados operadores de vital importancia para este tipo de incidentes.
Junto a la nueva ley fue creada la Agencia Nacional de Ciberseguridad (ANCI), organismo regulador autorizado con facultades fiscalizadoras y sancionatorias para hacer cumplir la ley que podrá aplicar multas de hasta USD 2.757.160 —unidad de reajustabilidad anual— tanto para los organismos públicos como privados.
La agencia estará encargada de determinar protocolos de prevención, investigación y resolución de incidentes de ciberseguridad o ciberataques, con capacidad de administrar el Registro Nacional de Incidentes, calificar los servicios esenciales y establecer los operadores de importancia vital, requerir información sobre incidentes o antecedentes para prevenir su ocurrencia, entre otros, según el artículo publicado por el sitio web del Ministerio del Interior y Seguridad Pública.
Asimismo, las medidas de seguridad serán impartidas según el tipo de organización de que se trate, considerando las características y posibilidades de las pequeñas y medianas empresas definidas por la Ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.
A esta se suma el Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática (CSIRT), quienes responderán ante ciberataques o incidentes de ciberseguridad, coordinarán a los nuevos CSIRT que se crearán para las distintas ramas del Estado, colaborar con entidades extranjeras en el intercambio de información, entregar asesoría técnica para la realización de acciones que permitan una mayor ciberseguridad en las instituciones del Estado, solicitud de información sobre incidentes y vulnerabilidades, difusión de alertas y elaboración de criterios técnicos para la categorización de incidentes o vulnerabilidades exentas de notificación.
Claudia Olave
La académica en Derecho Privado de la Universidad Central de Santiago, Claudia Olave, señala la importancia de protocolos de seguridad que sean flexibles y adaptables frente a los distintos tipos de ataques cibernéticos, y afirma que la actual norma tiene un alcance limitado y por lo tanto es inflexible.
Lo anterior provoca que la legislación vaya retrasada a los problemas de ciberseguridad e innovaciones informáticas, y agrega que la ley “no establece parámetros de como abordar y enfrentar esta problemática de forma colectiva entre agentes reguladores y afectados, y se limita a enfatizar en la obligación de transparentar información, pero no expone como los organismos van a resguardar esa información, que puede ser confidencial y privada. En este punto, considero que la nueva ley tiene el deber de actuar en conjunto con otras leyes para que estas no se vean transgredidas, como es el caso de la ley de protección de datos personales”.
Por otro lado, la Política Nacional de Ciberseguridad, firmada por el Ministro de Relaciones Exteriores, Alberto Van Klaveren, propone planes educacionales transversales para enseñanza básica y media, y considera la generación de especialidades en ciberseguridad en la educación media técnico-profesional.
Aunque aún no hay fecha exacta de la entrada en vigor de la ley, el Presidente de la República Gabriel Boric tiene la facultad de emitir decretos con fuerza de ley para poder brindar información sobre la implementación e inicio de actividades de la ANCI dentro del plazo de un año o más luego de la publicación de la Ley en el Diario Oficial, ya que los decretos no pueden tener una fecha de implementación menor a seis meses a partir de su publicación.
En la ceremonia de promulgación de la ley, el presidente afirmó que el país “Se convierte en el primero de Latinoamérica y el Caribe en tener una Agencia Nacional de Ciberseguridad y un marco regulatorio de vanguardia en este campo. Esta política va a impulsar el desarrollo de la industria de la ciberseguridad en Chile, lo que también es una oportunidad de empleos y de inversión”, según un artículo publicado en el sitio web del Ministerio del Interior y Seguridad Pública.
Los servicios esenciales y sus obligaciones
Algunos servicios esenciales son las telecomunicaciones, transporte, Banca, servicios digital, entre otros, que son suministrados por instituciones privadas. Además, son considerados servicios esenciales aquellos que son otorgados por organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional o los prestados bajo concesión de servicio público, según un artículo publicado por el sitio web del despacho de abogados DLA PIPER.
En tanto, estos deberán reportar ciberataques e incidentes de ciberseguridad al CSIRT Nacional, por causas con efectos significativos que interrumpan la continuidad de un servicio esencial o afecten la integridad física o la salud de las personas y la confidencialidad de datos personales. Además, tendrán la obligación de implementar protocolos y estándares que establezca la ANCI, así como los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva.