Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información de Chile

Actualmente, la ciberseguridad no es una materia que se acota solamente al entorno de los expertos en tecnología, ya que es indudable que el impacto y la importancia que tiene afecta de forma transversal a toda la población. En los últimos tiempos no solo ha habido un aumento en el número de incidentes de ciberseguridad, sino que la naturaleza de dichos ataques es cada vez más sofisticada y profesional.

En el caso de Chile, se presenta ante el país un escenario de creciente preocupación en todos los sectores, ya sea en el sector público como en el privado. El país está sufriendo un aumento de ciberincidentes, afectando a empresas y entidades públicas de alta importancia. Entre los incidentes más comunes ocurridos en el último año, se pueden encontrar los ampliamente conocidos ransomware y phishing, los ataques de denegación de servicio (DDoS) y las brechas de datos.

La necesidad de tomar medidas que ayuden a mejorar la seguridad de la información en las compañías es evidente. Para ello, el Gobierno de Chile ha impulsado y promovido una Ley Marco de Ciberseguridad e Infraestructura Crítica publicada el 8 de abril de 2024 en el Diario Oficial.

La Ley Marco de Ciberseguridad de Chile crea un modelo de gobernanza que promueve la implementación de estándares de ciberseguridad para mejorar la prevención, contención, resolución y respuesta a ciberincidentes.

Los objetivos principales de esta ley son los siguientes:

Establecer una nueva institucionalidad que permita estructurar, regular y coordinar las acciones de ciberseguridad de las compañías privadas y entidades públicas que prestan servicios esenciales para el funcionamiento del país.
Formar una cultura pública en materia de seguridad digital que ayude a formar a los ciudadanos y empresas frente al creciente número de amenazas digitales.
Proteger la información y los derechos digitales en materia de integridad, confidencialidad, disponibilidad, privacidad y protección de datos personales.
Fortalecer las capacidades para prevenir, detectar y dar respuesta a incidentes de ciberseguridad.

Con la publicación de la nueva ley, se han creado las siguientes instituciones o entidades, que buscan proteger el entorno digital del país:

Agencia Nacional de Ciberseguridad (ANCI): se crea la Agencia Nacional de Ciberseguridad descrita en la propia ley como “un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.”
Equipo de Respuesta ante Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT): se trata del organismo encargado de coordinar, proteger y asegurar las redes y sistemas del Ministerio de Defensa Nacional, así como los servicios esenciales y operadores vitales para la defensa nacional. Asimismo, además de crear un CSIRT Nacional, se habilita la creación de CSIRT sectoriales
Consejo multisectorial: se crea un Consejo que tiene carácter consultivo y cuya función será asesorar y hacer recomendaciones a la Agencia en el análisis y revisión periódica del estado de la ciberseguridad del país. Adicionalmente, se encargará de analizar las amenazas actuales y potenciales relacionadas con la ciberseguridad y proponer medidas para hacerles frente.
Red de conectividad segura del estado: esta nueva Red de Conectividad ofrecerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado como los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, las Fuerzas Armadas, la Seguridad Pública, etc.

Como se detalla en el artículo 4 de la Ley Marco de Ciberseguridad, aplicará a aquellas instituciones que presten servicios esenciales, así como las calificadas como operadores de importancia vital.

Se consideran servicios esenciales los provistos por los organismos de la Administración del Estado y por aquellas entidades privadas que realicen labores relacionadas con las actividades eléctricas (generación, transmisión o distribución), de combustibles (transporte, almacenamiento o distribución), suministros de agua, telecomunicaciones, infraestructuras digitales, transportes, banca, seguridad social, mensajería, servicios de salud, etc. Estos servicios se consideran vitales para el desempeño nacional y bienestar social.

Asimismo, la Agencia Nacional de Ciberseguridad (ANCI) podrá calificar otros servicios como esenciales cuando su afectación sea susceptible de causar graves daños a la integridad de la población, su abastecimiento o al funcionamiento general de la sociedad (la Administración del Estado, la defensa nacional, etc.).

La Agencia Nacional de Ciberseguridad establecerá mediante una resolución dictada por el Director/a Nacional los prestadores de servicios esenciales que considera como operadores de vital importancia. Para ello, estos prestadores deberán cumplir con los siguientes requerimientos:

La provisión de los servicios prestados deberá depender de las redes y sistemas informáticos.
Asimismo, que cualquier afectación, interceptación, interrupción o destrucción de los servicios prestados cause un impacto significativo en la seguridad pública, el orden, la provisión continua y regular de servicios esenciales, el cumplimiento efectivo de las funciones del Estado, o en general de los servicios que este debe proveer o garantizar.

Por otro lado, al menos cada 3 años, la Agencia revisará y actualizará la calificación de los operadores de importancia vital también mediante una resolución dictada por el Director/a Nacional.

Los deberes generales que aplican tanto a los prestadores de servicios esenciales como a los operadores de importancia vital se centran en la implementación de medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Será indispensable implementar de forma correcta los protocolos y estándares determinados por la Agencia, como también los estándares específicos de ciberseguridad conforme a la regulación sectorial correspondiente.

Por otra parte, todas las instituciones consideradas prestadores de servicios esenciales deberán reportar al CSIRT Nacional, mediante una alerta, los ciberataques e incidentes de ciberseguridad que tengan impactos considerables en un plazo de máximo de 3 horas contando desde que se tiene conocimiento del incidente.

Posteriormente, dentro de un plazo máximo de 72 horas, se deberá emitir una actualización de la situación del incidente, incluyendo la evaluación inicial del mismo, su gravedad, etc. En el caso de los operadores de importancia vital, la actualización de información se reduce a un plazo máximo de 24 horas.

Finalmente, en un plazo máximo de 15 días desde el envío de la alerta inicial, se deberá emitir un informe detallado contemplando la descripción del incidente, su gravedad e impacto, la causa principal, las medidas de mitigación aplicadas y en curso y, si aplicase, las repercusiones transfronterizas del mismo.

En cuanto a las obligaciones que competen únicamente a los operadores de importancia vital, se pueden destacar las siguientes:

Implementar un Sistema de Gestión de Seguridad de la Información.
Elaborar e implementar planes de continuidad operacional y ciberseguridad, certificados y revisados periódicamente cada dos años.
Realizar operaciones continuas de revisión, ejercicios, simulacros y análisis de las redes y sistemas para detectar amenazas a la ciberseguridad y comunicar esta información al CSIRT Nacional.
Contar con certificaciones de ciberseguridad.
Implementar programas de capacitación y educación en ciberseguridad.
Adoptar las medidas necesarias para reducir el impacto y la propagación de incidentes de ciberseguridad, informando a su vez a los potenciales afectados, especialmente cuando involucren datos personales.
Designar un delegado de ciberseguridad que actúe como interlocutor con la Agencia y autoridades.