Search
Close this search box.

¿Qué implicancias tendrá la nueva Ley de Ciberseguridad?

El Gobierno del Presidente Gabriel Boric promulgó la nueva Ley Marco de Ciberseguridad y presentó la Política Nacional de Ciberseguridad, normativas que permitirán robustecer al país en materia de seguridad digital y que crea la Agencia Nacional de Ciberseguridad (ANCI). Nuevo marco legal dota de mejores facultades al Estado para coordinar a los actores públicos y privados, establecer obligaciones y establecer multas.

El 26 de marzo de 2024 se promulgó la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, normativa que busca enfrentar las crecientes y variadas amenazas que deambulan en el mundo digital.

¿Qué es lo que cambia con la nueva ley?

Uno de los principales cambios es un nuevo modelo de gobierno a nivel nacional con la creación de varias entidades, como:

Agencia Nacional de Ciberseguridad (ANCI)

Esta institución se establecerá como un servicio público descentralizado (con personalidad jurídica y patrimonio propio) que ejercerá las funciones de regular, fiscalizar y sancionar el no cumplimiento de las obligaciones.

CSIRT de Defensa

Se llevará la creación de un Equipo de Respuesta a Ciberataques o incidentes de Ciberseguridad para organismos del Estado, que dependerá del Ministerio de Defensa (con jurisdicción en las ramas de la defensa y los CSIRT institucionales de las ramas castrenses).

Consejo Multisectorial

Tendrá un carácter consultivo para asesorar y recomendar a la ANCI, el cual estará presidido por el Director de la ANCI y compuesto por 6 profesionales destacados de la Ciberseguridad, que serán designados por el Presidente de la República.

Comité Interministerial

Tendrá el rol de asesorar al Presidente de la República junto con los miembros de ministerios relevantes en la materia para proponer cambios a la normativa, coordinar la implementación de la Política Nacional de Ciberseguridad, aprobar la lista de servicios esenciales propuestos por la ANCI y revisar las recomendaciones del Consejo Multisectorial.

Todos ellos tendrán el objetivo de articular las políticas y medidas que se requieren
para hacer frente a los riesgos de Ciberseguridad a nivel nacional.

Sin embargo, se deja claro que en industrias donde ya existe una normativa sectorial, esta tiene prevalencia y estará a cargo del organismo regulador del sector, siempre y cuando las normas establecidas consideren las obligaciones que se plantean en esta ley.

¿Quiénes se ven afectos a las nuevas obligaciones?

Dependiendo de la industria y la naturaleza de los servicios que preste la empresa, se definen varios tipos de organizaciones sujetas a estas obligaciones, las cuales han sido consideradas en función de su impacto a las actividades, integridad o salud de las personas, economía, funciones del Estado o defensa nacional en caso de presentar un incidente:

  • Organizaciones que presten servicios esenciales a nivel Estado como administración del Estado, Coordinador Eléctrico Nacional, Servicios prestados bajo concesión de servicio público.
  • Organizaciones que presten servicios digitales o físicos esenciales a nivel privado como generación, transmisión y distribución eléctrica; transporte; almacenamiento y distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; etc.
  • Administración de prestaciones de seguridad social.
  • Servicios postales y de mensajería.
  • Hospitales, clínicas, consultorios, centros médicos.
  • Producción e investigación de productos farmacéuticos.

Otros servicios de la agencia ANCI que pudieran llegar a afectar la vida, integridad física, abastecimiento, medioambiente, normal funcionamiento de la sociedad, seguridad y orden público.

  • Empresas del Estado y sociedades donde el Estado tenga participación superior al 50% o mayoría en el directorio.
  • Organizaciones específicas del Estado con un régimen especial como el Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión, los cuales tendrá la obligación de dictar sus propias normativas.

Organizaciones consideradas como operadores de importancia vital, que cumplan algunas de estas condiciones:

  • La provisión de sus servicios depende de redes y sistemas informáticos.
  • La afectación tenga impacto significativo en la seguridad y orden público.
  • Provisión regular y continua de servicios para el efectivo funcionamiento del Estado.
  • Otros operadores según calificación formal de la ANCI que cumplan un rol critico en el abastecimiento de la población, distribución de bienes, producción de bienes importantes o por el grado de exposición a riesgos de ciberseguridad, todas ellas que tengan consecuencias sociales.

Con todo, la ANCI considerará principios de proporcionalidad en cuanto a las actividades y tamaño de las organizaciones que están involucradas.

¿Qué debemos cumplir?

Dentro de las obligaciones a las cuales estaremos sujetos podemos mencionar el siguiente listado como principal:

  1. Mantener medidas para prevenir, resolver y reportar incidentes de ciberseguridad.
  2. Cumplimiento de los estándares que emita la ANCI.
  3. Implementación de un Sistema de Gestión de Seguridad de Información (SGSI).
  4. Elaboración de planes de continuidad operacional y ciberseguridad.
  5. Realización de revisiones, ejercicios, simulacros, análisis sobre de redes y sistemas.
  6. Adoptar medidas para reducir impacto.
  7. Obligación de informar a los afectados.
  8. Programas de capacitación, formación y educación.
  9. Obligación de reportar en base a los protocolos que establezca la ANCI, CSIRT Nacional y CSIRT Defensa, las organizaciones privadas deberán reportar incidencias bajo un preiodo de tiempo establecido.
  10. Designar una contraparte para efectos de coordinación y comunicaciones con la ANCI.
  11. Informar vulnerabilidades e incidentes.

Líderes en la región

A pesar de los desafíos que implicará esta nueva ley, los expertos consultados concuerdan en que su promulgación es todo un avance.

Según Myriam Pérez, “coloca al país a la vanguardia de la región en temas de seguridad digital” y en opinión de César Pallavicini, “es un avance respecto a la madurez de la comunidad europea”.

Aunque la Ley Marco de Ciberseguridad es parte de una serie de esfuerzos recientes que van en la misma dirección, como la nueva Ley de Delitos Informáticos, Pérez y Pallavicini coinciden en que aún hay cosas por hacer. Para el primero, es importante que las empresas busquen adherirse a las normas internacionales en esta materia y que se siga legislando en torno al tema.

“Hay que aprobar la reforma de Ley de Protección de Datos Personales y tiene que funcionar la Agencia de Protección de Datos Personales. Al menos el sector privado seguirá esperando esta reforma para aplicar mayores controles en la protección de información, que se relacionan con la desregulación del ciberespacio”, señala Pallavicini.

Por su parte, Myriam Pérez cree que hacen falta más regulaciones a los servicios de ciberseguridad. “Esto aseguraría que los servicios cumplan con estándares de calidad, fortaleciendo a este ecosistema en el país”, opina

Además, sugiere la creación de un fondo de financiamiento para la ciberseguridad. “Así se ayudaría a los operadores de servicios esenciales e infraestructura crítica a cumplir con las nuevas obligaciones de seguridad, mitigando el impacto financiero de estas medidas”, concluye.

¡Comparte!
Tabla de contenidos
¿Deseas más información sobre los servicios de Claro Chile Empresas?
Rellena el siguiente formulario y te contactaremos lo antes posible
Artículos relacionados
Scroll to Top