Ley Marco Ciberseguridad
Lo que debes saber
Este proyecto busca establecer un marco legal y una coordinación entre los distintos actores que intervienen en la protección de la infraestructura crítica de información, la prevención y respuesta a incidentes de ciberseguridad, la promoción de una cultura de ciberseguridad y la cooperación internacional en esta materia.
Nombre de la Agencia
Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.
Ley publicada 8 abril 2024
Objetivo
Establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad
¿ A quienes rige la Ley?
Organismo del Estado que prestan servicios calificados como esenciales y como operadores de importancia vital. se incluyen las empresas Privadas que se relacionen en los servicios
Normas de Seguridad
Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.
Incidente Significativo
Capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas.
Informes
El plazo 30 días corridos para entregar infotmación
Reportes que se exigen
-
Las matrices de riesgos de ciberseguridad
-
Los planes de continuidad operacional y planes ante desastres
-
Los Planes de Acción y Mitigación de riesgos de Ciberseguridad
Tipo de Infracciones
-
Leves, aquellas que no afectan la gestión de un incidente
-
las infracciones graves, son aquellas que impiden o dificultan la prevención, el reporte o la resolución de un incidente de ciberseguridad
-
Infracciones gravísimas son aquellas que se cometen durante la gestión de un incidente de impacto significativo.
Infracciones
Artículo 38
-
Leves, Entrega fuera de Plazo información.
-
Grave: No Haber Implementado los Protocolos y Estándares establecido por la agencia, como entregar información falsa o errónea
-
Gravísima: No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque
Información General
- Objeto Título 1: La ley busca establecer la institucionalidad, la normativa y las acciones de ciberseguridad para el Estado y los particulares, así como los requisitos, atribuciones, obligaciones, mecanismos de control y responsabilidad ante incidentes de ciberseguridad. La ley se aplica a la Administración del Estado y a las empresas públicas o con participación estatal mayoritaria.
- Definiciones de términos clave: La ley define los conceptos de activo informático, agencia, auditorías de seguridad, autenticación, ciberataque, ciberseguridad, confidencialidad, disponibilidad, equipo de respuesta a incidentes de seguridad informática, incidente de ciberseguridad, integridad, red y sistema informático, resiliencia, riesgo y vulnerabilidad.
- Principios rectores de la ciberseguridad: La ley establece los principios de control de daños, cooperación con la autoridad, coordinación, seguridad en el ciberespacio, respuesta responsable, seguridad informática, racionalidad y seguridad y privacidad por defecto y desde el diseño, que deben orientar las acciones de ciberseguridad.
- Objetivo y ámbito Título 2: El documento es un proyecto de ley que tiene por objetivo regular las obligaciones de ciberseguridad de las instituciones que prestan servicios esenciales o que son calificadas como operadores de importancia vital.
- Criterios y procedimiento para la calificación de operadores de importancia vital: La Agencia de Ciberseguridad es la encargada de calificar a los operadores de importancia vital, según los requisitos y el procedimiento establecidos en los artículos 5 y 6 de la ley. La calificación debe someterse a consulta pública y revisarse al menos cada tres años.
- Deberes generales y específicos de ciberseguridad: Todas las instituciones obligadas por la ley deben aplicar medidas para prevenir, reportar y resolver incidentes de ciberseguridad, siguiendo los protocolos y estándares dictados por la Agencia y la regulación sectorial. Los operadores de importancia vital tienen además deberes específicos, como implementar un sistema de gestión de seguridad de la información, elaborar planes de continuidad operacional y ciberseguridad, y designar un delegado de ciberseguridad.
- Deber de reportar incidentes de ciberseguridad: Las instituciones obligadas por la ley deben reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, en los plazos y con la información que se establecen en el artículo 9. Los operadores de importancia vital deben además informar su plan de acción y a los potenciales afectados.
- Creación de la Agencia Nacional de Ciberseguridad: El proyecto de ley crea la Agencia Nacional de Ciberseguridad como un servicio público descentralizado, con personalidad jurídica y patrimonio propio, que asesorará al Presidente de la República en materias de ciberseguridad y coordinará la protección de los intereses nacionales en el ciberespacio.
- Atribuciones de la Agencia Nacional de Ciberseguridad: La Agencia tendrá diversas atribuciones, entre las que se destacan: dictar protocolos y estándares de ciberseguridad, aplicar e interpretar las disposiciones legales y reglamentarias en la materia, coordinar y supervisar a los CSIRT de la Administración del Estado y al CSIRT de la Defensa Nacional, crear y administrar un Registro Nacional de Incidentes de Ciberseguridad, requerir información y acceso a redes y sistemas informáticos, fiscalizar y sancionar el incumplimiento de la ley, cooperar con organismos públicos y privados, nacionales e internacionales, y certificar el cumplimiento de los estándares de ciberseguridad.
- Dirección, organización y patrimonio de la Agencia Nacional de Ciberseguridad: La dirección y administración superior de la Agencia estará a cargo de un Director o Directora Nacional, designado conforme al Sistema de Alta Dirección Pública, y de un Subdirector o Subdirectora Nacional, que tendrá a su cargo la función fiscalizadora y sancionadora. El personal de la Agencia se regirá por las normas del Código del Trabajo, con algunas excepciones y prohibiciones. El patrimonio de la Agencia estará constituido por los recursos que le asigne la Ley de Presupuestos, los bienes que adquiera, las donaciones que reciba y los demás aportes que perciba en conformidad a la ley.
- Consejo Multisectorial sobre Ciberseguridad: El proyecto de ley crea el Consejo Multisectorial sobre Ciberseguridad, de carácter consultivo, que asesorará y formulará recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país. El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, provenientes del sector industrial o comercial, del ámbito académico y de las organizaciones de la sociedad civil.
- Red de Conectividad Segura del Estado: El proyecto de ley crea la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado. La Agencia podrá suscribir los convenios de interconexión que considere necesarios para el mejor funcionamiento de la Red y de los servicios adicionales que preste. Un reglamento regulará el funcionamiento de la Red y las obligaciones especiales de los organismos de la Administración del Estado.
- Equipo Nacional de Respuesta a Incidentes de Seguridad Informática: El proyecto de ley crea dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, o CSIRT Nacional, que tendrá las funciones de responder ante ciberataques o incidentes de ciberseguridad de efecto significativo, coordinar a los CSIRT de la Administración del Estado y al CSIRT de la Defensa Nacional, servir de punto de enlace con CSIRT extranjeros, prestar colaboración o asesoría técnica a los CSIRT de la Administración del Estado, supervisar incidentes a escala nacional, efectuar un análisis dinámico de riesgos e incidentes, realizar entrenamiento, educación y capacitación en materia de ciberseguridad, requerir información de incidentes y vulnerabilidades, difundir alertas tempranas y elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades exentas de notificación.
- Creación de la Agencia de Ciberseguridad: El proyecto de ley propone crear una Agencia de Ciberseguridad como un servicio público descentralizado, con personalidad jurídica y patrimonio propio, que tendrá a su cargo la coordinación, regulación y supervisión de la ciberseguridad nacional.
- Funciones y atribuciones de la Agencia: La Agencia tendrá entre sus funciones y atribuciones: establecer protocolos, estándares técnicos e instrucciones generales en materia de ciberseguridad; clasificar a los operadores de importancia vital y exigirles certificaciones de ciberseguridad; recibir, analizar y gestionar los reportes de incidentes de ciberseguridad; coordinar con las autoridades sectoriales competentes y con el CSIRT Nacional; y aplicar sanciones en caso de incumplimiento de sus normas.
