La presente fue publicada en el Diario Oficial el 8 de abril del 2024.
1- ¿Cuál es el objetivo de esta ley?
Establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones y los mecanismos de control, supervisión y de responsabilidad ante infracciones.
2- ¿Qué es la ciberseguridad?
Es la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad
3- ¿Qué es el ciberataque?
Se entiende como el intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático.
4- ¿Qué principios rigen esta ley?
El de control de daños, de cooperación con la autoridad, coordinación, de seguridad en el ciberespacio, de respuesta responsable, de seguridad informática, racionalidad y principio de seguridad y privacidad por defecto y desde el diseño.
5- ¿A quiénes aplicará esta ley?
1. A las instituciones que presten servicios calificados como esenciales, estos son:
a. Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional;
b. los prestados bajo concesión de servicio público,
c. los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.
• ¿Quiénes pueden clasificar otros servicios como esenciales?
La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del Director o Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.
2. Aquellos que sean calificados como operadores de importancia vital, que son aquellos quienes reúnan los siguientes requisitos:
a. Que la provisión de dicho servicio dependa de las redes y sistemas informáticos, y
b. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
• ¿Quiénes podrán calificar como operadores de importancia vital?
A instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
6- ¿Qué obligaciones de ciberseguridad establece la ley?
1. Señala que existen deberes u obligaciones generales en el cual establece que las instituciones obligadas por esta ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Las cuales podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.
Para el cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva.
La Agencia deberá establecer medidas de seguridad diferenciadas según el tipo de organización de que se trate, teniendo especialmente en consideración las características y posibilidades de las pequeñas y medianas empresas definidas por la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.
2. Por otro lado, encontramos los deberes específicos de los operadores de importancia vital
• ¿cuáles son los deberes específicos de los operadores de importancia vital?
a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.
b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información.
c) Elaborar e implementar planes de continuidad operacional y ciberseguridad,
d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional
e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad,
f) Contar con las certificación de ciberseguridad
g) Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques.
h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.
i) Designar un delegado de ciberseguridad.
Además, encontramos el deber de reportar
• ¿Qué se entiende por el deber de reportar?
Las instituciones públicas y privadas señaladas en el artículo 4° -esto es las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital- tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, tan pronto les sea posible y conforme al esquema que señala la ley estableciendo plazos máximos en los cuales se debe realizar.
7- ¿Qué instituciones se crearon?
Agencia Nacional de Ciberseguridad; el Consejo Multisectorial sobre Ciberseguridad; el Comité Interministerial sobre Ciberseguridad; la Red de Conectividad Segura del Estado y Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional cada uno CSIRT Nacional y el CSIRT de Defensa.
8- ¿Qué es la Agencia Nacional de Ciberseguridad?
Es un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
• ¿Cuáles son sus atribuciones?
Encontramos facultades normativas, fiscalizadoras y sancionatorias entre las que encontramos:
a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.
b) Dictar los protocolos y estándares; las instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la presente ley, y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta ley y sus reglamentos.
c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.
d) Coordinar y supervisar al CSIRT Nacional y a los demás pertenecientes a la Administración del Estado, y requerir de éstos la información que sea necesaria para el cumplimiento de sus fines.
e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, y respecto a las materias que serán objeto de intercambio de información.
f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.
g) Calificar, mediante resolución fundada a los servicios esenciales y a los operadores de importancia vital.
h) Requerir a las entidades obligadas por la presente ley que hayan visto afectados sus servicios por un incidente de ciberseguridad o ciberataque, que entreguen a los potenciales afectados información veraz, suficiente y oportuna sobre su ocurrencia.
i) Diseñar e implementar planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad.
j) Entre otras.
• ¿Quién estará a cargo de la dirección y administración de la Agencia?
Un Director o Directora Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública
9- ¿Qué es el Consejo Multisectorial sobre Ciberseguridad?
Es aquella de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.
10- ¿Qué es la Red de Conectividad Segura del Estado RCSE?
Es aquella que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado.
11- ¿Qué es el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática?
Dentro de la Agencia Nacional de Ciberseguridad encontramos el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática “CSIRT Nacional”.
• ¿Qué funciones tiene?
a) Responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de efecto significativo.
b) Coordinar a los CSIRT que pertenezcan a organismos de la Administración del Estado frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional.
c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.
d) Prestar colaboración o asesoría técnica a los CSIRT que pertenezcan a organismos de la Administración del Estado en la implementación de políticas y acciones relativas a ciberseguridad.
e) Supervisar incidentes a escala nacional.
f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.
g) Entre otros.
12- ¿Qué es un incidente de efecto significativo?
Es aquel que es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:
a) El número de personas afectadas.
b) La duración del incidente.
c) La extensión geográfica con respecto a la zona afectada por el incidente.
13- ¿Qué es el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT de la Defensa Nacional)?
Se crea el CSIRT de la Defensa Nacional que es dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.
• ¿Cuáles son sus funciones?
a) Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.
b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.
c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.
d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.
14- ¿Qué señala en cuanto a la reserva de la información? ¿Qué se consideran como secretos y de seguridad restringida?
Se considerarán secretos y de circulación restringida, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o que pertenezcan a organismos de la Administración del Estado, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas. Agregando que los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director o Directora Nacional, en las condiciones que éste indique.
Por otra parte, señala que se considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional. Adicionalmente, será considerada como información secreta o reservada, la siguiente: i. Las matrices de riesgos de ciberseguridad. ii. Los planes de continuidad operacional y planes ante desastres. iii. Los planes de acción y mitigación de riesgos de ciberseguridad.
15- ¿Qué es el Comité Interministerial sobre Ciberseguridad?
Aquel que tiene por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país. En el ejercicio de sus funciones, el Comité deberá:
a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.
b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando ésta incida en materias de ciberseguridad.
c) Coordinar la implementación de la Política Nacional de Ciberseguridad.
d) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.
e) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.
16- ¿La ley establece infracciones?
Así es, la ley las clasifica en leves, graves y gravísimas.
17- ¿Cuáles son las sanciones?
La infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo con la siguiente escala:
1. Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales, o hasta 10.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
2. Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales, o hasta 20.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
3. Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales, o hasta 40.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
18- ¿Establece algún régimen especial?
Señala que el Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes. Para estos efectos, la Corte Suprema, el respectivo jefe de servicio o los órganos colegiados que ejerzan dicha función, podrán dictar la normativa que sea conveniente a tales efectos, y considerar en su formulación las recomendaciones que efectúe la Agencia. Las instituciones y órganos señalados en este artículo no estarán sujetos en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia; sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad.