Sebastián Matheu
La Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, promulgada con fecha 26 de marzo del presente año, introduce un nuevo marco legal destinado a fortalecer la ciberseguridad en el país. Esta legislación establece una nueva institucionalidad, principios y normativa general para coordinar las acciones de ciberseguridad tanto de los organismos del Estado como de ciertas instituciones privadas; poniendo especial énfasis en la prevención, contención, resolución y respuesta a incidentes de ciberseguridad, estableciendo requisitos mínimos y definiendo las atribuciones y obligaciones correspondientes.
Así, el breve periodo de 6 meses de vacancia legal que la ley en comento establece para efectos de su entrada en vigencia, insta a las instituciones comprendidas en su regulación a tomar pronta acción con el objeto de prepararse para dar un oportuno y debido cumplimiento a las normas de esta ley, evitando incurrir en infracciones y cuantiosas multas.
_____________________
Con fecha 26 de marzo de 2024, fue promulgada la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información; marcando el inicio de una nueva era en la protección de la información, con el establecimiento de diversos cambios en materia de ciberseguridad.
Los objetivos y elementos más importantes de esta ley se exponen a continuación.
El propósito fundamental de esta ley es la creación de un entorno regulado y coordinado para las acciones de ciberseguridad a nivel nacional, involucrando tanto a organismos del Estado como a entidades privadas.
Se busca establecer una base sólida para la prevención, manejo y respuesta a incidentes de ciberseguridad, definiendo claramente los deberes de las entidades implicadas y estableciendo mecanismos robustos de control, supervisión, responsabilidad y sanción.
La ley articula como principios rectores los siguientes: i) control de daños; ii) cooperación con la autoridad; iii) coordinación; (iv) seguridad en el ciberespacio; (v) respuesta responsable; (vi) seguridad informática; (vii) racionalidad; y (viii) seguridad y privacidad por defecto y desde el diseño.
Para efectos de determinar aquellas instituciones a las cuales les será aplicable la normativa, la ley categoriza como “Prestadores de Servicios Esenciales” o como “Operadores de Importancia Vital (OIV)”, a ciertas entidades que cumplan determinados requisitos, según se distingue a
continuación:
En general, las instituciones obligadas por la nueva Ley de Ciberseguridad deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según
sea el caso.
Para el cumplimiento de esta obligación, las entidades reguladas deberán implementar los protocolos y estándares establecidos por La Agencia, así como los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva.
Particularmente, el artículo 8° de la ley establece detalladas y rigurosas obligaciones para los OIV; resumidamente:
La Ley de Ciberseguridad establece una estructura organizativa dedicada a la ciberseguridad, incluyendo las siguientes instituciones:
Con funciones estratégicas, esta Agencia liderará los esfuerzos nacionales en ciberseguridad, ofreciendo asesoramiento al Presidente en materias propias de ciberseguridad, colaborando en la protección de los intereses nacionales en el ciberespacio, coordinando el actuar de las instituciones con competencia en materia de ciberseguridad, velando por la protección, promoción y respeto del derecho a la seguridad informática, y coordinando y supervisando la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
La ley define un sistema de sanciones basado en la gravedad de las infracciones, clasificándolas en leves, graves y gravísimas, con multas ascendentes y consideraciones especiales para los OIV, que pueden enfrentar sanciones dobles debido a su importancia crítica.
La determinación de la multa considerará varios factores, como las medidas preventivas adoptadas, la probabilidad y gravedad del incidente, el grado de riesgo, las consecuencias de los ataques, la reincidencia de la infracción, y la capacidad económica del infractor. Este esquema de sanciones busca no solo penalizar, sino también incentivar la adopción proactiva de prácticas de seguridad informática robustas.
A continuación, el esquema de infracciones y multas establecido por la nueva ley:
Las multas podrán llegar al doble en caso de tratarse de un Operador de Importancia Vital, pudiendo llegar a 40.000 UTM.
En cuanto a su vigencia, con el propósito de otorgar un tiempo adecuado para que las entidades afectadas se adapten a los nuevos requerimientos, se fija un período de 6 meses a partir de su publicación para que la Ley de Ciberseguridad entre en vigor.
La implementación de esta ley hará imperativa una inversión significativa en tecnología y formación por parte de las entidades reguladas, de cara a la necesidad de cumplir a cabalidad con los estándares de seguridad y reporte impuestos por la nueva ley. En consecuencia, dada la complejidad y el potencial impacto de esta nueva legislación, es crucial que las entidades obligadas lleven a cabo una revisión profunda de las políticas y sistemas de ciberseguridad existentes, y se preparen asesorándose con debida anticipación para navegar los requisitos de cumplimiento de esta nueva normativa, con el fin de mitigar oportunamente los riesgos legalesasociados a la entrada en vigencia de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.