- Coordinación regulatoria y normativa sectorial: El proyecto de ley establece un mecanismo de coordinación regulatoria entre la Agencia y las autoridades sectoriales, mediante el cual se deberán solicitar informes previos y tener en cuenta los protocolos, estándares e instrucciones de la Agencia al emitir actos administrativos de carácter general que tengan efectos en la ciberseguridad. Asimismo, se dispone que las autoridades sectoriales podrán emitir normas e instrucciones para fortalecer la ciberseguridad en sus sectores, las cuales prevalecerán sobre las de la Agencia si tienen efectos equivalentes.
- Incidentes de efecto significativo: El proyecto de ley define los incidentes de ciberseguridad de efecto significativo como aquellos que son capaces de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como los que afecten sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán en cuenta criterios como el número de personas afectadas, la duración del incidente y la extensión geográfica de la zona afectada. Los CSIRT que pertenezcan a los organismos de la Administración del Estado tendrán la obligación de apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.
- Centros de Certificación: El proyecto de ley dispone que los operadores de importancia vital deberán obtener las certificaciones de ciberseguridad que señala la ley y las que determine la Agencia mediante reglamento. Para estos efectos, solo los organismos que sean parte del registro de entidades certificadoras autorizadas a cargo de la Agencia, estarán habilitados para emitir certificaciones válidas. La Agencia podrá homologar certificaciones técnicas internacionales o extranjeras sobre ciberseguridad.
- Creación del CSIRT de la Defensa Nacional: El proyecto de ley crea el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, para coordinar, proteger y asegurar las redes y sistemas del sector de la defensa nacional.
- Funciones del CSIRT de la Defensa Nacional: El CSIRT de la Defensa Nacional tendrá como funciones principales conducir y asegurar la protección y defensa de los riesgos y amenazas en el ciberespacio, establecer los protocolos y estándares mínimos de ciberseguridad, y prestar colaboración o asesoría técnica a los CSIRT Institucionales de la Defensa Nacional.
- Constitución de los CSIRT Institucionales de la Defensa Nacional: El proyecto de ley establece que en el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que afecten a las respectivas instituciones de la defensa nacional.
- Deber de reporte al CSIRT de la Defensa Nacional: El proyecto de ley dispone que todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional, y que este a su vez reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional.
- Objeto del título VI: El título VI del proyecto de ley regula la reserva de información en el sector público en materia de ciberseguridad.
- Carácter secreto de los antecedentes de ciberseguridad: Los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT o de su personal, se considerarán secretos y de circulación restringida, así como aquellos otros que conozcan en el ejercicio de sus funciones.
- Excepciones a la reserva de información: La Agencia podrá eximir de la reserva a los estudios e informes que elabore, con la autorización de su Director o Directora Nacional. Además, no se incumple el deber de reserva cuando la Agencia o el CSIRT Nacional deban difundir antecedentes para gestionar, prevenir o contener un incidente de ciberseguridad.
- Tipos de información secreta o reservada: La información secreta o reservada incluye la contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 8°, las matrices de riesgos de ciberseguridad, los planes de continuidad operacional y planes ante desastres, y los planes de acción y mitigación de riesgos de ciberseguridad.
- Extensión de la obligación de reserva: La obligación de guardar secreto se extiende a quienes, sin ser funcionarios o funcionarias de la Agencia, tomen conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información y de las resoluciones judiciales que se dicten al respecto.
- Sanciones por infracción a la reserva de información: La infracción a las obligaciones de reserva se sancionará con las penas previstas en los artículos 246, 247 o 247 bis del Código Penal, según corresponda, sin perjuicio de la responsabilidad administrativa que proceda.
- Este es un resumen del documento sobre las sanciones: El documento establece las infracciones y sanciones por incumplir la normativa de ciberseguridad, así como el procedimiento administrativo y judicial para su aplicación.
- Las infracciones se clasifican en leves, graves y gravísimas: Las infracciones se califican según el tipo de obligación incumplida, el impacto del incidente y la reincidencia del infractor. Las infracciones leves son aquellas que no afectan la gestión de un incidente de ciberseguridad, las infracciones graves son aquellas que impiden o dificultan la prevención, el reporte o la resolución de un incidente de ciberseguridad, y las infracciones gravísimas son aquellas que se cometen durante la gestión de un incidente de impacto significativo.
