Santiago, enero de 2025. – El 1 de enero de 2025 entró en vigencia la Ley 21.663, conocida como la Ley Marco de Ciberseguridad, la primera normativa en su tipo en Latinoamérica. Esta ley tiene como objetivos fundamentales establecer una institucionalidad y normativa general, definir requisitos mínimos de ciberseguridad, delimitar responsabilidades y obligaciones, e implementar mecanismos de control y supervisión. Estos elementos son esenciales para promover un entorno cibernético más seguro y resiliente.
Una de las novedades más destacadas de esta ley es la creación de la Agencia Nacional de Ciberseguridad (ANCI), que comenzó a operar el 2 de enero de 2025. El primer director de la agencia es el abogado y doctor en Derecho de la Universidad de Chile, Daniel Álvarez Valenzuela, quien cuenta con una destacada trayectoria en el desarrollo de políticas públicas en ciberseguridad.
¿Quiénes están obligados por la Ley Marco de Ciberseguridad?
La ley obliga a las instituciones que prestan servicios calificados como esenciales, tanto a aquellas mencionadas en el artículo 4 de la ley (como organismos del Estado, el Coordinador Eléctrico Nacional, instituciones privadas que realizan labores bancarias, servicios financieros, medios de pago, entre otras), como a aquellas que sean calificadas como tales por la ANCI. Además, abarca a las instituciones clasificadas como Operadores de Importancia Vital (OIV), cuya calificación también será realizada por la ANCI en el ejercicio de sus funciones.
¿Cuáles son las obligaciones que impone la nueva ley y cuál es su finalidad?
Las obligaciones impuestas por la ley pueden clasificarse en tres áreas según su naturaleza temporal: preventivas, informativas (o de transparencia) y correctivas.
En cuanto a la prevención, la ley establece la obligación de implementar los protocolos y estándares de ciberseguridad que defina la ANCI, así como los estándares específicos que puedan existir en regulaciones sectoriales. Es importante tener presente que, aunque se tomen las medidas preventivas necesarias, ningún sistema está completamente a salvo, por lo que los incidentes de ciberseguridad pueden ocurrir. En caso de que esto suceda, la ley establece la obligación de reportar cualquier brecha de seguridad, lo que resulta crucial por varias razones:
- La peligrosidad potencial de un incidente en organizaciones que prestan servicios esenciales o son OIV.
- El impacto que puede tener no solo sobre las organizaciones, sino también sobre los individuos.
- La posibilidad de evitar que otros sistemas se vean afectados y detectar indicios de posibles campañas de ataque.
- El uso de estos reportes como insumos para estudiar y generar soluciones ante tales brechas.
En cuanto a las medidas correctivas, la ley establece que las instituciones deben adoptar acciones efectivas para controlar y mitigar los daños causados por un incidente de seguridad, así como resolver los problemas derivados de la vulneración. Además, las organizaciones deben tomar medidas para asegurar la continuidad de sus servicios, incluso tras un incidente, de forma que puedan operar, en lo posible, en las mejores condiciones, aunque en ocasiones estas sean limitadas.
Es evidente que la aplicación de las medidas adoptadas por esta ley fortalecerá el entorno cibernético del país. Si bien estas obligaciones son aplicables solo a algunas empresas, los lineamientos establecidos deberían servir como referencia para muchas otras organizaciones.
¿Cuándo entran en vigor las disposiciones de la ley?
Las normas generales de la Ley Marco de Ciberseguridad entraron en vigor el 1 de enero de 2025. Sin embargo, la calificación de los Operadores de Importancia Vital por parte de la ANCI, así como los deberes específicos de estos, el deber de reportar incidentes de ciberseguridad y la aplicación de sanciones establecidas en la ley, entrarán en vigor el 1 de marzo de 2025.
Relación con las normas sobre delitos informáticos.
La Ley Marco de Ciberseguridad también se vincula con las normas existentes sobre delitos informáticos en Chile, tales como la Ley 19.223 sobre delitos informáticos, que tipifica delitos como el acceso ilícito a sistemas informáticos, el espionaje y la alteración de datos. De hecho, la Ley 21.663 refuerza el marco de seguridad y protección ante estos delitos al establecer que las organizaciones deben adoptar medidas preventivas y correctivas frente a incidentes que puedan dar lugar a actividades ilícitas en el ciberespacio. Al obligar a las organizaciones a informar sobre brechas de seguridad y tomar medidas para mitigar daños, la ley también facilita la identificación y persecución de delitos informáticos, alineándose con los esfuerzos nacionales para combatir el cibercrimen y proteger la infraestructura crítica del país.
Parte de una agenda de seguridad más grande.
La Ley Marco de Ciberseguridad forma parte de la agenda prioritaria del Gobierno en materia de seguridad y se integra dentro de la Estrategia de Seguridad del Gobierno, enfocándose en el fortalecimiento institucional, la lucha contra el crimen organizado, especialmente contra ciberdelitos, y en la promoción de acuerdos de Estado en temas de seguridad. Cabe destacar que, en este mismo contexto, se encuentra la aún más reciente Ley 21.730 que crea el Ministerio de Seguridad Pública y que fue promulgada el 27 de enero de este año. En ella se señala que una de las funciones asignadas a este Ministerio es el diseño de políticas, planes y programas en materia de ciberseguridad. Precisamente, a través del Ministerio de Seguridad Pública, la ANCI se comunicará con el Presidente para el cumplimiento de sus funciones.
¿Qué implican estos cambios?
Es fundamental que las organizaciones experimenten un cambio cultural, promoviendo una mayor conciencia sobre la ciberseguridad y la protección de la información digital. El capital humano debe contar con conocimientos más avanzados en estas áreas, así como con las herramientas necesarias para responder adecuadamente ante un ataque o incidente de ciberseguridad, minimizando así el impacto y reforzando la resiliencia de las organizaciones.
Esta ley garantiza que las medidas sean implementadas en instituciones que prestan servicios esenciales y en los OIV, con sanciones por incumplimiento que pueden alcanzar hasta 40.000 UTM.
La Ley Marco de Ciberseguridad no es una cuestión exclusiva del área técnica o de IT de una empresa, sino que tiene un impacto transversal en toda la organización. Por ello, contar con una adecuada asesoría en la implementación de políticas, la gestión de incidentes y la defensa de los derechos de las personas afectadas es crucial para garantizar la resiliencia organizacional. Así, la ley no solo será un marco normativo en papel, sino una herramienta efectiva para proteger a todos los actores involucrados.