- Las sanciones consisten en multas a beneficio fiscal: Las sanciones varían según la gravedad de la infracción y el tipo de operador. Las infracciones leves se sancionan con multas de hasta 5.000 o 10.000 unidades tributarias mensuales, según se trate de un operador común o de importancia vital. Las infracciones graves se sancionan con multas de hasta 10.000 o 20.000 unidades tributarias mensuales, según el tipo de operador. Las infracciones gravísimas se sancionan con multas de hasta 20.000 o 40.000 unidades tributarias mensuales, según el tipo de operador.
- El procedimiento administrativo se rige por la ley Nº19.880: El procedimiento administrativo se inicia con la formulación de cargos por parte de la Agencia, y se otorga al infractor la posibilidad de presentar descargos, rendir pruebas y recurrir a la instancia superior. El procedimiento se rige por las normas de la ley Nº19.880, que establece las bases de los procedimientos administrativos que rigen los actos de los organismos de la Administración del Estado, con algunas disposiciones especiales.
- El reclamo judicial se interpone ante la Corte de Apelaciones: Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada.
- Creación y funciones del Comité Interministerial sobre Ciberseguridad: El proyecto de ley crea el Comité Interministerial sobre Ciberseguridad, que asesorará al Presidente de la República en materias de ciberseguridad relevantes para el país, como la definición, coordinación e implementación de la Política Nacional de Ciberseguridad, y la propuesta de cambios normativos en la materia.
- Integración y funcionamiento del Comité Interministerial sobre Ciberseguridad: El Comité estará integrado por nueve miembros permanentes, entre ellos el Director o Directora Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá, y los Subsecretarios de Interior, Defensa, Relaciones Exteriores, General de la Presidencia, Telecomunicaciones, Hacienda, y Ciencia, Tecnología, Conocimiento e Innovación, y el Director o Directora Nacional de la Agencia Nacional de Inteligencia. El Comité podrá invitar a otras autoridades públicas o privadas, nacionales o internacionales, a participar de sus sesiones. El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, que prestará el apoyo técnico, administrativo y de contenidos.
- Información reservada y normativa aplicable al Comité Interministerial sobre Ciberseguridad: El Comité podrá sesionar de forma secreta cuando se trate de información reservada, la que no podrá ser registrada ni revelada bajo pena de delito de violación de secretos. Un reglamento expedido por el Ministerio encargado de la seguridad pública fijará las normas de funcionamiento del Comité.
- El proyecto de ley crea la Agencia Nacional de Ciberseguridad: La Agencia tendrá como misión proteger las redes y sistemas informáticos del Estado y de los sectores críticos de la economía, y coordinar la respuesta a incidentes de ciberseguridad.
- El proyecto de ley establece los órganos y funciones de la Agencia: La Agencia estará dirigida por un Director o Directora nombrado por el Presidente de la República, y contará con un Consejo Multisectorial sobre Ciberseguridad que le asesorará en materias estratégicas. La Agencia tendrá facultades para dictar normas, fiscalizar, sancionar y cooperar con otros organismos nacionales e internacionales.
- El proyecto de ley regula los regímenes especiales de los órganos autónomos constitucionales: El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar medidas de seguridad informática y podrán dictar su propia normativa, sin estar sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Sin embargo, deberán reportar y coordinar con la Agencia los incidentes de ciberseguridad que afecten a sus redes y sistemas.
- El proyecto de ley modifica otros cuerpos legales relacionados con la ciberseguridad: El proyecto de ley incorpora una nueva letra k) en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, para asignar la conducción del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional a la Subsecretaría de Defensa. Además, introduce enmiendas en la ley N° 21.459, que establece normas sobre delitos informáticos, para regular la comunicación responsable de vulnerabilidades y derogar el artículo 16.